General Data Protection: Countdown 25/05/2018
Binnenkort wordt de bestaande regelgeving in het kader van privacy en databescherming grondig aangescherpt.
Op 25 mei 2018 treden immers een aantal nieuwe spelregels, opgenomen in de Algemene Verordening Gegevensbescherming (AVG) of meestal General Data Protection Regulation (GDPR) genaamd, in werking.
Waar werknemers duidelijk afgebakende rechten verkrijgen, worden aan werkgevers strengere verplichtingen opgelegd. Indien u deze nieuwe verplichtingen niet nakomt, riskeert u een geldboete die kan oplopen tot 20 miljoen euro of tot 4 % van de jaarlijkse omzet.
Hoog tijd dus voor het nemen van de nodige voorzorgsmaatregelen!
Als vaste partner informeert EASYPAY GROUP u graag wat u als bedrijf precies te doen staat. De nieuwe maatregelen ‘GDPR’ roepen immers nog heel wat vragen op rond de praktische toepassing in de context van Human Resources.
In een notendop: Welke basisbeginselen moet u als onderneming respecteren?
Opmaak dataregister voor al uw verwerkingen
Wat is een verwerking?
Elke werkgever verwerkt op dagdagelijkse basis een hoop persoonsgegevens. Een verwerking kan bijvoorbeeld bestaan uit het ontvangen en registreren van de cv en bijhorende motivatiebrief, het bepalen van het loon en de bijkomende loonvoordelen, het aanvullen van het personeelsdossier met persoonlijke gegevens, het doorsturen van deze gegevens naar andere verwerkers (uw sociaal secretariaat, uw boekhouder, uw groepsverzekeraar, uw sociaal fonds,…), het registreren van aanwezigheden, het opvolgen van een track & trace systeem, het installeren van camerabewaking, enz.
Binnenkort zal u echter enkele spelregels in acht moeten nemen bij deze verwerkingen. Elke verwerking van gegevens die betrekking hebben op een persoon of er onrechtstreeks mee kunnen geïdentificeerd worden, valt immers onder de GDPR regelgeving.
Wat is een dataregister?
Het dataregister dient allerlei bedrijfseigen informatie te bevatten over de verwerking van uw persoonsgegevens. Het bevat een volledig overzicht van de persoonsgegevens die worden verwerkt, hoe deze gegevens binnenkomen, wat er met deze gegevens gebeurt, aan wie u deze voor welke reden overmaakt, hoelang u deze bewaart, enz.
Bijna elke verwerkingsverantwoordelijke of verwerker van persoonsgegevens wordt verplicht om in de opmaak van een dataregister of, ook wel register van verwerkingsactiviteiten genaamd, te voorzien. Deze verplichting bestaat strikt gezien enkel voor zowel bedrijven met minstens 250 werknemers in dienst, alsook voor kleinere bedrijven die o.a. op niet-incidentele wijze gegevens gaan verwerken. Het personeelsbeheer op zich maakt echter volgens de Privacycommissie deel uit van deze verplichting.
Verruimde informatieplicht werknemers
Als werkgever wordt u de verantwoordelijkheid opgelegd om ook uw werknemers op een uitgebreide en transparante wijze te informeren over hun rechten.
De betrokkenen krijgt immers een heel aantal nieuwe rechten toegewezen:
- Recht op inzage van hun persoonsgegevens;
- Recht op correctie van foutieve persoonsgegevens;
- Recht op beperking van de verwerking;
- Recht op overdraagbaarheid van de gegevens;
- Recht van bezwaar tegen geautomatiseerde besluitvorming en profilering;
- Recht om vergeten te worden.
Onderstaande onderwerpen vallen allen onder deze informatieplicht:
- Welke persoonsgegevens verwerkt u van welke werknemers en waarom?
- Waar haalt u deze persoonsgegevens?
- Wie heeft toegang tot deze persoonsgegevens?
- Voor welke doeleinden worden deze persoonsgegevens gebruikt?
- Hoe lang zullen deze persoonsgegevens worden bewaard?
- Wie kan worden aangesproken binnen de onderneming indien uw werknemers hieromtrent vragen hebben?
- …
Het is aangewezen om binnen de onderneming de antwoorden op deze vragen neer te schrijven in een interne privacy policy. Op die manier beschikken de werknemers te allen tijde over de gewenste informatie.
Inzetten op bewustwording
Een van de voornaamste doelstellingen van de GDPR wetgeving bestaat erin dat privacy en gegevensbescherming centraal moeten komen te staan bij elke actie die u als bedrijf onderneemt. Naast de verruimde informatieplicht zet u best ook in op het informeren en bewustmaken van uw volledig personeelsbestand en in het bijzonder uw management, afdelingshoofden, verantwoordelijken, enz. Ook zij zullen rekening moeten houden met de implementatie en het toezicht op de nieuwe privacywetgeving.
Screen uw contracten en bedrijfspolicy’s!
Bepaalde documenten zullen in het kader van de nieuwe regelgeving aan een herziening toe zijn. Denk hierbij aan uw overeenkomsten met de verwerkers aan wie u persoonsgegevens doorgeeft, uw contracten of samenwerkingsverbanden met klanten of onderaannemers, uw bestaande ICT policy’s, uw bestaande policy camerabewaking,…
Preventie van datalekken
In samenwerking met uw IT dienst zal een adequate procedure uitgewerkt moeten worden om eventuele datalekken van persoonsgegevens op te sporen, te rapporteren en te onderzoeken. Zorg dus voor een strenge beveiliging van al uw gegevens!
Alle datalekken waarbij enige waarschijnlijkheid bestaat dat de betrokkene enige vorm van schade zal leiden, moeten immers verplicht worden gemeld aan de Privacycommissie.
Controle van de gegevensbescherming ‘by design’ & ‘by default’
Zowel de bestaande processen binnen uw onderneming als alle toekomstige processen zullen in het licht van de nieuwe privacyregels moeten worden geplaatst.
Zo dient u als bedrijf de nodige passende technische en organisatorische maatregelen te nemen met het oog op het beschermen van de waarborgen van het individu en een passend gegevensbeschermingsbeleid uit te werken. Zo kan u onder meer inzetten op het maximaal encrypteren van paswoorden, het beperken van de toegang tot bepaalde informatie voor uw werknemers, het maximaal afschermen van gevoelige gegevens, het inzetten op het systematisch versnipperen van gevoelige informatie, het aanpassen van standaardinstellingen, het uitschakelen van zogenaamde prefilled ticking boxes, enz.
Aanstellen DPO?
Bepaalde bedrijven zullen verplicht een Data Protection Officer (DPO) of gegevensbeschermingsfunctionaris moeten aanstellen. Voornamelijk wanneer u een overheidsinstantie of overheidsorgaan bent, wanneer u verwerkingen doet die een regelmatige en stelselmatige observatie op grote schaal vereisen, of wanneer u bijzondere of gevoelige gegevens verwerkt, zal een DPO moeten aangeduid worden.
De DPO moet erop toezien dat het privacybeleid binnen uw onderneming in overeenstemming is met de nieuwe regelgeving. Ook treedt hij op als adviseur privacy binnen het bedrijf en als contactpersoon voor de Privacycommissie. Binnen een groep van ondernemingen kan overkoepelend met de aanstelling van 1 DPO worden gewerkt. Een DPO kan bovendien zowel een werknemer van uw bedrijf zijn, alsook kan u hiervoor beroep doen op een externe dienstverlener. In alle geval moeten de gegevens van de DPO worden meegedeeld aan de Privacycommissie.
Extra aandachtspunt voor internationaal actieve bedrijven!
Bedrijven die internationaal actief zijn moeten op voorhand vastleggen onder welke bevoegde Privacycommissie zij zullen vallen. Naar aanleiding van een internationale schending van de privacywetgeving, zal normaal de Privacycommissie binnen het land waarbinnen de hoofdzetel van het bedrijf is gevestigd de beslissingsbevoegdheid verkrijgen.
Indien u hieromtrent met vragen blijft zitten, kan u misschien ook terecht op de website van de Privacycommissie. Binnen het themadossier op hun website zijn reeds diverse FAQ’S GDPR opgenomen: https://www.privacycommission.be/nl/privacy-op-de-werkvloer-algemeen
Dit bericht delen: