Wat te doen met GDPR?

GDPR – wat is dat?

  • General Data Protection Regulation
    • of AVG: Algemene Verordening Gegevensbescherming
  • Nieuwe Europese wetgeving over beheer en beveiliging van persoonsgegevens
  • In voege op 25 mei 2018
  • Bevestigt en verstrengt de huidige principes
  • Legt nieuwe verplichtingen op

Persoonsgegevens

  • Persoonsgegevens = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“data subject” of “betrokkene”)
  • Data subject = de persoon die geïdentificeerd kan worden, direct of indirect aan de hand van een identificator
  • Voorbeeld: naam / foto / (professioneel) telefoonnummer of e-mail
  • Verschillende categorieën persoonsgegevens:
    • Niet-gevoelige persoonsgegevens (bv. naam, adres, telefoonnummer)
    • Gevoelige persoonsgegevens (bv. over gezondheid, inkomen, lidmaatschap van een vakbond, geloofsovertuiging, seksuele geaardheid, etnische afkomst)
    • Data gelinkt aan criminele veroordelingen

Toepassingsgebied

  • Verwerking van persoonsgegevens = elke bewerking van persoonsgegevens zoals verzamelen, opslaan, aanpassen, bewaren, consulteren, gebruiken, klasseren, organiseren, vernietigen
  • Gevoelige gegevens zijn verboden om te verwerken behalve als er
    • uitdrukkelijke toestemming is ofwel
    • dat er een rechtsgrond is dat het noodzakelijk is voor de uitvoering van specifieke rechten in het kader van arbeidsrecht of sociaal zekerheidsrecht (bv aansluiting bij vakbond: soms bestaan akkoorden dat werkgever het lidgeld van werknemer betaalt OF In het kader van terugbetaling van bepaalde medische kosten)

7 basis principes voor verwerking

  1. Mag ik data verwerken voor om het even welk doel?
  • Neen!
  • Enkel voor specifieke en gerechtvaardigde doeleinden
    • Voorbeeld: adres nodig voor facturatie
  • Bijkomende doeleinden? Doe de compatibiliteitstest
    • Voorbeeld: direct marketing? Neen, is ander doeleinde!
  1. Moet ik een medewerker/coachee informeren wat ik doe met de data?
  • JA!
  • Voorbeeld: vermelden in privacy clausule in samenwerkingscontract met regels & afspraken
  1. Mag ik persoonsgegevens vragen die niet noodzakelijk zijn voor het vooropgestelde doeleinde?
  • Neen!
    • Voorbeeld: je kan vragen of iemand een rijbewijs heeft, niet wat het voorkeursmerk van wagen is
  1. Mag ik data voor eeuwig en altijd opslaan?
  • Neen!
  • Indien de gegevens niet meer nodig zijn voor het doeleinde, verwijder ze dan.
    • Voorbeeld: nota’s te bewaren van mensen die intussen niet meer professioneel actief zijn (indien loopbaancoaching), hoe lang is het relevant om data te bewaren?
  1. Is het belangrijk hoe en waar ik data bewaar, wie toegang heeft?
  • Ja!
  • Bewaak veiligheid en vertrouwelijkheid (technisch en organisatorisch)
  • Hoe?
    • Voorbeeld: paswoord/identificatie toegang/login
  1. Juistheid
  • Alle gegevens dienen juist te zijn en geactualiseerd te worden, als ze onjuist zijn moeten ze worden aangepast of gewist
  1. Kan je bewijzen dat je in regel bent met de wetgeving?
  • Voorzie een geschreven transparant proces

Belangrijkste gevolgen

  • Nieuwe mindset
  • Data protection principes in de werkprocessen verwerken
  • Voorzie een bewijs dat je de regels toepast (dataregister)
  • Grotere organisaties moeten een DPO (« Data Protection Officer ») aanstellen
  • Sancties mogelijk van een waarschuwing tot hoge administratieve boetes tot 20.000.000 euro of 4% van de wereldwijde turnover of van het vorige boekjaar (het hoogste) van de organisatie

TO DO’s

  • Bewustmaking – informeer sleutelfiguren over de nakende veranderingen
  • Dataregister
    • Breng in kaart welke persoonsgegevens je bijhoudt, met welk doel, hoelang bewaren, waar?
  • Check of er een legitieme grondslag is voor de verwerking
  • Evalueer je privacy-verklaring
  • Check je bestaande contracten en breng er een verandering in indien nodig
  • Is er een procedure voor betrokkenen om hun rechten te laten uitoefenen?
  • Check de veiligheid van je systemen en de toegang

Klik hier voor meer informatie.

Met dank aan Janick Joos – Pure You