GDPR – wat is dat?
- General Data Protection Regulation
- of AVG: Algemene Verordening Gegevensbescherming
- Nieuwe Europese wetgeving over beheer en beveiliging van persoonsgegevens
- In voege op 25 mei 2018
- Bevestigt en verstrengt de huidige principes
- Legt nieuwe verplichtingen op
Persoonsgegevens
- Persoonsgegevens = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“data subject” of “betrokkene”)
- Data subject = de persoon die geïdentificeerd kan worden, direct of indirect aan de hand van een identificator
- Voorbeeld: naam / foto / (professioneel) telefoonnummer of e-mail
- Verschillende categorieën persoonsgegevens:
- Niet-gevoelige persoonsgegevens (bv. naam, adres, telefoonnummer)
- Gevoelige persoonsgegevens (bv. over gezondheid, inkomen, lidmaatschap van een vakbond, geloofsovertuiging, seksuele geaardheid, etnische afkomst)
- Data gelinkt aan criminele veroordelingen
Toepassingsgebied
- Verwerking van persoonsgegevens = elke bewerking van persoonsgegevens zoals verzamelen, opslaan, aanpassen, bewaren, consulteren, gebruiken, klasseren, organiseren, vernietigen
- Gevoelige gegevens zijn verboden om te verwerken behalve als er
- uitdrukkelijke toestemming is ofwel
- dat er een rechtsgrond is dat het noodzakelijk is voor de uitvoering van specifieke rechten in het kader van arbeidsrecht of sociaal zekerheidsrecht (bv aansluiting bij vakbond: soms bestaan akkoorden dat werkgever het lidgeld van werknemer betaalt OF In het kader van terugbetaling van bepaalde medische kosten)
7 basis principes voor verwerking
- Mag ik data verwerken voor om het even welk doel?
- Neen!
- Enkel voor specifieke en gerechtvaardigde doeleinden
- Voorbeeld: adres nodig voor facturatie
- Bijkomende doeleinden? Doe de compatibiliteitstest
- Voorbeeld: direct marketing? Neen, is ander doeleinde!
- Moet ik een medewerker/coachee informeren wat ik doe met de data?
- JA!
- Voorbeeld: vermelden in privacy clausule in samenwerkingscontract met regels & afspraken
- Mag ik persoonsgegevens vragen die niet noodzakelijk zijn voor het vooropgestelde doeleinde?
- Neen!
- Voorbeeld: je kan vragen of iemand een rijbewijs heeft, niet wat het voorkeursmerk van wagen is
- Mag ik data voor eeuwig en altijd opslaan?
- Neen!
- Indien de gegevens niet meer nodig zijn voor het doeleinde, verwijder ze dan.
- Voorbeeld: nota’s te bewaren van mensen die intussen niet meer professioneel actief zijn (indien loopbaancoaching), hoe lang is het relevant om data te bewaren?
- Is het belangrijk hoe en waar ik data bewaar, wie toegang heeft?
- Ja!
- Bewaak veiligheid en vertrouwelijkheid (technisch en organisatorisch)
- Hoe?
- Voorbeeld: paswoord/identificatie toegang/login
- Juistheid
- Alle gegevens dienen juist te zijn en geactualiseerd te worden, als ze onjuist zijn moeten ze worden aangepast of gewist
- Kan je bewijzen dat je in regel bent met de wetgeving?
- Voorzie een geschreven transparant proces
Belangrijkste gevolgen
- Nieuwe mindset
- Data protection principes in de werkprocessen verwerken
- Voorzie een bewijs dat je de regels toepast (dataregister)
- Grotere organisaties moeten een DPO (« Data Protection Officer ») aanstellen
- Sancties mogelijk van een waarschuwing tot hoge administratieve boetes tot 20.000.000 euro of 4% van de wereldwijde turnover of van het vorige boekjaar (het hoogste) van de organisatie
TO DO’s
- Bewustmaking – informeer sleutelfiguren over de nakende veranderingen
- Dataregister
- Breng in kaart welke persoonsgegevens je bijhoudt, met welk doel, hoelang bewaren, waar?
- Check of er een legitieme grondslag is voor de verwerking
- Evalueer je privacy-verklaring
- Check je bestaande contracten en breng er een verandering in indien nodig
- Is er een procedure voor betrokkenen om hun rechten te laten uitoefenen?
- Check de veiligheid van je systemen en de toegang
Klik hier voor meer informatie.
Met dank aan Janick Joos – Pure You