Nieuws / Publicaties

Terug naar overzicht

Vanaf 25 mei 2018 – Nieuwe wetgeving inzake gegevensbescherming (GDPR)

De Algemene Verordening inzake gegevensbescherming (hierna GDPR) treedt op 25 mei 2018 in werking in heel de Europese Unie, waaronder ook in België. Deze regelgeving is ook voor werkgevers belangrijk, omdat een groot deel van de gegevens die men over zijn werknemers verwerkt onder de definitie van persoonsgegevens, en dus onder de GDPR, vallen.

 

Het doel van de GDPR is een betere bescherming te verlenen aan de natuurlijke personen (dus niet aan rechtspersonen), bij de verwerking van hun persoonlijke gegevens. De impact van de GDPR op uw onderneming valt niet te onderschatten.  De realiteit is immers dat veel ondernemingen, al dan niet bewust, veel van deze gegevens verwerken. Iedere KMO is gehouden tot het naleven van de principes en wettelijke verplichtingen binnen deze verordening. Ondernemingen die niet GDPR-compliant zijn, riskeren een administratieve boete die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

 

Wat zal uw werknemer moeten weten:

•welke persoonsgegevens van hem/haar worden verwerkt en waarom;

•waar deze werden gehaald: van de werknemer zelf of uit andere bronnen;

•wie deze zal mogen inkijken;

•hoe lang ze zullen bewaard worden;

•of ze buiten de EU verstuurd zullen worden, en, indien ze buiten de EU verstuurd worden, wat zijn rechten zijn;

•wie hij kan contacteren over de verwerking van zijn gegevens;

•over welke rechten de werknemer beschikt om de verwerking van zijn gegevens te kunnen controleren;

•…

Deze informatie moet de werkgever aan zijn werknemer bezorgen iedere keer wanneer hij persoonsgegevens verzamelt over zijn werknemer, tenzij de werknemer reeds over deze informatie beschikt.

 

1. Privacy Policy

 

Een werkgever kan hiertoe een privacy policy voor werknemers invoeren in zijn onderneming. Een privacy policy somt de rechten van de werknemer op en informeert hem bovendien ook over de verwerking van de persoonsgegevens zelf.  Met een privacy policy waarin al deze informatie duidelijk uiteengezet wordt, kan de werkgever in principe aan zijn informatieplicht voldoen voor de volledige duur van de arbeidsovereenkomst met de werknemer. Niet elke verwerking van persoonsgegevens dient dan in een apart document behandeld te worden.

 

2. Verwerkingsregister

 

De vroegere privacywetgeving (wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer) voorzag niet in een verwerkingsregister. Vanaf 25 mei 2018 zal dit verplicht worden. Het bestaat uit een overzicht van alle datastromen, verwerkingsprocessen en beveiligingen van de persoonsgegevens binnen uw onderneming. Het register houdt een overzicht in van de:

•Verwerkingsprocessen;

•Verwerkte gegevens;

•Gegevensbeveiliging;

•Doorgeven van gegevens.

 

Het verwerkingsregister is een essentieel onderdeel van de GDPR. Het is van belang dat het altijd een correct en volledig overzicht weergeeft. Het register laat de Gegevensbeschermingsautoriteit toe om gerichte controles uit te voeren. 

 

De GDPR verplicht lidstaten om een onafhankelijke toezichthoudende autoriteit op te richten die de naleving van de gegevensbescherming controleert. Een nieuwe Gegevensbeschermingsautoriteit die de huidige Privacy Commissie opvolgt werd in België opgericht. Deze maatregel zal ingaan op 25 mei, samen met de inwerkingtreding van de GDPR zelf. Deze Gegevensbeschermingsautoriteit beschikt over zowel een inspectiedienst als een geschillenkamer. De bevoegdheden van beide organen zorgen ervoor dat een onderzoek kan opgestart worden op verzoek of op eigen initiatief en elke klacht of elk beroep kan afgerond worden met eventueel een sanctie als gevolg.

 

Het register zal u ook omgekeerd toelaten het bewijs te leveren dat u de reglementering inzake privacy respecteert; niet alleen tegenover de Privacy Commissie maar ook tegenover uw klanten, leveranciers, enz..

 

3. Verwerkingsovereenkomsten

 

Deze overeenkomst dient verplicht te worden opgesteld wanneer uw onderneming samen werkt met een andere organisatie, persoon of onderneming  die de persoonsgegevens voor u verwerkt.

 

4. ‘Privacy by design’ en ‘privacy by default’

 

Met ‘privacy by design’ verlangt de GDPR van ondernemingen dat zij bij het ontwikkelen van nieuwe producten, processen en diensten op ieder ogenblik de meest privacy-vriendelijke aanpak hanteren. Gegevensbescherming moet met andere woorden een essentieel aspect vormen bij de ‘design’ van nieuwe producten.

 

‘Privacy by default’ veronderstelt dat een onderneming ten aanzien van haar klanten steeds de meest privacy-vriendelijke optie als standaard moet gebruiken. Een onderneming mag er niet langer van uitgaan dat de klant automatisch zijn toestemming geeft om zijn persoonsgegevens te verwerken.

Zo moet de klant bv. zelf de keuze gelaten worden om het vakje ‘abonneren op de nieuwsbrief’ al dan niet aan te vinken.

 

5. Meldplicht

 

Bij inbreuken op de beveiliging of datalekken is uw onderneming verplicht dit binnen de 72 uur te melden aan de Privacy Commissie. Dit kan gaan over het verlies van een USB stick met klantenbestanden, maar evengoed over het hacken van uw computersysteem. Wanneer de datalekken grote risico’s inhouden voor de rechten en vrijheden van de betrokkenen, moeten ook deze betrokken personen worden ingelicht.

 

6. Data Protection Officer

 

Indien uw onderneming vaak persoonsgegevens verwerkt, stelt u best een Data Protection Officer aan.

Een DPO kan zowel een eigen medewerker zijn of een externe persoon met wie uw onderneming een overeenkomst afsluit. Als privacy adviseur moet hij ervoor zorgen dat uw onderneming niet in de gevarenzone komt.

 

Terug naar overzicht

Handel Diensten & Industrie vzw
Erkend sociaal secretariaat voor werkgevers 980 bij MB 22-05-2002 BS 05-06-2002—ondernemingsnummer 0473.487.880.
Maatschappelijke zetel: Arbeidstraat 122 te 9300 AALST— Tel: 053/70.70.27— Fax: 053/70.71.07.
Bijkantoor: Kortrijksesteenweg 1006 te 9000 GENT— Tel: 09/244.00.10.— Fax: 09/244.00.11.
Bijkantoor: Ledeganckkaai 15 bus 002 te 2000 ANTWERPEN— Tel: 03/237.11.20.— Fax: 03/216.80.98.

De verstrekte informatie wordt u op vrijwillige basis verleend. We proberen steeds de juridische actualiteit met de grootste aandacht en zorgvuldigheid te behandelen. Gelet op onze middelenverbintenis als sociaal secretariaat, wijzen we elke aansprakelijkheid af voor schade van welke vorm dan ook die voortvloeit uit het gebruik van de aangeboden informatie. De aangeboden informatie is uitsluitend bestemd voor informatievergaring.