Privacy policy
Wat is GDPR ?
Begrippen
Geldt deze wetgeving voor mij of mijn sociaal secretariaat?
Wat is het doel van GDPR?
Hoe wordt een bedrijf GDPR conform?
Wat concreet te doen?
– Indien je persoonsgegevens doorstuurt naar Accuria voor verwerking
– Indien je zelf persoonsgegevens verwerkt
Rechten van de betrokkenen
Wat als er iets misgaat: datalek?
Wat indien een datalek niet wordt gemeld?
Wat onderneemt Accuria in kader van de GDPR?
Meer informatie aangaande GDPR?
Wat is GDPR?
GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) is de nieuwe Europese regelgeving op vlak van privacybescherming en heeft als doel de persoonsgegevens op een strengere manier te beheren en te beveiligen. De GDPR wijzigt dan ook grondig de Belgische Privacywet van 8 december 1992 die tot op heden van toepassing is op Belgische onderdanen.
De nieuwe verordening zal in alle Europese lidstaten in werking treden op 25 mei 2018.
Begrippen
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Namen, adresgegevens, rijksregisternummers, gsm-nummers, … zijn voorbeelden van zulke persoonsgegevens.
- Verwerken: het geheel van bewerkingen van persoonsgegevens. Dit is een zeer ruim begrip en houdt het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden, ter beschikking stellen, … van persoonsgegevens in.
- Verwerkingsverantwoordelijke: de persoon die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt.
- Verwerker: de persoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Geldt deze wetgeving voor mij of mijn sociaal secretariaat?
Zowel het sociaal secretariaat, als de werkgever vallen onder het toepassingsgebied van de GDPR-regelgeving.
Beide partijen moeten maatregelen nemen om de privacywetgeving te respecteren. De nieuwe wetgeving naleven is een work in progress. Momenteel heerst er nog veel onduidelijkheid over hoe de concrete uitwerking van deze regelgeving zal zijn en wat de impact op uw bedrijf zal zijn. De Gegevensbeschermingsautoriteit heeft heel wat nieuwe bevoegdheden en bijhorende mogelijke sanctiemaatregelen gekregen waardoor het dus vooral afwachten is hoe deze nieuwe bevoegdheden door de Gegevensbeschermingsautoriteit in de praktijk zullen worden uitgeoefend.
Wat is het doel van GDPR?
De GDPR heeft als doel het beter beschermen van het recht op privacy van elk individu bij het verwerken van persoonsgegevens. Er wordt van elk bedrijf verwacht dat zij de persoonsgegevens die zij krijgen van hun klanten, werknemers, … beschermen en een garantie bieden dat deze gegevens veilig zullen worden verwerkt.
Het is bijgevolg belangrijk dat alle gegevens van de betrokkenen op een rechtmatige, behoorlijke en transparante manier verwerkt worden. Alle informatie of communicatie in het kader van gegevensverwerking dient dan ook makkelijk toegankelijk en op een begrijpbare manier geformuleerd te worden.
Hoe wordt een bedrijf GDPR conform?
De volgende beschreven topics zijn niet afdoende, maar omschrijven de basisvereisten van GDPR.
Bewustwording
Binnen een bedrijf is het belangrijk dat iedereen op de hoogte is van de nieuwe regelgeving. Men moet bewust worden van wat persoonsgegevens zijn en wat mogelijke risico’s zijn voor de privacybescherming van deze gegevens.
Informatie en communicatie
Persoonsgegevens dienen beperkt te blijven tot wat relevant en gerechtvaardigd is voor de verwerking. Wettelijke verplichtingen (sociale zekerheid, fiscaliteit, overheidsdiensten, ..) rechtvaardigen het doeleinde van de verwerking. Over andere doeleinden dient men de betrokkene transparant te informeren en de expliciete toestemming te verkrijgen. Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor de verwerking. Transparant informeren kan men aan de hand van een privacy policy.
Een evaluatie van de bestaande privacyverklaring is noodzakelijk.
Documentatieplicht
Men dient in kaart te brengen welke persoonsgegevens worden bijgehouden, hoe deze persoonsgegevens verkregen worden en hoe deze gegevens worden gebruikt. Het is aangeraden een dataregister op te stellen, waarin al deze gegevens op een overzichtelijke manier weergegeven worden.
Privacy Policy:
Het informeren van werknemers kan gebeuren aan de hand van een Privacy Policy waarin rechten opgesomd worden en waarin de werknemer voldoende duidelijk in begrijpbare taal en transparant geïnformeerd wordt over de verwerking van zijn/haar persoonsgegevens.
Dataregister:
In een dataregister wordt opgesomd welke persoonsgegevens verwerkt worden. Bij elke soort persoonsgegevens moet informatie over de oorsprong van deze gegevens, het doel van verwerking, de bewaartermijn en wie toegang heeft tot de gegevens geïnventariseerd worden.
Wat concreet te doen?
Indien je persoonsgegevens doorstuurt naar Accuria voor verwerking
- De werkgever stuurt enkel de persoonsgegevens door die nodig zijn voor verwerking waarvoor Accuria de wettelijke doelbepaling heeft. Concreet gaat het over de gegevens die noodzakelijk zijn voor de diensten die wij als Accuria aanbieden, zoals loonadministratie, personeelsadministratie …
- Privacy by design: digitale verwerking van persoonsgegevens beveiligt de gegevensstroom beter en vermindert het risico op een datalek. Bij het ontwikkelen van nieuwe technieken moet het recht op privacy steeds in acht genomen worden. Accuria werkt momenteel volop aan het uitbreiden en verder ontwikkelen van de E- services zodat gegevens op een betere en snellere manier kunnen worden beheerd en kunnen worden verwerkt.
- De juistheid en volledigheid van persoonsgegevens moet gegarandeerd worden en op reguliere basis geactualiseerd worden. Dit kan eenvoudig via de webmodule ‘werknemer’.
Indien je zelf persoonsgegevens verwerkt
GDPR conform worden met betrekking tot deze persoonsgegevens (enkele tips):
- Plan van aanpak ontwerpen in functie van tijd en middelen;
- Bewustmaking en responsabilisering van eigen personeel en/of verwerkers;
- Informeer en documenteer – dit kan aan de hand van privacy policies, dataregister, procedures en/of gedragscodes afhankelijk van uw aard van gegevensverwerking en het aantal betrokkenen.
Als ondernemer word je bovendien dagelijks geconfronteerd met persoonsgegevens van je werknemers, je klanten, je leveranciers, …
Zoals reeds eerder aangegeven functioneer je in dat geval als gegevensverantwoordelijke, waardoor je de plicht hebt al deze informatie op te lijsten in een register.
De Gegevensbeschermingsautoriteit stelt een model van een register ter beschikking.
klik hier om dit document te raadplegen.
Rechten van de betrokkenen
Als werkgever moet je de privacy rechten en bijhorende procedures waarborgen. Meer bepaald gaat het over de volgende rechten:
- recht van inzage;
- recht op correctie;
- recht op verwijdering/recht op vergetelheid;
- recht op beperking;
- recht op overdraagbaarheid van gegevens;
- recht van bezwaar;
- geautomatiseerde besluitvorming, waaronder profiling.
Meer informatie met betrekking tot deze rechten kan je hier terugvinden.
Binnen de maand na het verzoek van de werknemer, dient de werkgever hierop in te gaan. Deze termijn kan worden verlengd met twee maanden afhankelijk van de complexiteit van de verzoeken en het aantal verzoeken. De werkgever dient de werknemer hiervan binnen een termijn van een maand op de hoogte te brengen.
Wanneer geen gevolg wordt gegeven aan het verzoek van de werknemer, dient de werkgever de betrokken werknemer hiervan op de hoogte brengen binnen een maand. Indien het verzoek kennelijk ongegrond of buitensporig is, kan de werkgever ofwel een redelijke vergoeding aanrekenen ofwel weigeren gevolg te geven aan het verzoek.
Wat als er iets misgaat: datalek?
Een datalek is een verlies, vernietiging, wijziging of ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de persoonsgegevens.
Men neemt onmiddellijk na kennisname initiatief om het datalek te stoppen.
Indien er risico is voor het betrokken individu dien je als gegevensverantwoordelijke binnen de 72 uur na kennisname van het datalek aangifte te doen bij de Gegevensbeschermingsautoriteit.
Bij een inbreuk met een hoog risico voor de rechten en vrijheden van de betrokkene, breng je naast de Gegevensbeschermingsautoriteit ook de betrokkene rechtstreeks op de hoogte.
De drempel om het individu op de hoogte te brengen ligt bijgevolg hoger, dan de drempel om de autoriteit op de hoogte te brengen.
Alle datalekken worden geïnventariseerd in een register, ongeacht de aard of omvang. De verwerker brengt hierbij ook de verwerkingsverantwoordelijke op de hoogte.
Voor de concrete procedure klik hier.
Wat indien een datalek niet wordt gemeld?
De Gegevensbeschermingsautoriteit beschikt over een uitgebreid arsenaal aan sancties om het niet melden van een datalek te bestraffen, gaande van waarschuwingen tot mogelijke boetes.
Een overzicht van de mogelijke sancties kan geraadpleegd worden op de site van de Gegevensbeschermingsautoriteit.
Wat onderneemt Accuria in kader van de GDPR?
Wij bieden je een verwerkersovereenkomst aan waarin wij opsommen wat wij ondernemen om de verwerking van de persoonsgegevens bij Accuria GDPR conform te laten verlopen.
We ontwerpen procedures voor mogelijke datalekken en sturen onze werking bij om de verwerking van persoonsgegevens tot de meest veilige te maken.
Accuria inventariseert de verwerking van persoonsgegevens in een dataregister.
De persoonsgegevens die wij vandaag verwerken zijn gelokaliseerd op servers in België.
Wij garanderen door middel van (externe en interne) privacy policies dat persoonsgegevens veilig verwerkt worden.
Wij stellen je ook een bijlage ter beschikking die aan het arbeidsreglement kan gevoegd worden. Indien je dit document wenst te raadplegen klik hier.
Indien je dit document wenst toe te voegen aan jouw arbeidsreglement dien je de gewone procedure tot wijziging van het arbeidsreglement te volgen. De procedure tot wijziging van het arbeidsreglement kan je hier terugvinden.
Meer informatie aangaande GDPR?
We verwijzen je graag door naar onderstaande informatiebronnen:
Privacycommissie:
Wegwijs in de AVG voor KMO’s
https://www.gegevensbeschermingsautoriteit.be/professioneel/eerstehulp-avg/kleine-en-middelgrote-onderneming
Veelgestelde vragen
https://www.gegevensbeschermingsautoriteit.be/publications/faq-brochure-voor-kmo-s.pdf
Indien je in de bouwsector actief bent, raden wij jou het lidmaatschap aan van de Confederatie Bouw. De Confederatie Bouw stelt namelijk verschillende, op maat gemaakte, documenten ter beschikking aan hun leden. Meer bepaald kan je bij hen terecht voor een aangepaste dataregistertemplate.