De volgende maanden zal u hier geregeld artikels over de GDPR kunnen lezen, de General Data Protection Regulation. Tegen 25 mei zal ook u de nodige stappen moeten zetten om zich in regel te stellen met deze nieuwe Europese verordening.
Met de nieuwe GDPR-verordening wil men werkgevers vooral bewustmaken van het grote aantal persoonsgegevens dat zij bijna op dagelijkse basis verwerken. Namen, adressen, telefoonnummers, mailadressen,… Er wordt heel wat verzameld en verwerkt. Ook door u, dat kon u in een vorig artikel lezen.
Voortaan zal u op een bewuste en correcte manier met deze data moeten omspringen. Daarvoor zal u zich aan een aantal richtlijnen moeten houden: de vijf basisprincipes van dataverwerking.
1. Zorg voor een rechtmatige grondslag
Het klinkt wat zwaar op de hand, maar in feite is het heel eenvoudig: vooraleer u persoonsgegevens begint te verwerken, moet u er zeker van zijn dat u hiervoor een grondige reden hebt. De meest voor de hand liggende redenen zijn diegene die u door één of andere wet worden opgelegd. Wat personeelsgegevens betreft denken we dan meteen aan de wettelijke bewaartermijnen die in de wet zijn voorzien. In een later artikel zetten we die voor u nog eens op een rijtje. Ook contractuele relaties vereisen het verwerken van bepaalde gegevens. U kan immers geen arbeidsovereenkomst afsluiten zonder daarin minstens naam, adres en rijksregisternummer te vermelden. Valt uw gegevensverwerking met geen van deze redenen te verantwoorden, dan is er nog steeds het “gerechtvaardigd belang”, de typische restcategorie waar u met wat fantasie heel veel in kwijt kan. En vindt u ook daar niet wat u zoekt, dan rest u nog één andere optie: de betrokken persoon om uitdrukkelijke toestemming vragen voor het verwerken van zijn of haar gegevens.
2. Verzamel gegevens voor een specifiek doel
Hebt u de reden voor uw dataverwerking bepaald - bijvoorbeeld het opstellen van een arbeidsovereenkomst en de verdere loonadministratie - dan kan u gegevens beginnen te verwerken. Doch wel uitsluitend voor dit specifieke doel. De gegevens die u opvraagt en opslaat van uw nieuwe medewerker mag u ook enkel voor dit vooraf bepaalde doel gebruiken. Neem nu het mailadres dat u nodig hebt voor het versturen van de e-loonbrieven, dat mag u niet zonder meer aan uw adressenbestand toevoegen dat u gebruikt om reclame te maken voor uw wekelijkse menu of speciale acties. Vooraleer u dat doet zal u eerst een nieuwe rechtmatige grondslag moeten bepalen en desnoods opnieuw de toestemming moeten vragen van de betrokkene.
3. Verzamel niet meer gegevens dan noodzakelijk
Beperk u bij elke verwerking tot de gegevens die u voor dat bepaalde doel nodig hebt. Dat uw nieuwe werknemer twee kinderen ten laste heeft dient u te weten voor een correcte loonberekening. De namen en geboortedatums van die kinderen hebt u hierbij niet nodig en mag u dus ook niet opvragen. Stel dat u uw werknemers en hun gezin ook een hospitalisatieverzekering zou aanbieden, dan is er weer wel een rechtmatige grondslag en een nieuw doel waarvoor u deze gegevens nodig zou kunnen hebben.
4. Hou de data niet oneindig bij
U mag de verzamelde gegevens niet langer bijhouden dan strikt noodzakelijk. Meer nog, u hebt zelfs een actieve wisplicht. Eens de grondslag en het doel het niet meer vereisen, zal u de gegevens daadwerkelijk moeten verwijderen. Voor personeelsgegevens kan u ook hier weer de wettelijke bewaar- en bezwaartermijnen als richtlijn nemen.
5. Wees transparant naar het individu
Naast wisplicht hebt u ook een informatieplicht tegenover de personen waarvan u gegevens verwerkt. Het moet voor iedereen die daar om vraagt duidelijk zijn welke gegevens u verwerkt, met welk doel u dit doet, hoe lang u ze bijhoudt en bij wie die persoon terecht kan met vragen en verzoeken.
De rechten van het individu bespreken we in een volgend bericht.
Lees ook:
Wist u dat u ook onder de GDPR-verplichting valt?