GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst
De General Data Protection Regulation (GDPR) is een Europese Verordening ter bescherming van persoonsgegevens en gaat over de verzameling, het gebruik en de beveiliging van persoonsgegevens. Indien je niet in orde bent, riskeer je boetes die kunnen oplopen tot vier procent van je jaarlijkse omzet. We geven je 4 praktische tips om je in regel te stellen met de GDPR en zo boetes te vermijden.
1. Breng persoonsgegevens in kaart. Je hebt er meer dan je zou denken.
Wat zijn nu juist die persoonsgegevens? Je hebt veel gegevens van je personeelsleden. Die reiken uiteraard veel verder dan enkel naam, voornaam, geslacht, leeftijd of adres. Je beschikt ook over evaluaties, camerabeelden, medische attesten, waarschuwingsbrieven, foto’s op het intranet, gegevens van controles op e-mail en internetgebruik, gegevens over tijdsregistratie enzovoort. Mogelijk beschik je daarnaast ook over gegevens van leveranciers of klanten en van sollicitanten.
Maak een overzicht van al deze persoonsgegevens in een verwerkingsregister. Daarin moeten alle verwerkingen van de gegevens worden opgenomen, samen met het doel waarvoor ze verwerkt worden en hun rechtsgrond (zie hieronder).
2. Ga na op welke wettelijke grondslag je je kan beroepen voor het gebruik van de gegevens
Je moet altijd een wettelijke grondslag hebben om persoonsgegevens te verwerken, op te slaan, door te geven... Toestemming van de betrokkene is één mogelijke wettelijke grondslag, op voorwaarde dat deze vrij, specifiek en geïnformeerd is. Een ‘vrije’ toestemming binnen een werknemer-werkgeversrelatie is weliswaar steeds voor discussie vatbaar. Daarom deze tip: beroep je in eerste instantie op een van de volgende wettelijke grondslagen, indien mogelijk:
- uitvoering van een overeenkomst
- naleven wettelijke verplichting
- gerechtvaardigd belang
Als je je op één van bovenstaande grondslagen kan beroepen, is de toestemming van de werknemer in principe niet meer nodig (al zijn er enkele uitzonderlijke gevallen).
Zo is de wettelijke grondslag voor het verwerken van de naam, adresgegevens en het rekeningnummer van de werknemer bijvoorbeeld, de uitvoering van de arbeidsovereenkomst. Om gegevens uit een evaluatie te gebruiken, kan je als grondslag een gerechtvaardigd belang aantonen. Om foto’s van werknemers (zowel intern als extern) te gebruiken daarentegen, heb je wel nog steeds de uitdrukkelijke toestemming van de persoon op de foto nodig.
3. Stel de nodige policies op
Daarnaast voorziet de GDPR een informatieverplichting. Dat betekent dat je je werknemer of een andere betrokkene moet informeren over de verwerking van zijn/haar persoonsgegevens. Wij raden daarom aan om een policy (‘Privacy Policy’) op te stellen waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Je moet ze informeren over hoe lang je deze gegevens zal bewaren en welke rechten zij hebben. Ten slotte is het ook belangrijk dat je medewerkers een aanspreekpunt hebben als ze een klacht hebben of als ze hun gegevens willen opvragen, wijzigen of verwijderen.
Anderzijds stel je best ook een gedragscode op voor je medewerkers waarin je beschrijft wie met persoonsgegevens van klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Mag een medewerker bijvoorbeeld thuis vertrouwelijke documenten afdrukken? Heeft iedereen een persoonlijk wachtwoord, of is alles open beschikbaar?
Tot slot verifieer je best of je huidige policies (internet- en e-mailbeleid, camerabewaking etc.) GDPR-proof zijn.
4. Hou zicht op de bewaartermijnen
De GDPR stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is. Met deze abstracte regel als richtlijn moet je dus nagaan hoe lang de wettelijke bewaartermijn is van de verschillende persoonsgegevens, rekening houdend met de bedoeling van de gegevens. Indien de gegevens de wettelijke bewaartermijn bereiken, moet je ze wissen of anoniem maken. Een voorbeeld: hoe lang hou je een waarschuwingsbrief bij? Om de bewaartermijn daarvan te bepalen, hou je best rekening met de wettelijke termijnen waarbinnen een werknemer zijn ontslag kan aanvechten.
Check dan ook de bewaartermijnen aan de hand van geldende regelgevingen en breng ze in kaart (in het verwerkingsregister).
Vermijd boetes bij niet-naleving van de GDPR
De boetes bij niet-naleving van de GDPR lopen hoog op. Zorg dat jouw onderneming GDPR-compliant is met het adviespakket van Acerta:
Geschreven door
Managing consultant