Vorige

Vijf praktische tips die jouw organisatie GDPR-compliant maken

28 januari 2021 Florence Cordonnier Werkgevers

28 januari is de Europese Dag van de Privacy. Doel van deze dag is mensen beter te informeren over hun rechten rond het gebruik van hun persoonsgegevens door overheden en andere organisaties. Daarnaast worden bedrijven op diezelfde dag aangespoord om de bescherming van persoonsgegevens te verbeteren. Heeft jouw organisatie alle GDPR-processen op orde?

Leestijd: Later lezen?

GDPR en persoonsgegevens

Als werkgever beschik je over allerlei persoonsgegevens van je werknemers, klanten en leveranciers. De General Data Protection Regulation (GDPR) voorziet de spelregels voor het verzamelen, gebruiken en beveiligen van persoonsgegevens.

Een schending van de regels kan tot ernstige sancties leiden: enkele maanden geleden kreeg een kmo een boete van 15.000 euro vanwege het laattijdig afsluiten van e-mailadressen van ex-werknemers. Bovendien zorgt corona voor extra uitdagingen op vlak van GDPR.

Deze vijf tips helpen je boetes te vermijden:

1. Houd een verwerkingsregister bij

Het overzicht bewaren over alle persoonsgegevens die je als onderneming beheert, is geen sinecure. Toch verplicht GDPR tot transparantie, waartoe een verwerkingsregister dient. Dit register beschrijft welke persoonsgegevens je verzamelt en verwerkt, samen met het doel waarvoor ze verwerkt worden én hun rechtsgrond. Neem in de register niet alleen de gegevens van je medewerkers op, maar ook die van klanten en leveranciers.

2. Bepaal je grondslag

De basisregel van GDPR is vrij eenvoudig: je mag persoonsgegevens niet zomaar allemaal verzamelen en verwerken, dit kan enkel als  je kan aantonen dat je één van de vier limitatieve rechtsgronden hebt om dat wél te doen:

  • je moet bepaalde gegevens verwerken omdat dat nodig is om een overeenkomst met de betrokkene uit te voeren;
  • de wet verplicht je of staat je expliciet toe om persoonsgegevens te verwerken;
  • je hebt een ‘gerechtvaardigd belang’ om gegevens te verwerken, waarbij jouw belang in evenwicht is met de inbreuk die je begaat op de privacy van de betrokkene;
  • je hebt toestemming gevraagd en gekregen van de betrokkene om gegevens te verwerken.

3. Bewaak de bewaartermijnen van persoonsgegevens

Als uitgangspunt geldt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is. Hoe lang de bewaartermijn dus precies is, moet je geval per geval beoordelen en vastleggen in functie van de verwerkingsactiviteit. Dit is een belangrijke oefening, die je ook verplicht om na te denken hoe je de gegevens zal verwijderen uit je systemen nadat de bewaartermijn is verstreken.

4. Informeer en wees transparant

Transparantie houdt in dat je je medewerkers informeert over de verwerking van hun persoonsgegevens. Bundel deze info bij voorkeur in een ‘privacy policy’, waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Ook de bewaartermijnen en rechten van je medewerkers neem je in dit document op.

5. Stel een contactpersoon aan en stel extra policies op

Verder kan het ook interessant zijn om extra policies op te stellen, zoals een gedragscode die beschrijft wie met persoonsgegevens van klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Of stel een internet en e-mailpolicy op waarbij regels worden afgesproken over het gebruik van een e-mailaccount alsook de verwijdering ervan na uitdiensttreding, om boetes zoals hierboven beschreven te vermijden. Stel eventueel een GDPR-contactpersoon aan, waarbij je medewerkers met al hun vragen en zorgen terechtkunnen.

Opleiding: GDPR en privacyregels

Benieuwd hoe GDPR-compliant jouw organisatie is? Volg deze opleiding en versterk je privacybeleid.

Meer info

Deel dit artikel

Florence Cordonnier

Geschreven door Florence Cordonnier

Managing consultant

Gerelateerde artikels

GDPR, ook in tijden van corona hyperrelevant
Werkgevers

GDPR, ook in tijden van corona hyperrelevant

02 november 2020 Florence Cordonnier

GDPR verschoof wat naar de achtergrond door de huidige situatie. Toch blijven ook nu de algemene richtlijnen gelden, maar zijn er door corona ook enkele specificiteiten waarmee je rekening moet houden.

Lees meer
Het coronavirus en de privacy op de werkvloer?
Werkgevers

Het coronavirus en de privacy op de werkvloer?

10 maart 2020 Ann Mertens

De uitbraak van het coronavirus in ons land is een feit. Bedrijven bereiden zich volop voor om besmettingen in te dijken. Als werkgever wil je daarom bijvoorbeeld weten waar je werknemers op vakantie zijn geweest. Maar mag je dit wel vragen? Of is dit een inbreuk op hun privacy?

Lees meer
GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst
Werkgevers

GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst

04 oktober 2019 Florence Cordonnier

De General Data Protection Regulation (GDPR) is ondertussen al zo’n anderhalf jaar in werking. Deze Europese Verordening ter bescherming van persoonsgegevens gaat over de verzameling, het gebruik en de beveiliging van persoonsgegevens. De GDPR heeft voor jouw onderneming, groot of klein, implicaties.

Lees meer