28 januari is de Europese Dag van de Privacy. Doel van deze dag is mensen beter te informeren over hun rechten rond het gebruik van hun persoonsgegevens door overheden en andere organisaties. Daarnaast worden bedrijven op diezelfde dag aangespoord om de bescherming van persoonsgegevens te verbeteren. Heeft jouw organisatie alle GDPR-processen op orde?
Als werkgever beschik je over allerlei persoonsgegevens van je werknemers, klanten en leveranciers. De General Data Protection Regulation (GDPR) voorziet de spelregels voor het verzamelen, gebruiken en beveiligen van persoonsgegevens.
Een schending van de regels kan tot ernstige sancties leiden: enkele maanden geleden kreeg een kmo een boete van 15.000 euro vanwege het laattijdig afsluiten van e-mailadressen van ex-werknemers. Bovendien zorgt corona voor extra uitdagingen op vlak van GDPR.
Deze vijf tips helpen je boetes te vermijden:
Het overzicht bewaren over alle persoonsgegevens die je als onderneming beheert, is geen sinecure. Toch verplicht GDPR tot transparantie, waartoe een verwerkingsregister dient. Dit register beschrijft welke persoonsgegevens je verzamelt en verwerkt, samen met het doel waarvoor ze verwerkt worden én hun rechtsgrond. Neem in de register niet alleen de gegevens van je medewerkers op, maar ook die van klanten en leveranciers.
De basisregel van GDPR is vrij eenvoudig: je mag persoonsgegevens niet zomaar allemaal verzamelen en verwerken, dit kan enkel als je kan aantonen dat je één van de vier limitatieve rechtsgronden hebt om dat wél te doen:
Als uitgangspunt geldt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is. Hoe lang de bewaartermijn dus precies is, moet je geval per geval beoordelen en vastleggen in functie van de verwerkingsactiviteit. Dit is een belangrijke oefening, die je ook verplicht om na te denken hoe je de gegevens zal verwijderen uit je systemen nadat de bewaartermijn is verstreken.
Transparantie houdt in dat je je medewerkers informeert over de verwerking van hun persoonsgegevens. Bundel deze info bij voorkeur in een ‘privacy policy’, waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Ook de bewaartermijnen en rechten van je medewerkers neem je in dit document op.
Verder kan het ook interessant zijn om extra policies op te stellen, zoals een gedragscode die beschrijft wie met persoonsgegevens van klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Of stel een internet en e-mailpolicy op waarbij regels worden afgesproken over het gebruik van een e-mailaccount alsook de verwijdering ervan na uitdiensttreding, om boetes zoals hierboven beschreven te vermijden. Stel eventueel een GDPR-contactpersoon aan, waarbij je medewerkers met al hun vragen en zorgen terechtkunnen.
Benieuwd hoe GDPR-compliant jouw organisatie is? Volg deze opleiding en versterk je privacybeleid.
GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst
De General Data Protection Regulation (GDPR) is een Europese Verordening ter bescherming van persoonsgegevens en gaat over de verzameling, het gebruik en de beveiliging van persoonsgegevens. Indien je niet in orde bent, riskeer je boetes die kunnen oplopen tot vier procent van je jaarlijkse omzet.
Lees meerHybride en thuiswerken: verlies de GDPR niet uit het oog
In hoeverre hebben kmo’s al maatregelen genomen rond de bescherming van persoonlijke gegevens? En in welke mate heeft COVID-19 en het verplicht thuiswerken hier een invloed op gehad?
Lees meerGDPR, ook in tijden van corona hyperrelevant
GDPR verschoof wat naar de achtergrond door de huidige situatie. Toch blijven ook nu de algemene richtlijnen gelden, maar zijn er door corona ook enkele specificiteiten waarmee je rekening moet houden.
Lees meer
