Stappenplan voor een GDPR-conform medewerkersbeleid

Lees zeker ook onze FAQ en gebruik de modellen van scwitch.

Nieuw is het model van verwerkingsregister dat Sociare opmaakte voor uw verwerkingsactiviteiten die betrekking hebben op personeelsgegevens. Bekijk ook eens het model van privacyverklaring, opgemaakt door unisoc in samenwerking met Sociare. Verwijs ernaar in je arbeidsreglement en telkens wanneer je bij de werknemer persoonsgegevens opvraagt. Zoek in ons model arbeidsreglement op ‘GDPR’ en vind alle gerelateerde clausules.

Op de website van het Vlaams Steunpunt vrijwilligerswerk lees je tips en vind je modeldocumenten die je helpen om je ook in orde te stellen naar je vrijwilligers toe. Je kan op onze website ook een model van privacyverklaring voor vrijwilligers terugvinden.

1. Duid een verantwoordelijke aan en/of stel een team samen voor dit project

Tip: medewerkers die de verwerkingsactiviteiten van je organisatie kennen, werken best samen met diegene die de ict in je organisatie opvolgt voor wat betreft de technische aspecten en beveiliging.

Ga ook na of je organisatie verplicht is om een DPO aan te stellen, want die ondersteunt je in het ganse proces.

2. Breng in kaart welke persoonsgegevens je van medewerkers en sollicitanten verwerkt.

Alsook waarom, hoe en hoe lang je ze verwerkt en aan wie je ze doorgeeft

3. Toets dat overzicht aan de GDPR-principes:

• Legaliteit: de verwerking moet een gerechtvaardigd doel hebben.

Tip: de meeste verwerkingsactiviteiten van werkgevers zijn gerechtvaardigd door een wettelijke of contractuele verplichting. Het ondergeschikt verband en de loyauteitsplicht van de werknemer geeft de werkgever voor het overige meestal een gerechtvaardigd belang, maar verhindert dan weer een vrije toestemming van de werknemer. Sollicitanten, freelancers en vrijwilligers kunnen wel geldig toestemmen als dat vrij, actief, specifiek en geïnformeerd gebeurt.

• Proportionaliteit: ga nooit verder dan wat noodzakelijk is voor het doel van je verwerking, kies altijd voor het minst privacy ingrijpende alternatief. Verzamel je niet te veel gegevens, bewaar je ze niet te lang? Dat kan je binnenkort toetsen aan onze tabel met wettelijke bewaar- en verjaringstermijnen (nog onder constructie)

Doe de nodige aanpassingen en stop verwerkingsactiviteiten die je niet kunt rechtvaardigen op basis van deze principes.

4. Giet het resultaat in een register

Tip: start binnenkort vanuit ons model, dat specifiek is afgestemd op personeelsgegevens. Verwerk je in dat kader toch nog andere gegevens, vul het register dan aan. Vragen of twijfels bij die gegevens? Contacteer ons.

5. Informeer medewerkers en sollicitanten over de verwerking van hun persoonsgegevens binnen je organisatie

Tip: start voor personeelsgegevens vanuit het model van privacyverklaring dat alle verplichte vermeldingen bevat en verwijs ernaar in het arbeidsreglement.

Heb je camera’s op de werkvloer of controleer je je werknemers bij het verlaten van de organisatie en/of op het gebruik van e-mail internet en sociale media? Maak dan een aparte policy daarover en pas de specifieke cao-regels toe. Aangepaste modellen volgen nog.

6. Lijst de technische en organisatorische maatregelen op die je neemt om de veiligheid en vertrouwelijkheid van persoonsgegevens te waarborgen

7. Toets die maatregelen aan de GDPR-vereisten:

• Volstaan deze maatregelen, gelet op de risico’s enerzijds en wat technisch, financieel en praktisch haalbaar is anderzijds? Ben je in staat om datalekken tijdig op te sporen, te onderzoeken en te melden? Vergeet geen maatregelen voor werknemers die uit dienst treden of lang afwezig zijn!
• Doe aanpassingen waar nodig, op maat van je organisatie. Tips en tools op safeonweb.be en whitewire.be. Selecteer wat nuttig en nodig is voor jouw organisatie. Informeer je medewerkers over de maatregelen, bv. via een ict-policy, en controleer de naleving ervan.

8. Beschrijf de technische en organisatorische maatregelen op algemene wijze in het register.

9. Ga na of in de overeenkomsten met je externe verwerkers, zoals het sociaal secretariaat en het selectiebureau, alle verplichte vermeldingen en de nodige waarborgen staan.

Sociare staat ook in contact met enkele sociale secretariaten en externe preventiediensten hierover. Meer nieuws daarover volgt binnenkort.

10. Bereid je voor op medewerkers en sollicitanten die hun recht op inzage en kopie, overdraagbaarheid, vergetelheid, … kunnen uitoefenen na 25 mei. Zorg dat dit makkelijk kan en dat je tijdig kunt reageren. Informeer over de procedure via de privacyverklaring.

En verder...

Documenteer alle analyses die je maakt en stappen die je neemt om bij controle aan je verantwoordingsplicht te kunnen voldoen.

Zorg ten slotte dat je steeds bij elke HR- beslissing of -proces van meet af aan de privacy van je medewerkers en de bescherming van hun persoonsgegevens volgens de GDPR-principes incalculeert.

Lees alles na in onze FAQ ‘Hoe verwerk ik personeelsgegevens GDPR-conform’.