Feedback
ella
Is uw HR-beleid privacy proof?
Losse berichten
Gepubliceerd op 17/01/2017

Waar wachten we op?

 

In 2018 verstrengen de Europese privacyregels. De Belgische wetgever zal wellicht nog een aantal punten verder uitwerken. Toch mag een voorzichtige werkgever niet wachten tot volgend jaar om in actie te komen!

 

Zo goed als alle bedrijven verwerken persoonsgegevens en zullen dus onderworpen zijn aan de strengere privacyregels. In een eerdere nieuwsbrief verwezen we al naar het 13 stappenplan dat de privacycommissie aanbiedt als leidraad bij de implementatie van de nieuwe verordening. 

 

Een Werkgroep van de Europese Commissie heeft ook richtsnoeren uitgewerkt in verband met de implementatie van de Algemene Verordening Gegevensbescherming (AVG). Deze richtsnoeren moeten enerzijds een duidelijke en geharmoniseerde interpretatie bieden van alle bepalingen in de AVG en anderzijds aanbevelingen geven.

 

Wat doet SD Worx?

 

SD Worx zorgt ervoor dat de pakketten (zoals payroll en e-blox) privacyproof zijn, ook onder de nieuwe wetgeving.

 

De werkgever zal het HR-beleid moeten evalueren en aanpassen aan de nieuwe vereisten van de AVG. Doorheen dit proces kan de HR-manager beroep doen op een consultant van legal om hem bij te staan en dit proces te begeleiden. Contacteer hiervoor legalconsulting@sdworx.com of 0032 (0)78 15 90 22.

 

De HR-manager die dit wenst, kan op 28 maart 2017 een opleiding over dit onderwerp volgen bij SD Worx Learning. Contacteer hiervoor anouk.reygel@sdworx.com.

 

FAQ's

 

We behandelen in deze nieuwsbrief volgende FAQ's:

 

Wat als de werknemer geen toestemming wil geven voor de verwerking van zijn gegevens?

Hoe moet de toestemming gegeven worden volgens de nieuwe regels?

Welke bedrijven of organisaties moeten een data protection officer aanstellen?

Juridische inhoud

1. Waar wachten we op?

In mei 2016 trad de nieuwe Europese privacyverordening in werking: de Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR). Pas in 2018 zullen de nieuwe privacyregels definitief van toepassing zijn, maar bedrijven en organisaties die persoonsgegevens verwerken, moeten zich nu al voorbereiden.

 

Zo goed als alle bedrijven verwerken persoonsgegevens en zullen dus onderworpen zijn aan de strengere privacyregels. In een eerdere nieuwsbrief verwezen we al naar het 13 stappenplan dat de privacycommissie aanbiedt als leidraad bij de implementatie van de nieuwe verordening.

 

De documentatieplicht van de verwerkingsverantwoordelijke zal belangrijker worden, de genomen maatregelen moeten goed gedocumenteerd worden. Het stappenplan helpt bedrijven en organisaties hun huidig databeschermingsbeleid te evalueren en aan te passen aan de nieuwe vereisten van de AVG.

 

De dertien stappen gaan over:

 

  1. Bewustwording,

  2. Dataregister,

  3. Communicatie,

  4. Rechten van de betrokkene,

  5. Verzoek tot toegang,

  6. Wettelijke grondslag voor het verwerken van persoonsgegevens,

  7. Toestemming,

  8. Kinderen,

  9. Datalekken,

  10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling,

  11. Functionaris voor gegevensbescherming,

  12. Internationaal,

  13. Bestaande contracten

 

Met dit stappenplan kan de werkgever nu reeds aan de slag!

2. Wat doet SD Worx?

SD Worx zorgt ervoor dat de pakketten (zoals payroll en e-blox) privacyproof zijn, ook onder de nieuwe wetgeving.

 

De werkgever zal het databeschermingsbeleid moeten evalueren en aanpassen aan de nieuwe vereisten van de AVG. Doorheen dit proces kan de HR-manager beroep doen op een consultant van legal om hem bij te staan en dit proces te begeleiden. Contacteer hiervoor legalconsulting@sdworx.com of 0032 (0)78 15 90 22.

 

De HR-manager die dit wenst, kan op 28 maart 2017 ook een opleiding volgen bij SD Worx Learning. Contacteer hiervoor anouk.reygel@sdworx.com.

3. FAQ's

3.1. Wat als de werknemer geen toestemming wil geven voor de verwerking van zijn gegevens?

Toestemming is niet altijd vereist om persoonsgegevens te mogen verwerken. Wanneer de werkgever zich op een andere grondslag kan beroepen, dan is de toestemming van de werknemer overbodig.

 

De wettelijke grondslagen in de AVG zijn quasi identiek aan deze in de huidige Privacywet, met name:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;  

  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;  

  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;  

  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;  

  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;  

  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

 

De werknemer moet geen toestemming geven aan de werkgever om volgende gegevens te mogen verwerken:

  • adresgegevens, cv, samenstelling van het gezin van de werknemer, loongegevens, gegevens over afwezigheden,…: hiervoor kan de werkgever zich beroepen op de wettelijke verplichting als grondslag voor de verwerking;
  • verslagen van coachinggesprekken, gegevens over loopbaanontwikkeling,…: hiervoor kan de werkgever zich beroepen op punt f. (gerechtvaardigd belang - de uitoefening van het werkgeversgezag).

 

Het is aan te raden om zo veel mogelijk toestemming te vermijden als wettelijke basis voor de verwerking van persoonsgegevens. De betrokkene heeft een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag ligt voor de verwerking. Bovendien heeft de betrokkene het recht om zijn toestemming te allen tijde in te trekken.

 

Vaak zijn er andere wettelijke grondslagen waarop een onderneming zich kan beroepen en waardoor er geen toestemming van de betrokkene nodig is.

 

Indien een beroep op zo’n andere grondslag niet mogelijk is, moet de toestemming gevraagd worden voor de verschillende doeleinden van de verwerking afzonderlijk. Weigert de werknemer in dit geval de noodzakelijke toestemming, dan is verwerking niet mogelijk.

3.2. Hoe moet de toestemming gegeven worden volgens de nieuwe regels?

De AVG definieert "toestemming van de betrokkene" als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt".

 

Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm zijn en in duidelijke en eenvoudige taal.

 

De toestemming moet door een duidelijke actieve handeling worden gegeven. Daaruit moet blijken dat de betrokkene vrij, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Dit kan bijvoorbeeld door het klikken op een vakje op een internetwebsite. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt niet als toestemming.

 

Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend (specifiek).

 

De betrokkene kan bovendien zijn toestemming ten allen tijde intrekken. De intrekking moet even eenvoudig zijn als het geven ervan.

 

Voor de toestemming van kinderen gelden specifieke regels. Wanneer het kind jonger is dan 16 jaar, is de verwerking alleen dan rechtmatig wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

 

Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste  de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens kennen. Toestemming wordt niet geacht vrij te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

3.3. Welke bedrijven of organisaties moeten een data protection officer aanstellen?

De verwerkingsverantwoordelijke moet een data protection officer (DPO) aanstellen in volgende drie gevallen:

  1. een overheidsinstantie of overheidsorgaan verricht de verwerking, behalve voor gerechten bij de uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, omvang en/of doelstellingen regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  3. de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken) en van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.

 

Andere ondernemingen kunnen een DPO aanstellen maar zijn hiertoe niet verplicht.

 

Werkgroepen van de Europese Commissie zullen richtsnoeren uitwerken  in verband met de implementatie van de AVG. Deze richtsnoeren moeten enerzijds een duidelijke en geharmoniseerde interpretatie bieden van alle bepalingen in de AVG en anderzijds aanbevelingen geven.

 

Eén van deze richtsnoeren van de Werkgroep heeft betrekking op de DPO. De Werkgroep verduidelijkt onder meer wat zij verstaan onder “kerntaken”, onder “grote schaal” en onder “regelmatige en stelselmatige observatie”.

 

3.3.1. Kerntaken (hoofdzakelijk belast zijn met)

 

Kerntaken zijn de voornaamste activiteiten die noodzakelijk zijn om de doelstellingen van de verwerker of verwerkingsverantwoordelijke te behalen. Hiertoe behoren ook alle activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel vormt van de activiteit van de verwerker of de verwerkingsverantwoordelijke.

 

Zo bestaat de kerntaak van een ziekenhuis uit het verlenen van gezondheidszorgen. Echter, een ziekenhuis kan geen gezondheidszorgen verlenen zonder gezondheidsgegevens te verwerken. Daarom moet ook het verwerken van deze data beschouwd worden als één van de kerntaken van het ziekenhuis. Ziekenhuizen zijn dus verplicht een DPO aan te stellen.

 

Aan de andere kant, verrichten alle organisaties bepaalde verwerkingen van persoonsgegevens, zoals bijvoorbeeld het betalen van hun werknemers. Dit zijn noodzakelijke ondersteunende functies voor de organisatie haar kerntaken. Ook al zijn deze activiteiten noodzakelijk of essentieel, ze moeten eerder worden beschouwd als nevenactiviteiten dan als kerntaken.

 

3.3.2. Grote schaal

 

De werkgroep beveelt aan om met volgende factoren rekening te houden bij het bepalen of de verwerking al dan niet op grote schaal gebeurt:

  • het aantal betrokkenen van wie persoonsgegevens worden verwerkt;
  • de hoeveelheid gegevens dat wordt verwerkt;
  • de geografische omvang van de verwerkingsactiviteiten;
  • de duur van de verwerkingsactiviteiten.

 

Voorbeelden van een verwerking op grote schaal zijn

  • het verwerken van patiëntgegevens door een ziekenhuis;
  • het verwerken van klantgegevens van een bank of verzekeringsmaatschappij;
  • het verwerken van gegevens door telefoon- of internetproviders.

 

Een voorbeeld dat daarentegen geen verwerking op grote schaal uitmaakt, is het verwerken van patiëntgegevens door een individuele arts.

 

3.3.3. Regelmatige en stelselmatige observatie

 

De werkgroep interpreteert als “regelmatig” onder meer herhaaldelijk op vaste tijdstippen. “Systematisch” betekent bijvoorbeeld georganiseerd of methodisch.

 

Voorbeelden van regelmatige en stelselmatige observatie zijn:

  • reclame op basis van surfgedrag;
  • profilering met het oog op risico-analyse (bv. om witwaspraktijken op te sporen);
  • gebruik van een geo-lokalisatiesysteem.

Oeps,

Onze excuses, er is iets fout gelopen.

Probeert u het later eens opnieuw.

Was deze informatie nuttig voor u?

Ja Nee

Welke van de volgende beschrijft jouw feedback het best?






Jouw feedback

De versie van de browser die U gebruikt is niet optimaal voor deze website. De meeste functies zullen niet goed werken. De versie die u gebruikt wordt ook niet meer ondersteund door Microsoft en hierdoor loopt u security risico’s. Om de veiligheid en privacy van uw data te kunnen blijven garanderen, raden wij aan om zo snel mogelijk naar Internet Explorer 11 te upgraden of de laatste versie van een andere browser te gebruiken.