GDPR: tienstappenplan voor werkgevers

Tegen 25 mei 2018 moeten al je processen in overeenstemming zijn met de strengere Europese regels over de bescherming van de persoonsgegevens (GDPR). Maar wat betekent dat nu precies? Wat moet je als werkgever hier concreet voor doen?

Volg ons handige tienstappenplan! Zo ben je zeker dat je alles hebt gecoverd.
 

1. Vraag aandacht voor privacy.

De regels rond privacy verstrengen, daar kan niemand onderuit. Elke onderneming verwerkt (= bijhouden, opslaan, bewerken enz.) persoonsdata (= elk gegeven over een persoon). Bijgevolg geldt de GDPR voor elke onderneming, hoe klein ook.

Persoonsgegevens verwerken is slechts toegelaten wanneer daar een geldige reden voor is. Deze redenen zijn limitatief opgesomd in de verordening. De belangrijkste zijn:

• om te voldoen aan een wettelijke verplichting;
• om een gerechtvaardigd belang te behartigen;
• de toestemming van de persoon.

Sleutelfiguren in je onderneming moeten beseffen dat niet zomaar alle persoonsgegevens mogen worden verwerkt. En als de verwerking wel is toegestaan, moet ze met de grootst mogelijk bescherming van de privacy gebeuren.

Tip: misschien bestaat er al een risicoregister in je onderneming, dat kan een nuttig vertrekpunt zijn.

2. Stel een Data Protection Officer (DPO) aan.

Overheidsinstanties of overheidsorganen die persoonsgegevens verwerken, behalve de rechtbanken, moeten sowieso een DPO aanstellen. Verwerk je op grote schaal persoonsgegevens of zijn de data van gevoelige aard, dan moet ook je een DPO benoemen.

De DPO kan een medewerker zijn – bv. het hoofd van de IT-beveiliging – of iemand buiten de onderneming. Hij of zij ziet toe op het privacybeleid en coördineert alle acties.

3. Maak een dataregister.

Elke onderneming moet een dataregister bijhouden, dat is een overzicht van alle gegevensverwerkingen. Op de website van de Privacycommissie vind je een voorbeeld met handleiding erbij.

4. Verhoog de transparantie over gegevensverwerking.

Transparantie over de verwerking van persoonsgegevens was al langer verplicht, maar die verplichting wordt nu uitgebreid. Je SD Worx-contactpersoon kan je bepalingen aanreiken die je in het Arbeidsreglement kunt opnemen om je te helpen om de werknemers te informeren over hun rechten. De bepalingen zijn een aanzet, je moet nog aanvullen met de elementen die relevant zijn in jouw onderneming.

5. Vrijwaar de rechten van betrokkenen.

Personen van wie de gegevens worden verwerkt, krijgen nieuwe of versterkte rechten. Als werkgever moet je ervoor zorgen dat alle personen deze rechten kunnen uitoefenen. Zo moet je inzage kunnen verlenen, of moet je er bijvoorbeeld voor zorgen dat gegevens kunnen worden gewist. Mogelijk zijn hier technische aanpassingen voor nodig.

6. Kweek een privacyreflex.

Bij elke ontwikkeling van nieuwe processen, tools enzovoort, moet je telkens de reflex hebben om uit te gaan van de grootst mogelijk bescherming van persoonsgegevens. Deze moeten standaard ingebouwd worden vanaf het ontwerp.

7. Voorzie een procedure voor als het toch misgaat.

Hoe goed je je gegevens ook beschermt, een datalek valt nooit uit te sluiten. Daarom moet je een procedure voorzien voor het opsporen, rapporteren en onderzoeken van lekken in de databescherming.

Datalekken die schade kunnen veroorzaken, moeten gemeld worden aan de Privacycommissie.

8. Kijk bestaande contracten na.

Neem bestaande contracten onder de loep. Voldoen ze nog aan de strengere privacyregels? Zijn de voorziene veiligheidsmaatregelen nog wel voldoende?

9. Bepaal de bevoegde autoriteit bij internationale activiteiten.

Als je internationaal actief bent, moet je bepalen onder welke toezichthoudende autoriteit je valt.

10. Schakel hulp in.

De Privacycommissie zal in België toezien op een correcte toepassing van deze nieuwe regels. Ook informeren ze alle geïnteresseerden. Op hun website vind je heel wat nuttige tips en tricks.