Ga verder naar de inhoud

Stappenplan voor een GDPR-conform medewerkersbeleid

30.09.2020

Privacywetgeving bestond al langer, maar sinds 25 mei 2018 geldt dat alles strikter en komen daar enkele zaken bij, in het kader van de General Data Protection Regulation, de GDPR.

Ook als werkgever moet je je in orde stellen met deze privacyregels. We maakten hiervoor een stappenplan op dat werkgevers kunnen gebruiken als leidraad samen met onze FAQ's rond GDPR.

Dit stappenplan werd opgemaakt in de aanloop naar de nieuwe privacyregels. Maar het blijft nog steeds relevant voor nieuwe werkgevers of als checklist om na te gaan of je in orde bent met de GDPR-regels.

Lees zeker ook onze FAQ en gebruik de modellen van scwitch.

Nieuw is het model van verwerkingsregister dat Sociare opmaakte voor uw verwerkingsactiviteiten die betrekking hebben op personeelsgegevens. Bekijk ook eens het model van privacyverklaring, opgemaakt door unisoc in samenwerking met Sociare. Verwijs ernaar in je arbeidsreglement en telkens wanneer je bij de werknemer persoonsgegevens opvraagt. Zoek in ons model arbeidsreglement op ‘GDPR’ en vind alle gerelateerde clausules.

Op de website van het Vlaams Steunpunt vrijwilligerswerk lees je tips en vind je modeldocumenten die je helpen om je ook in orde te stellen naar je vrijwilligers toe. Je kan op onze website ook een model van privacyverklaring voor vrijwilligers terugvinden.

In 10 stappen naar een GDPR-conform medewerkersbeleid

1. Duid een verantwoordelijke aan en/of stel een team samen voor dit project

Tip: medewerkers die de verwerkingsactiviteiten van je organisatie kennen, werken best samen met diegene die de ict in je organisatie opvolgt voor wat betreft de technische aspecten en beveiliging.

Ga ook na of je organisatie verplicht is om een DPO aan te stellen, want die ondersteunt je in het ganse proces.

2. Breng in kaart welke persoonsgegevens je van medewerkers en sollicitanten verwerkt.

Alsook waarom, hoe en hoe lang je ze verwerkt en aan wie je ze doorgeeft

3. Toets dat overzicht aan de GDPR-principes:

  • Legaliteit: de verwerking moet een gerechtvaardigd doel hebben.

Tip: de meeste verwerkingsactiviteiten van werkgevers zijn gerechtvaardigd door een wettelijke of contractuele verplichting. Het ondergeschikt verband en de loyauteitsplicht van de werknemer geeft de werkgever voor het overige meestal een gerechtvaardigd belang, maar verhindert dan weer een vrije toestemming van de werknemer. Sollicitanten, freelancers en vrijwilligers kunnen wel geldig toestemmen als dat vrij, actief, specifiek en geïnformeerd gebeurt.

  • Proportionaliteit: ga nooit verder dan wat noodzakelijk is voor het doel van je verwerking, kies altijd voor het minst privacy ingrijpende alternatief. Verzamel je niet te veel gegevens, bewaar je ze niet te lang? Dat kan je binnenkort toetsen aan onze tabel met wettelijke bewaar- en verjaringstermijnen (nog onder constructie)

Doe de nodige aanpassingen en stop verwerkingsactiviteiten die je niet kunt rechtvaardigen op basis van deze principes.

4. Giet het resultaat in een register

Tip: start binnenkort vanuit ons model, dat specifiek is afgestemd op personeelsgegevens. Verwerk je in dat kader toch nog andere gegevens, vul het register dan aan. Vragen of twijfels bij die gegevens? Contacteer ons.

5. Informeer medewerkers en sollicitanten over de verwerking van hun persoonsgegevens binnen je organisatie

Tip: start voor personeelsgegevens vanuit het model van privacyverklaring dat alle verplichte vermeldingen bevat en verwijs ernaar in het arbeidsreglement.

Heb je camera’s op de werkvloer of controleer je je werknemers bij het verlaten van de organisatie en/of op het gebruik van e-mail internet en sociale media? Maak dan een aparte policy daarover en pas de specifieke cao-regels toe. Aangepaste modellen volgen nog.

6. Lijst de technische en organisatorische maatregelen op die je neemt om de veiligheid en vertrouwelijkheid van persoonsgegevens te waarborgen

7. Toets die maatregelen aan de GDPR-vereisten:

  • Volstaan deze maatregelen, gelet op de risico’s enerzijds en wat technisch, financieel en praktisch haalbaar is anderzijds? Ben je in staat om datalekken tijdig op te sporen, te onderzoeken en te melden? Vergeet geen maatregelen voor werknemers die uit dienst treden of lang afwezig zijn!
  • Doe aanpassingen waar nodig, op maat van je organisatie. Tips en tools op safeonweb.be en whitewire.be. Selecteer wat nuttig en nodig is voor jouw organisatie. Informeer je medewerkers over de maatregelen, bv. via een ict-policy, en controleer de naleving ervan.

8. Beschrijf de technische en organisatorische maatregelen op algemene wijze in het register.

9. Ga na of in de overeenkomsten met je externe verwerkers, zoals het sociaal secretariaat en het selectiebureau, alle verplichte vermeldingen en de nodige waarborgen staan.

Sociare staat ook in contact met enkele sociale secretariaten en externe preventiediensten hierover. Meer nieuws daarover volgt binnenkort.

10. Bereid je voor op medewerkers en sollicitanten die hun recht op inzage en kopie, overdraagbaarheid, vergetelheid, … kunnen uitoefenen na 25 mei. Zorg dat dit makkelijk kan en dat je tijdig kunt reageren. Informeer over de procedure via de privacyverklaring.

En verder...

Documenteer alle analyses die je maakt en stappen die je neemt om bij controle aan je verantwoordingsplicht te kunnen voldoen.

Zorg ten slotte dat je steeds bij elke HR- beslissing of -proces van meet af aan de privacy van je medewerkers en de bescherming van hun persoonsgegevens volgens de GDPR-principes incalculeert.

Lees alles na in onze FAQ ‘Hoe verwerk ik personeelsgegevens GDPR-conform’.

Anderen lazen ook dit:

Gegevensbeschermingsautoriteit verduidelijkt: wanneer zijn DPO en PIA verplicht?

De GBA heeft haar standpunt verduidelijk over wanneer een DPO en PIA verplicht zijn. We geven in dit artikel een toelicht van het overheidsbegrip volgens de GBA. En we hebben het over de lijst van de GBA met verwerkingsactiviteiten waarvoor in elk geval een PIA moet gebeuren.

GDPR-verplichtingen voor de werkgever - de voorbereiding

Hoe vul je als werkgever je verplichtingen concreet in voor de verwerking van gegevens en waar moet je overal rekening mee houden? In deze FAQ lees je een aantal veel gestelde vragen over de voorbereiding.

Komaf maken met jouw kopzorgen rond het inzetten van personeel?

Doe net als +800 socioculturele collega-organisaties, en sluit je vandaag nog aan bij Sociare!