GDPR
‘GDPR’ staat voor de General Data Protection Regulation (of AVG voor Algemene Verordening Gegevensbescherming in het Nederlands). GDPR is de nieuwe reglementering op het gebied van gegevensbescherming en vervangt de vroegere teksten over dat onderwerp (de Richtlijn 95/46/EG en de Belgische privacywet van 8 december 1992).
GDPR trad in werking op 25 mei 2018. Hoewel de hoofdprincipes van de GDPR dezelfde zijn als die van de vorige wetgevingen, bevat de verordening ook bepaalde nieuwe regels (bijvoorbeeld op het vlak van de rechten die worden toegekend aan personen van wie de gegevens worden verwerkt en van de verplichtingen van ‘data processors’).
Hoewel de Europese autoriteiten wensen dat op termijn GDPR-certificeringssystemen worden ontwikkeld, bestaan die momenteel nog niet. Securex volgt dit van nabij op. Op het gepaste tijdstip evalueren we of het wenselijk is om hierbij aan te sluiten. Op dit moment beschikt het Securex sociaal secretariaat over een ISAE 3402-certificering. In het kader hiervan evalueren we de naleving van GDPR. Ook de EDPBW (Externe Dienst voor Preventie en Bescherming op het Werk) beschikt over een ISO9001-certificering.
Ja. Eén van de nieuwe regels van de GDPR is dat in bepaalde gevallen aan ondernemingen de verplichting wordt opgelegd om een ‘Data Protection Officer’ (DPO) te benoemen. Bijvoorbeeld wanneer de basisactiviteiten van de betrokken onderneming bestaan uit verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
Dit is het geval voor Securex, die in zijn verschillende activiteiten een groot aantal persoonsgegevens verwerkt van werknemers, zelfstandigen of bedrijfsleiders (of van hun gezinnen voor wat het kinderbijslagfonds betreft).
Die vraag moet per activiteit worden beantwoord. Voor een groot aantal activiteiten is Securex ‘data processor’ (bv. loonadministratie) want ze verwerkt persoonsgegevens van werknemers op basis van instructies van werkgevers die zelf ‘data controllers’ zijn. Voor andere activiteiten is Securex een ‘data controller’ want we stellen zelf de doelstellingen en modaliteiten van de gegevensverwerking vast (bv. verzekeringen, enquêtes, ...) of de wet verleent ons die hoedanigheid (bv. medische controle, EDPBW).
Algemeen gesteld is de werkgever/ben je voor de activiteiten van sociaal secretariaat de ‘data controller’ (want je geeft de nodige instructies voor het opstellen en versturen van de loonfiche) en is het sociaal secretariaat van Securex de ‘data processor’ (want Securex handelt op basis van uw instructies).
Ook als je een beroep doet op een HR-consultant van Securex ben je de ‘data controller’ voor de gegevens die deze consultant verwerkt en is Securex de ‘data processor’.
Wanneer je echter intekent op een verzekering van Securex (bv. arbeidsongevallenverzekering of verzekering gewaarborgd inkomen) is Securex ‘data controller’ van de gegevens die in uitvoering van dit verzekeringscontract worden verwerkt.
Zo is Securex voor de prestaties van preventieve geneeskunde (EDPBW) en controlegeneeskunde (MCM) ‘data controller’ van de gegevens met betrekking tot de gezondheid van de betrokken werknemers (omdat de arts onafhankelijk is ten opzichte van de werkgever).
‘Data breach’ (of inbreuk in verband met persoonsgegevens) is elke situatie waarin een inbreuk op de beveiliging (...) per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
‘Data breaches’ in de zin van GDPR zijn dus bij voorbeeld: inbraak in de server met raadpleging van de persoonsgegevens, per ongeluk vernietigen (buiten de IT-procedures die hiervoor werden opgesteld) van een harde schijf waarop zich persoonsgegevens bevinden, niet toegelaten bekendmaking van persoonsgegevens die op de infrastructuur van de Groep Securex werden verkregen.
In het geval dat Securex ‘data processor’ is (bijvoorbeeld voor het sociaal secretariaat), zullen we je zo snel mogelijk inlichten door middel van een specifiek formulier. Op dat formulier zal alle informatie zijn opgenomen waarmee je jouw meldingsplicht aan de Gegevensbeschermingsautoriteit (afgekort GBA) kunt vervullen.
De ‘data controller’ (uzelf voor het sociaal secretariaat, Securex zelf voor andere opdrachten, zie hierboven) moet het bestaan van een ‘data breach’ in bepaalde omstandigheden melden aan de GBA.
Securex heeft een procedure en specifieke formulieren uitgewerkt om je binnen de opgelegde termijn de informatie mee te delen die je moet opnemen in jouw melding aan de GBA (of om desgevallend onze eigen meldingsplicht aan de GBA te vervullen).
Securex heeft organisatorische maatregelen (benoeming van een DPO, van een CISO, ...) en proceduremaatregelen (procedures, gedragslijnen, veiligheidshandleiding) uitgewerkt om de IT- en fysieke beveiliging van de persoonsgegevens die ze verwerkt te waarborgen.
Bovendien zijn bepaalde van zijn activiteiten gecertificeerd (het sociaal secretariaat beschikt over een ISAE 3402-certificering en de activiteit van EDPBW over een ISO9001-certificering).
Klik hier voor een reeks van artikelen op lex4you.be die handelen over jouw verplichtingen als werkgever.
- Voor een model van Privacy Policy of dataregister voor een HR-verwerking kan je terecht in onze e-shop of jouw Legal Advisor contacteren.
- Wens je een concreet advies en/of wil je weten welke weerslag GDPR op jouw HR-beleid heeft? Dan kan je een betalend advies vragen en/of een GDPR-screening van jouw volledige HR-beleid (betalend) vragen aan uw Legal Advisor.
- Als je een opleiding over GDPR wilt volgen, raadpleeg dan onze opleidingsagenda.
Securex mag geen algemene consultancyopdrachten over GDPR uitoefenen. We kunnen je echter helpen met een dataregistermodel voor HR-verwerking van persoonsgegevens. Je vindt in onze e-shop een modeldocument of kunt het aanvragen bij onze Legal Advisors.
Securex verwerkt jouw gegevens enkel in Europa. De servers van Securex (waarop zich onder meer de gegevens van je werknemers bevinden voor de dienstverlening sociaal secretariaat) zijn bv. in België gelegen.
Voor bepaalde specifieke diensten kunnen onderaannemers beperkt toegang hebben tot bepaalde persoonsgegevens. Van eventuele onderaannemers wordt verwacht dat ze aan dezelfde voorwaarden en verwachtingen voldoen.
Er wordt contractueel geborgd en opgevolgd dat die onderaannemers die gegevens in de Europese Unie of een ander adequaat land verwerken (zoals het Verenigd Koninkrijk of Zwitserland).