GDPR: tienstappenplan voor werkgevers

25 oktober 2017 - Door Kelly Lespinoy - Leestijd: 4 minuten
Schriftelijke afspraken GDPR

Tegen 25 mei 2018 moeten al uw processen in overeenstemming zijn met de strengere Europese regels over de bescherming van de persoonsgegevens (GDPR). Maar wat betekent dat nu precies? Wat moet u als werkgever hier concreet voor doen?

GDPR tien stappen compliance

Volg ons handige tienstappenplan! Zo bent u zeker dat u alles hebt gecoverd.

1. Vraag aandacht voor privacy.

De regels rond privacy verstrengen, daar kan niemand onderuit. Elke onderneming verwerkt (= bijhouden, opslaan, bewerken enz.) persoonsdata (= elk gegeven over een persoon). Bijgevolg geldt de GDPR voor elke onderneming, hoe klein ook.

Persoonsgegevens verwerken is slechts toegelaten wanneer daar een geldige reden voor is. Deze redenen zijn limitatief opgesomd in de verordening. De belangrijkste zijn:

  • om te voldoen aan een wettelijke verplichting;
  • om een gerechtvaardigd belang te behartigen;
  • de toestemming van de persoon.

Sleutelfiguren in uw onderneming moeten beseffen dat niet zomaar alle persoonsgegevens mogen worden verwerkt. En als de verwerking wel is toegestaan, moet ze met de grootst mogelijk bescherming van de privacy gebeuren.

Tip: misschien bestaat er al een risicoregister in uw onderneming, dat kan een nuttig vertrekpunt zijn.

2. Stel een Data Protection Officer (DPO) aan.

Overheidsinstanties of overheidsorganen die persoonsgegevens verwerken, behalve de rechtbanken, moeten sowieso een DPO aanstellen. Verwerkt u op grote schaal persoonsgegevens of zijn de data van gevoelige aard, dan moet ook u een DPO benoemen.

De DPO kan een medewerker zijn – bv. het hoofd van de IT-beveiliging – of iemand buiten de onderneming. Hij of zij ziet toe op het privacybeleid en coördineert alle acties.

3. Maak een dataregister.

Elke onderneming moet een dataregister bijhouden, dat is een overzicht van alle gegevensverwerkingen. Op de website van de Privacycommissie vindt u een voorbeeld met handleiding erbij.

4. Verhoog de transparantie over gegevensverwerking.

Transparantie over de verwerking van persoonsgegevens was al langer verplicht, maar die verplichting wordt nu uitgebreid. Uw SD Worx-contactpersoon kan u bepalingen aanreiken die u in het Arbeidsreglement kunt opnemen om u te helpen om de werknemers te informeren over hun rechten. De bepalingen zijn een aanzet, u moet nog aanvullen met de elementen die relevant zijn in uw onderneming.

5. Vrijwaar de rechten van betrokkenen.

Personen van wie de gegevens worden verwerkt, krijgen nieuwe of versterkte rechten. Als werkgever moet u ervoor zorgen dat alle personen deze rechten kunnen uitoefenen. Zo moet u inzage kunnen verlenen, of moet u er bijvoorbeeld voor zorgen dat gegevens kunnen worden gewist. Mogelijk zijn hier technische aanpassingen voor nodig.

6. Kweek een privacyreflex.

Bij elke ontwikkeling van nieuwe processen, tools enzovoort, moet u telkens de reflex hebben om uit te gaan van de grootst mogelijk bescherming van persoonsgegevens. Deze moeten standaard ingebouwd worden vanaf het ontwerp.

7. Voorzie een procedure voor als het toch misgaat.

Hoe goed u uw gegevens ook beschermt, een datalek valt nooit uit te sluiten. Daarom moet u een procedure voorzien voor het opsporen, rapporteren en onderzoeken van lekken in de databescherming.

Datalekken die schade kunnen veroorzaken, moeten gemeld worden aan de Privacycommissie.

8. Kijk bestaande contracten na.

Neem bestaande contracten onder de loep. Voldoen ze nog aan de strengere privacyregels? Zijn de voorziene veiligheidsmaatregelen nog wel voldoende?

9. Bepaal de bevoegde autoriteit bij internationale activiteiten.

Als u internationaal actief bent, moet u bepalen onder welke toezichthoudende autoriteit u valt.

10. Schakel hulp in.

De Privacycommissie zal in België toezien op een correcte toepassing van deze nieuwe regels. Ook informeren ze alle geïnteresseerden. Op hun website vindt u heel wat nuttige tips en tricks.

U kunt een beroep doen op een consultant van SD Worx Consulting om u te begeleiden. Mail daarvoor naar legalconsulting@sdworx.com of bel +32 (0)78 15 90 22.

Op 7 november en 8 december dit jaar en op 9 februari 2018 organiseert SD Worx Learning een opleiding over GDPR. Ook u kunt van de partij zijn. Neem daarvoor contact op met anouk.reygel@sdworx.com.

Hebt u een sociaaljuridische vraag?

Vraag het aan Ella

Op zoek naar meer informatie?

Contacteer SD Worx

Volg de SD Worx Community