Vorige

GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst

14 oktober 2022 Werkgevers
Florence Cordonnier

De General Data Protection Regulation (GDPR) is een Europese Verordening ter bescherming van persoonsgegevens en gaat over de verzameling, het gebruik en de beveiliging van persoonsgegevens. Indien je niet in orde bent, riskeer je boetes die kunnen oplopen tot vier procent van je jaarlijkse omzet.​ We geven je 4 praktische tips om je in regel te stellen met de GDPR en zo boetes te vermijden.

Leestijd: Later lezen?

1. Breng persoonsgegevens in kaart. Je hebt er meer dan je zou denken.

Wat zijn nu juist die persoonsgegevens? Je hebt veel gegevens van je personeelsleden. Die reiken uiteraard veel verder dan enkel naam, voornaam, geslacht, leeftijd of adres. Je beschikt ook over evaluaties, camerabeelden, medische attesten, waarschuwingsbrieven, foto’s op het intranet, gegevens van controles op e-mail en internetgebruik, gegevens over tijdsregistratie enzovoort. Mogelijk beschik je daarnaast ook over gegevens van leveranciers of klanten en van sollicitanten.

Maak een overzicht van al deze persoonsgegevens in een verwerkingsregister. Daarin moeten alle verwerkingen van de gegevens worden opgenomen, samen met het doel waarvoor ze verwerkt worden en hun rechtsgrond (zie hieronder).

2. Ga na op welke wettelijke grondslag je je kan beroepen voor het gebruik van de gegevens

Je moet altijd een wettelijke grondslag hebben om persoonsgegevens te verwerken, op te slaan, door te geven... Toestemming van de betrokkene is één mogelijke wettelijke grondslag, op voorwaarde dat deze vrij, specifiek en geïnformeerd is. Een ‘vrije’ toestemming binnen een werknemer-werkgeversrelatie is weliswaar steeds voor discussie vatbaar. Daarom deze tip: beroep je in eerste instantie op een van de volgende wettelijke grondslagen, indien mogelijk:

  • uitvoering van een overeenkomst
  • naleven wettelijke verplichting
  • gerechtvaardigd belang

Als je je op één van bovenstaande grondslagen kan beroepen, is de toestemming van de werknemer in principe niet meer nodig (al zijn er enkele uitzonderlijke gevallen).

Zo is de wettelijke grondslag voor het verwerken van de naam, adresgegevens en het rekeningnummer van de werknemer bijvoorbeeld, de uitvoering van de arbeidsovereenkomst. Om gegevens uit een evaluatie te gebruiken, kan je als grondslag een gerechtvaardigd belang aantonen. Om foto’s van werknemers (zowel intern als extern) te gebruiken daarentegen, heb je wel nog steeds de uitdrukkelijke toestemming van de persoon op de foto nodig.

3. Stel de nodige policies op

Daarnaast voorziet de GDPR een informatieverplichting. Dat betekent dat je je werknemer of een andere betrokkene moet informeren over de verwerking van zijn/haar persoonsgegevens. Wij raden daarom aan om een policy (‘Privacy Policy’) op te stellen waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Je moet ze informeren over hoe lang je deze gegevens zal bewaren en welke rechten zij hebben. Ten slotte is het ook belangrijk dat je medewerkers een aanspreekpunt hebben als ze een klacht hebben of als ze hun gegevens willen opvragen, wijzigen of verwijderen.

Anderzijds stel je best ook een gedragscode op voor je medewerkers waarin je beschrijft wie met persoonsgegevens van klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Mag een medewerker bijvoorbeeld thuis vertrouwelijke documenten afdrukken? Heeft iedereen een persoonlijk wachtwoord, of is alles open beschikbaar?

Tot slot verifieer je best of je huidige policies (internet- en e-mailbeleid, camerabewaking etc.) GDPR-proof zijn.

4. Hou zicht op de bewaartermijnen

De GDPR stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is. Met deze abstracte regel als richtlijn moet je dus nagaan hoe lang de wettelijke bewaartermijn is van de verschillende persoonsgegevens, rekening houdend met de bedoeling van de gegevens. Indien de gegevens de wettelijke bewaartermijn bereiken, moet je ze wissen of anoniem maken. Een voorbeeld: hoe lang hou je een waarschuwingsbrief bij? Om de bewaartermijn daarvan te bepalen, hou je best rekening met de wettelijke termijnen waarbinnen een werknemer zijn ontslag kan aanvechten.

Check dan ook de bewaartermijnen aan de hand van geldende regelgevingen en breng ze in kaart (in het verwerkingsregister).

Vermijd boetes bij niet-naleving van de GDPR

De boetes bij niet-naleving van de GDPR lopen hoog op. Zorg dat jouw onderneming GDPR-compliant is met het adviespakket van Acerta:

Maak je bedrijf GDPR-proof met Acerta

Deel dit artikel

Florence Cordonnier_acerta

Geschreven door Florence Cordonnier

Managing consultant

Gerelateerde artikels

Werkgevers

Hybride en thuiswerken: verlies de GDPR niet uit het oog

03 september 2021
Florence Cordonnier

In hoeverre hebben kmo’s al maatregelen genomen rond de bescherming van persoonlijke gegevens? En in welke mate heeft COVID-19 en het verplicht thuiswerken hier een invloed op gehad?

Lees meer
privacy gdpr_acerta
Werkgevers

Vijf praktische tips die jouw organisatie GDPR-compliant maken

28 januari 2021
Florence Cordonnier

Heeft jouw organisatie alle GDPR-processen op orde? Een schending van de regels kan tot ernstige sancties leiden. Vermijd boetes met deze praktische tips.

Lees meer
Werkgevers

GDPR, ook in tijden van corona hyperrelevant

02 november 2020
Florence Cordonnier

GDPR verschoof wat naar de achtergrond door de huidige situatie. Toch blijven ook nu de algemene richtlijnen gelden, maar zijn er door corona ook enkele specificiteiten waarmee je rekening moet houden.

Lees meer