Corona en GDPR in je onderneming: zoals water en vuur?

Door David Seghers - 4 juni 2020 - Leestijd: 5 minuten

GDPR

In mei 2018, lang voor het coronavirus het bedrijfsleven in rep en roer zette, lagen ondernemers wakker van de GDPR. De nieuwe Europese privacyregels voor de verwerking van persoonsgegevens zijn intussen verteerd. Maar wat te doen wanneer een wereldwijde pandemie conflicteert met de praktische toepassing van je privacybeleid uit 2018? Zijn de tegengestelde belangen verzoenbaar?

GDPR

Privacy is een evolutief begrip en sterk afhankelijk van de context en de evolutie van digitalisering. In 2018, toen de veelbesproken GDPR van toepassing werd, was van maatregelen als social distancing nog geen sprake. Medewerkers die thuis werkten (telewerk) waren toen nog een minderheid in veel bedrijven, vandaag is het bijna de nieuwe norm. Het is duidelijk dat in zo’n geval andere spelregels nodig zijn. Hoog tijd dus om die goed uitgekiende privacypolicy, die gebaseerd is op het register van verwerkingsactiviteiten, opnieuw tegen het licht te houden.

25 mei 2020: een verjaardag in mineur?

De GDPR werd twee jaar geleden met veel tamtam aangekondigd: striktere regels, hogere boetes én een proactieve rol voor de toenmalige Privacycommissie – nu de Gegevensbeschermingsautoriteit. De strengere regelgeving moest gulzige bedrijven als Google en Facebook een halt toeroepen. Maar ook voor kleinere organisaties en handelaars betekende het een ommekeer in de manier waarop ze met persoonsgegevens omspringen. Enkel door de GDPR te respecteren en een degelijk privacybeleid uit te stippelen, kon je de dans van de mogelijke zware straffen ontspringen. Al valt het momenteel met de hr-gerelateerde sancties nog wel mee. Zo blijkt uit een vergelijking van de cijfers uit de GDPR enforcement tracker van CMS, een wereldwijd advocatenkantoor. Voor België zijn er vandaag zo’n 8 publieke cases gemeld.

Corona gooit roet in het eten

In het privacyrecht worden gezondheidsgegevens sowieso extra beschermd. Zeker in professionele relaties is het in principe verboden dat werkgevers te diep grasduinen in de medische toestand van hun werknemers. De lichaamstemperatuur meten van medewerkers, peilen naar immuniteit of een gezondheidscheck eisen voordat bezoekers of zelfs de eigen werknemers de werkvloer betreden: het was vroeger ondenkbaar. Nu liggen een aantal van die scenario’s daadwerkelijk op tafel en worden ze al toegepast bij tal van bedrijven.

En daar blijft het niet bij: mensen gingen massaal telewerken. Bestaande policies over hoe met bepaalde bedrijfsdata wordt omgesprongen, zijn dringend aan bijwerking toe gezien de nieuwe manier van werken. Gevoelige dossiers slingeren thuis rond, vergaderingen worden digitaal opgenomen via Teams of Skype, thuiswerkende partners of rondhangende studenten worden ongenodigde gasten in een vertrouwelijk gesprek. De regels over wat mag en wat niet zijn vaak ongeschreven en dus vaag.

Gezondheid én privacy: het beste van 2 werelden?

Toegegeven, het is een moeilijke evenwichtsoefening. De GDPR laat in bepaalde gevallen wel uitzonderingen toe op het verwerken van een speciale categorie van persoonsgegevens, zoals gezondheidsgegevens. Volksgezondheid is zo’n geldige reden. Maar corona mag niet het codewoord zijn om alle privacyregels overboord te gooien. Het niet respecteren van deze privacyregels kan leiden tot reputatieschade tot zelfs boetes voor je onderneming indien een bezoeker of medewerker een klacht zou indienen wegens het schenden van zijn privacy. Maar hoe houd je als ondernemer je bedrijf ‘gezond’ – en dit keer doelen we niet op je financiële cijfers ¬– met respect voor de privacyregels? Het updaten van je privacypolicy, bijvoorbeeld, is een aandachtspunt waarin wij je graag ondersteunen.

Kan je privacy policy een virusscan gebruiken?

Schrijf je in voor onze livestreamsessie op 18 juni van 10 - 11.30 uur en hoor rechtstreeks van onze legal consultant David Seghers wat je kunt doen om ook tijdens de coronacrisis privacyproof te zijn.

Gerelateerde artikelen

refresh Meer artikelen