Foutmelding

The selected image "gdpr.jpg" is invalid.

GDPR: Wat doet u als werkgever?

 

 

Vanaf 25 mei 2018 moet elke Belgische onderneming in regel zijn met de nieuwe Europese privacywetging (GDPR) rond de bescherming van de persoonlijke informatie van EU-burgers. De wijzigingen die de nieuwe GDPR met zich meebrengen, spelen zich af in alle domeinen waar de onderneming in aanraking komt met de verwerking van persoonsgegevens op structurele wijze.

De nieuwe regeling zal dus hoe dan ook een impact hebben op het payroll- en HR-gebeuren van elke werkgever. Om aan de nieuwe regels rond de GDPR te voldoen en boetes te vermijden zal u zich de komende maanden dus goed moeten voorbereiden en een aantal zaken in uw bedrijf en HR-beleid moeten aanpassen.

Uiteraard zal Group S haar werking afstemmen op deze nieuwe wetgeving en u ondersteunen bij het toepassen van deze nieuwe regels in uw personeelsbeleid.

GDPR binnen HR

Verwerking persoonsgegevens

Elke werkgever verwerkt persoonsgegevens van de personen waarmee binnen de organisatie wordt samengewerkt. Voorbeelden hiervan zijn: loon- en personeelsadministratie, bewaren van een personeelsdossier, bijhouden van een database van sollicitanten, werknemers, uitzendkrachten of consultants, aanwezigheidsregistratie, camerabewaking, E-monitoring, track & trace, fotoboek op intranet, enz.

Volgens de huidige privacywetging moet u als werkgever er voor zorgen dat de verwerking van persoonsgegevens beantwoordt aan de volgende criteria:

  • gebonden aan een doel
  • integer en vertrouwelijk
  • terzake dienend
  • juist
  • rechtmatig, behoorlijk en transparant
  • beperkte bewaring
  • geen gevoelige persoonsgegevens (ras, religie,…)

Privacy compliant nu

Als u als werkgever deze persoonsgegevens verwerkt dan moet u daarvoor een relevante rechtsgrond hebben. Die relevante rechtsgrond kan zijn:

  • noodzaak voor de uitvoering van de overeenkomst of voorbereiding ervan
  • wettelijke verplichting (sociale en fiscale aangifte bijvoorbeeld)
  • gerechtvaardigd belang (evaluaties bijvoorbeeld)
  • toestemming van de werknemer (bij gebrek aan een andere rechtsgrond)

Privacy compliant vanaf 2018

Maar vanaf 2018 wordt deze privacywetgeving strenger en zal u dus om de nieuwe regels na te leven met een aantal extra zaken rekening moeten houden. Bent u vanaf mei 2018 als werkgever niet GDPR compliant, dan riskeert u een boete die kan oplopen tot 4% van de wereldwijde omzet van het voorgaande boekjaar tot maximum 20 miljoen EUR.

Wat moet u als werkgever concreet doen om GDPR compliant te zijn?

  1. Informatie aan werknemers
  2. Register verwerkingsactiviteiten
  3. Aanstellen privacy officer
  4. Datasecurity en –lekken
  5. External compliancy
  6. Internal compliancy

1. Informatie aan werknemers

Volgens de huidige privacywetging moet u als werkgever de volgende zaken aan de werknemer meedelen:

  • wie verantwoordelijk is voor de verwerking van de persoonsgegevens;
  • welke de doeleinden van de verwerking zijn;
  • wie de gegevens verwerkt;
  • welke gegevens worden verwerkt;
  • het recht op toegang tot en verbetering van de gegevens.

De verplichting om de werknemer te informeren over de verwerking van de persoonsgegevens wordt binnen de GDPR uitgebreid. Volgens de nieuwe regelgeving is het verplicht om ook de volgende gegevens mee te delen:

  • de relevante rechtsgrond om de persoonsgegevens te verwerken;
  • het recht om zijn toestemming in te trekken;
  • de termijn van opslag van deze gegevens;
  • het recht om deze gegevens over te dragen;
  • het recht op inzage, verbetering, wissen, beperking, bezwaar;
  • het recht om een klacht in te dienen bij de Privacycommissie;
  • de gegevens van een privacy officer (zie verder).

Wat doet u als werkgever?

U zal deze informatie moeten meedelen via opleidingen, aangepaste documenten (arbeidsreglement, individuele contracten en policies) aan sollicitanten, nieuwe werknemers en werknemers die al in dienst zijn.

2. Register verwerkingsactiviteiten

U zal als werkgever moeten kunnen aantonen dat u de persoonsgegevens van uw werknemers verwerkt volgens de regels van de GDPR. Er is dus een documentatieplicht.

Wat doet u als werkgever?

U moet een register van verwerkingsactiviteiten opmaken en actueel bijhouden door periodieke bijwerking. In dat register moet u alle processen waarin u persoonsgegevens verwerkt, beschrijven en per proces de volgende zaken meedelen:

  • wie verantwoordelijk is voor de verwerking van de persoonsgegevens;
  • welke gegevens worden verwerkt;
  • van wie gegevens worden verwerkt;
  • de reden van verwerking van de gegevens;
  • wie de gegevens ontvangt (bv. het sociaal secretariaat in het kader van de loonadministratie);
  • de bewaartermijn ervan;
  • de beveiligingsmaatregelen.

In bepaalde gevallen is het ook nodig om het effect van de gegevensbescherming te beoordelen. Voor welke soorten verwerking dit het geval is moet de Privacycommisie nog meedelen.

3. Aanstellen privacy officer

In bepaalde gevallen moet u een privacy officer aanstellen die moet waken over de naleving van de GDPR binnen de onderneming. Deze officer moet worden opgeleid in zijn rol om zo met de nodige deskundigheid zijn taak te kunnen uitvoeren.

Wat doet u als werkgever?

U moet nagaan of u valt onder de verplichting om een privacy officer aan te stellen en wanneer dat het geval is de nodige opleidingen voorzien en waarborgen dat hij zijn opdracht naar behoren kan uitoefenen.

4. Datasecurity en –lekken

Als werkgever moet u binnen de GDPR ook de nodige beveiliging van de data in uw onderneming voorzien en een procedure uitwerken voor het opsporen, rapporteren en onderzoeken van eventuele lekken in de databescherming. Datelekken zijn niet alleen actieve lekken in geval van cybercriminaliteit, maar ook toevallige lekken (een e-mail werd naar een verkeerde ontvanger verzonden, een bedrijfslaptop wordt gestolen, notities worden vergeten op de trein).

Wat doet u als werkgever?

U zal een procedure moeten uitwerken die beschrijft welke acties moeten worden ondernomen in geval van datalekken. U moet de erbij betrokken personen hiertoe opleiden en op hun verantwoordelijkheden wijzen, een register bijhouden van de datalekken en in bepaalde gevallen een aangifte doen bij de Privacycommissie.

5. External Compliancy

Wanneer u als werkgever een beroep doet op derden om persoonsgegevens van uw personeel te verwerken, dan moet u er zeker van zijn dat deze ‘gegevensverwerker’ in orde is met de GDPR. De ‘gegevensverwerker’ zal u in een overeenkomst de nodige garanties moeten geven dat hij GDPR compliant is.

Wat doet u als werkgever?

U zal de diverse leveranciers die persoonsgegevens van u onderneming verwerken in kaart moeten brengen en zeker zijn van de compliancy van deze leveranciers met de GDPR.

6. Internal Compliancy

Binnen uw onderneming moet u nagaan welke persoonsgegevens u verwerkt en of u zich daarbij aan bovenstaande regels houdt.

Wat doet u als werkgever?

Stel een datamapping op, zo kan u nagaan welke controles reeds voldoende zijn en welke moeten worden uitgebreid of goedgekeurd. De resultaten van deze datamapping kunnen daarna gebruikt worden om uw personeelsbeleid af te stemmen op nieuwe GDPR-regelgeving.