U kon er de laatste maanden niet omheen. Van zodra u persoonsgegevens verwerkt, namelijk gegevens waarmee u (on)rechtstreeks een natuurlijke persoon kan identificeren, zoals bijvoorbeeld iemands naam, bankrekeningnummer, beroepskwalificaties of de GPS-gegevens van zijn of haar dienstwagen, bent u gehouden de AVG te respecteren, beter bekend onder haar Engelse acroniem GDPR. Dit is dus vast het geval voor uw werknemers, ongeacht de grootte van uw onderneming.
Uiteraard heeft de vereiste om zich in de regel te stellen met de AVG tot gevolg dat u tijd en middelen zal moeten uittrekken om een duidelijk beeld te krijgen van wat u precies moet doen… of niet moet doen, zoals bijvoorbeeld het aanduiden van een functionaris voor gegevensbescherming (of Data Protection Officer in het Engels). En oh wee wie de AVG niet naleeft, want er zijn (zware) sancties voorzien. Hierdoor wordt de AVG vaak gezien als een last.
Het is echter vooral ook een opportuniteit om eens orde op zaken te stellen in wat tot nu toe – geef maar toe – vaak een “wirwar” van diverse en niet gestructureerde informatie was.
Een “dashboard” opmaken van de gegevens die u verwerkt
Dat is zo voor de plicht tot het opstellen en bijhouden van een “register van verwerkingsactiviteiten”, een instrumentenpaneel dat samenvat wat u precies doet met verwerkte gegevens, bijvoorbeeld ze aanwenden voor het toezicht op de werkplaats of in het kader van het aanwervingsproces. Het geeft aan welke gegevenscategorieën worden verwerkt en wie de bestemmelingen zijn (maar zonder de gegevens zelf te vermelden), wat het voortaan mogelijk maakt om uw personeelsstromen beter te beheersen, vooral op het vlak van beheer en bewaring van de personeelsdossiers. Verder is dit register ook nuttig voor de verplichte mededeling aan de toezichthouders wanneer de veiligheid van de gegevens geschonden is, namelijk in het geval van een (onopzettelijke of bedrieglijke) ongeoorloofde toegang (bijvoorbeeld bij hacking of indien een fiscale fiche aan een verkeerde begunstigde werd verstuurd), en die toegang een risico inhoudt voor de betrokkene(n), denk maar aan een identiteitsdiefstal.
Licht uw werknemers in
Ook al hoeft dit register niet toegankelijk te zijn voor de personen waarvan de gegevens worden verwerkt, toch zal het resultaat van deze oefening relevant zijn voor het structureren van de informatie die u hen moet meedelen, zoals de doeleinden die u nastreeft bij het verzamelen en het beheer van hun gegevens evenals de rechten waarop ze zich kunnen beroepen. Overigens kan deze informatie aan de werknemers plaatsvinden via een aanpassing van het arbeidsreglement of een specifieke verklaring meegedeeld via het intranet en/of per e-mail.
Ga voor elke verwerking na of er een rechtsgrond is die ze verantwoordt
Het is belangrijk om ervoor te zorgen dat u over (een) toereikende en geldige rechtsgrond(en) beschikt. Het is namelijk zo dat de toezichthouders eerder terughoudend zijn om te aanvaarden dat een verwerking door een werkgever gebaseerd is op de vermeende toestemming van de werknemer. Gelet op het werkgeversgezag, heerst er immers twijfel of een toestemming wel vrij, specifiek, geïnformeerd en ondubbelzinnig is. Bijgevolg zal de werkgever, om de verwerking van de gegevens van zijn werknemers te kunnen verantwoorden, zich meestal beroepen op de noodzaak om de arbeidsovereenkomst uit te voeren en/of om een wettelijke verplichting na te leven waaraan hij onderworpen is (zoals bijvoorbeeld de sociale wetgeving), of zelfs om bepaalde gerechtvaardigde belangen na te streven (bijvoorbeeld in het geval van geolocalisatie van bedrijfswagens).
Betrek uw verwerkers
Vergeet tenslotte niet dat deze oefening ook uw “verwerkers” betreft, diegenen die deze gegevens voor uw rekening verwerken, zoals bijvoorbeeld het sociaal secretariaat of de cloudhost van de software voor uw personeelsbeheer. De AVG somt een aantal vermeldingen op die normaal gezien in de overeenkomst met uw verwerker opgenomen moeten zijn. Let hier dus op wanneer u hen uw ontwerpovereenkomst overmaakt of wanneer u van hen een “template” ontvangt!
Grijp deze kans
Waarom wij dus van mening zijn dat al deze inspanningen een ware opportuniteit zijn voor uw HR departement? Omdat deze grotere transparantie naar uw werknemers toe en de noodzaak om ervoor te zorgen dat hun gegevens beschermd worden tegen elke onrechtmatige verwerking hun vertrouwen versterkt, en dus ook hun engagement naar hun werkgever, uzelf, toe.
Meer informatie vindt u op https://www.gegevensbeschermingsautoriteit.be/
Our partners Newsletter HR & Social:
Advocaten bij Younity :