In regel met de GDPR

De nieuwe Europese General Data Protection Regulation. Er was en is heel wat over te doen. Terecht, met privacy spring je niet lichtzinnig om. En in deze digitale tijden moet het speelveld strakker afgebakend worden. De nieuwe reglementering veroorzaakte echter heel wat verwarring en twijfel bij bedrijven, social profit organisaties en openbare instellingen, terwijl het net heel belangrijk is om de GDPR correct toe te passen. Want niet alleen de regels werden strenger, je maakt veel meer kans om stevig beboet te worden: tot 4 procent van je jaarlijkse omzet, met een maximum van 20 miljoen euro. Geen stress, onze juristen zijn helemaal mee en delen hun kennis graag met jou.

Wat is GDPR?

General Data Protection Regulation werd in het leven geroepen om persoonlijke data beter te beschermen in een digitale omgeving. Deze wetgeving is heel uitgebreid en heeft impact op elk bedrijf of organisatie die data van medewerkers, sollicitanten, klanten, leveranciers, serviceproviders enzovoort verwerkt.

De tien meest ingrijpende maatregelen

We overlopen even de belangrijkste nieuwe maatregelen die je moet nemen:

  1. GDPR-inspanningen bewijzen. De privacy van personen moet gegarandeerd worden. Je moet kunnen aantonen dat je de nodige maatregelen nam om persoonsgegevens op een afdoende manier te beschermen.
  2. Expliciete toestemming gebruik data. Je hebt in de meeste gevallen uitdrukkelijke toestemming nodig om persoonsgegevens op te slaan en te verwerken.
  3. Voorzichtig met gevoelige gegevens. Voor sensitieve data (gezondheid, politieke overtuiging, geloof, ras enzovoort) gelden nog strengere regels.
  4. PIA: zijn je systemen privacy-proof? Privacy Impact Assessments (PIA) of privacy-effectbeoordelingen moeten standaard voorzien zijn bij het bouwen van informatiesystemen of aanleggen van databestanden. Het komt erop neer dat je bij de ontwikkeling van nieuwe producten meteen de kernwaarden van privacy in acht neemt.
  5. Te allen tijde transparant. Je moet op een begrijpelijke manier meedelen welke data je verzamelt, wat je ermee doet en hoelang je ze bewaart.
  6. Personen recht op eigenaarschap. Je dient rekening te houden met bijkomende rechten: recht op inzage, recht om vergeten te worden, recht op rectificatie.
  7. Compliance bewijzen. Je moet op elk moment compliance kunnen aantonen, onder andere via een dataregister.
  8. Datalekken meteen melden. Je dient een datalek binnen de 72 uur te melden aan de Europese instantie. Daarna moet je onmiddellijk in actie te schieten om het probleem te verhelpen.
  9. DPO aanstellen. Een openbare instelling of een bedrijf dat zich bezighoudt met monitoring en/of verwerking van een grote hoeveelheid sensitieve data, dient een Data Protection Officer (DPO) aan te stellen.
  10. Universeel geldende wetgeving. De GDPR-wet is van toepassing op elke organisatie die persoonlijke gegevens van EU-burgers verwerkt, waar ook ter wereld.

De gevolgen voor jou

De grootste verandering zit hem in het opslaan en bewaren van persoonsgegevens. Werknemers, sollicitanten, leveranciers en service providers hebben het recht om te weten wat er met hun persoonlijke data gebeurt. Dit heeft een impact op hoe payroll-informatie, algemene informatie over werknemers, cv’s, medische gegevens, verslagen van functioneringsgesprekken enzovoort verwerkt worden.

Vijf aandachtspunten

  1. Oneindig gegevens bewaren mag niet meer
    Onder de nieuwe regelgeving mag je gegevens niet langer bijhouden dan nodig. Dit betekent bijvoorbeeld dat gegevens van sollicitanten die niet weerhouden werden na het sluiten van de procedure, moeten verwijderd worden. Ook gegevens van werknemers die het bedrijf verlaten mogen maar kort bijgehouden worden.
     
  2. Uitwisseling van gegevens wordt beperkt
    Wanneer je bedrijf regelmatig persoonsgegevens uitwisselt met andere bedrijven, is het belangrijk dat je een goede verwerkersovereenkomst sluit. Hierin maak je afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen enzovoort.
     
  3. Gevraagde data moeten doelgericht zijn
    Je mag enkel data opvragen die je echt nodig hebt om de carrière van je werknemer te begeleiden. Voor alle andere data moet je expliciet toestemming krijgen. Dit geldt bijvoorbeeld ook voor het monitoren van internetgebruik, bewaren van camerabeelden enzovoort.
     
  4. Gevraagde data moeten consequent gebruikt worden
    Je mag data enkel gebruiken voor het doel waarvoor ze gevraagd zijn. Zo is bijvoorbeeld het zonder toestemming opslaan van persoonlijke contactgegevens in een talentenpool niet langer toegestaan.
     
  5. Transparantie
    Bij informatie waar toestemming van medewerkers is vereist, moet ook worden bijgehouden wanneer deze is gegeven. Werknemers hebben het recht om te weten wie er toegang heeft tot welke gegevens, en ze hebben het recht om hun toestemming weer in te trekken. Ook hebben ze recht op correctie van data. Helemaal nieuw is het recht om vergeten te worden. Bijvoorbeeld, wanneer een werknemer je bedrijf verlaat, mag hij je vragen om zijn persoonlijke data te verwijderen.

Maak je bedrijf GDPR-proof

Hoog tijd dus voor om je interne procedures, processen en policies kritisch onder de loep te nemen. Acerta zou Acerta niet zijn als we niet hadden nagedacht over hoe we je concreet kunnen helpen. Daarom ontwikkelden we vier service packs: Basic, Premium Class, First Class en All-in.

Speciaal voor kmo’s

Op de website van de Gegevensbeschermingsautoriteit (www.gegevensbeschermingsautoriteit.be) vind je meer informatie. De brochure Wegwijs in de AVG voor kmo’s/ helpt je alvast op weg in de reglementering en verplichtingen die specifiek voor kmo’s gelden. Daarnaast heeft Acerta een basisaanbod voor kmo’s.

  • GDPR-verwerkingsregister – vanuit onze kennis van personeels- en loonadministratie ontwikkelden we een register waarin je documenteert hoe je de gegevens van je werknemers verwerkt - zoals gevraagd in de nieuwe privacy wetgeving. Houd je ook andere persoonsgegevens bij, bijvoorbeeld van klanten of leveranciers? Dan kun je het register ook daarvoor gebruiken en aanvullen.
  • Overzicht verzamelde persoonsgegevens - Iedere werknemer heeft het recht de gegevens op te vragen die je over hem bewaart. Daarom bundelden we de data die jij ons toevertrouwt in het kader van de loon- en personeelsadministratie ook in individuele informatiefiches. Die overhandig je makkelijk aan je medewerker.

Heb je nood aan meer concrete ondersteuning? Doe dan een beroep op de legal consultants van Acerta. Wij ontwikkelden een GDPR-pakket dat zich specifiek richt op de kmo’s. We komen graag naar je toe om je privacybeleid in goede banen te leiden.
Tijdens een overleg in je onderneming:

  • Maken we je bewust van de reglementering en de impact ervan op je onderneming.
  • Brengen we de verbeterpunten in kaart en stellen we een actieplan op om je onderneming op hr-vlak GDPR-proof te maken.

Met de opgedane kennis kun je GDPR ook bij de andere afdelingen binnen je organisatie toepassen.

GDPR-abonnement

Bij onze abonnementsformule fungeren wij als klankbord en bieden we je juridische ondersteuning op volgende vlakken:

  • Juridische vragen over de implementatie van GDPR binnen de onderneming
  • Review van documenten in het kader van de GDPR (bijvoorbeeld camerapolicy, arbeidsovereenkomsten, track and trace policy)
  • Opstellen van nieuwe documenten (bijvoorbeeld. policy voor de wijze waarop de onderneming omgaat met de gegevens van zijn werknemers, policy voor gedragscodes die de werknemers dienen te respecteren wanneer zij in aanraking komen met persoonsgegevens van derden, leveranciers enzovoort.)

GDPR-policies

Enerzijds dien je een gedragscode op te stellen om je werknemer op de hoogte te brengen van welke persoonsgegevens je van hen verwerkt, waarom je die verwerkt, hoe lang je deze gegevens bewaart, welke rechten je werknemers hebben enzovoort.

Anderzijds stel je best ook een policy op voor je werknemers wanneer zij bij het uitoefenen van hun job dagelijks in aanraking komen met vertrouwelijke persoonsgegevens van klanten, leveranciers enzovoort.

Voor het aanpassen van je arbeidsreglement maakten wij volgende documenten op:

  • Een Employee privacy policy: deze gedragscode geeft de (confidentiële) wijze weer waarop je met de persoonsgegevens van je werknemers omspringt.
  • Een Company privacy policy: deze gedragscode bepaalt de wijze waarop je personeel met gegevens en informatie van derden (leveranciers, klanten enzovoort) dient om te gaan.

Deze documenten kunnen als bijlage bij het arbeidsreglement worden gevoegd of als een aparte overeenkomst worden afgesloten. Op verzoek maken onze consultants deze policies op maat van je bedrijf.

GDPR-opleidingen

Nood aan een grondig inzicht in de Europese privacyverordening? Onze opleidingen helpen je stappen te zetten om je datastromen in kaart te brengen en het beheer ervan aan te passen. Bovendien bezorgen we je praktische instrumenten waarmee je binnen je organisatie onmiddellijk aan de slag kunt.