Menu fr

GDPR

Actief is GDPR-proof: informatieve nota

Op 25 mei 2018 is de GDPR van kracht geworden. De afkorting GDPR staat voor ‘General Data Protection Regulation’. Dit is een nieuwe Europese Verordening ter bescherming van de privacy van personen door een verstrenging van de regels m.b.t. de verwerking van persoonsgegevens (EU-Verordening 2016/679 van 27-04-2016).

Waarover gaat de GDPR?

De GDPR regelt de wijze waarop persoonsgegevens verwerkt moeten worden. Persoonsgegevens zijn alle mogelijke data die kunnen leiden tot de identificatie van een bepaalde persoon. Een naam, een adres, een geboortedatum of een rijksregisternummer zijn voor de hand liggende voorbeelden van persoonsgegevens. Maar ook een e-mailadres, een login, een foto, de nummerplaat van een voertuig of het IP-adres van een computer zijn persoonsgegevens.

Verwerken van een persoonsgegeven houdt in “dat er iets gebeurt met dit persoonsgegeven en dat men het met een bepaalde reden gaat gebruiken.” Het louter kennis nemen van een persoonsgegeven is nog geen verwerking. Maar van zodra een persoonsgegeven wordt opgeslagen in een digitaal of papieren klassement, of wanneer het wordt gebruikt in een communicatie, is er sprake van verwerking.

De EU-Verordening definieert het begrip ‘verwerking’ door volgende opsomming van handelingen: “verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

De GDPR is alleen van toepassing op fysieke personen, niet op rechtspersonen. Een fysieke persoon is een mens van vlees en bloed. Rechtspersonen zoals een bvba of een nv vallen niet onder het toepassingsgebied van de GDPR.

Welke verplichtingen brengt de GDPR met zich mee?

De verwerking van persoonsgegevens moet vanaf 25-05-2018 gebeuren in overeenstemming met de regels van de GDPR. De GDPR formuleert een aantal beginselen, waaraan elke verwerking van persoonsgegevens zou moeten voldoen:

  • de verwerking moet rechtmatig en transparant zijn en behoorlijk worden uitgevoerd;
  • zij moet gebeuren in functie van een bepaald doel;
  • men moet in een communicatie ‘data minimalisatie’ nastreven, d.w.z. het aanwenden van zo weinig mogelijk persoonsgegevens om een bepaald doel te bereiken;
  • de verwerkte gegevens moeten juist en actueel zijn;
  • de opslag van persoonsgegevens moet worden beperkt tot de tijd die nodig is om een bepaald doel te bereiken;
  • de personen die de verwerking uitvoeren horen op een integere en vertrouwelijke manier om te gaan met de persoonsgegevens.

Daarnaast dient te worden gestreefd naar een zo hoog mogelijk niveau van bescherming van deze gegevens. Hiertoe dienen zowel organisatorische als technische maatregelen te worden genomen, rekening houdend met de actuele stand van de technologie.

Sommige bedrijven zijn verplicht om een register van verwerkingsactiviteiten aan te maken en bij te houden: dit is een beschrijving van alle interne bedrijfsprocessen waarbij persoonsgegevens worden verwerkt.

In bepaalde gevallen zal een ‘Data Protection Officer’ moeten worden aangesteld. Dit is de interne of externe persoon of instantie die toezicht houdt op de naleving van de GDPR-regels binnen een bedrijf of een organisatie.

Voor de verwerking voor persoonsgegevens mag beroep worden gedaan op een externe partner, zoals bijvoorbeeld de uitbesteding door een onderneming van zijn loonadministratie aan een sociaal secretariaat. Deze laatste wordt dan aanzien als de “verwerker” die in opdracht en onder de eindverantwoordelijkheid van de onderneming (de “verwerkingsverantwoordelijke”) toegang krijgt tot een welbepaalde groep van persoonsgegevens.

De GDPR legt ook de verplichting op om proactief na te denken over de gevolgen van veranderingsprocessen op de bescherming van de privacy. Bij belangrijke wijzigingen op organisatorische en technisch vlak zal de DPO moeten overgaan tot een gegevens-effectbeoordeling.

Welke rechten heeft een persoon wiens gegevens worden verwerkt?

De GDPR kent een aantal rechten toe aan de persoon van wie de gegevens worden verwerkt. Een aantal van deze rechten kenden wij reeds in België op basis van bestaande nationale regelgeving, zoals het recht om inzage te hebben in de persoonsgegevens die door een bedrijf of een organisatie worden verwerkt, of het recht om deze gegevens te laten verbeteren als ze niet meer overeenstemmen met de werkelijkheid.

De GDPR heeft daarnaast een aantal nieuwe rechten geïntroduceerd. Zo heeft een persoon voortaan het recht om een bepaalde verwerking te laten stopzetten of om alle gegevens te laten wissen (het ‘recht op vergetelheid’). De GDPR voorziet ook de mogelijkheid van een overdracht van gegevens tussen twee verwerkingsverantwoordelijken, bijvoorbeeld bij een verandering van werkgever.

De persoon die van oordeel is dat zijn of haar rechten zijn geschonden, kan – eventueel na een eerste contact met de verwerkingsverantwoordelijke zelf – een klacht indienen bij de Privacycommissie (website – telefoon 02-274.48.00 – commission@privacycommission.be).

De Gegevensbeschermingsautoriteit (nieuwe naam van de Privacycommissie) krijgt naar aanleiding van de GDPR ook ruimere bevoegdheden om verwerkingsverantwoordelijken te controleren op de naleving van de GDPR-regels en bij inbreuken sancties op te leggen.

Hoe gaat de Actief-groep om met de GDPR?

Als HR-partner voor ondernemingen, verwerken wij dagelijks grote hoeveelheden persoonsgegevens van kandidaten, uitzendkrachten, werknemers, klanten en leveranciers. Wij hebben altijd al veel aandacht besteed aan een discrete omgang met persoonsgegevens, en met de invoering van de GDPR hebben wij extra maatregelen genomen om te komen tot het hoogst mogelijke beveiligingsniveau van de ons toevertrouwde persoonsgegevens.

  • Hoe wij als HR-onderneming met de GDPR omgaan, kan u terugvinden in de privacyverklaring van de Actief-groep.
  • Bent u klant-bedrijf en wilt u wat meer info over de materie, dan kan u onze bijzondere voorwaarden GDPR raadplegen.

De dpo van Actief kan u bereiken via dpo@actief.be.