Over minder dan 1 maand wordt de General Data Protection Regulation (GDPR) in alle landen van de Europese Unie van kracht. Ze legt alle ondernemingen van klein tot groot beperkingen op in het gebruik en de verwerking van persoonsgegevens van hun klanten, prospects en werknemers.
Alle ondernemingen moeten hierop anticiperen en zich voorbereiden. Sage heeft 10 gangbare praktijken op de werkplaats geïdentificeerd die vanaf 25 mei bijzondere aandacht verdienen.
1. De verjaardag van een collega vieren – De geboortedatum van een medewerker is een persoonsgegeven. In het kader van de GDPR mag deze informatie alleen met zijn formele toestemming worden gedeeld. Het is dus belangrijk dat eerst van iedereen de toestemming wordt verkregen voordat een kalender met verjaardagen wordt opgesteld en gedeeld.
2. Zakelijke wenskaarten verzenden – Ook bij het verzenden van wenskaarten naar haar klanten moet de onderneming haar gewoonten wijzigen. Als de gebruikte adressen die van de woonplaats zijn, gaat het om persoonsgegevens waarvan de verwerking niet door de GDPR is toegestaan. De onderneming moet er dus eerst de toestemming van zijn klant voor verkrijgen. Als dat niet het geval is, moet een andere reglementaire databank worden opgemaakt voor elke verzonden zakelijke communicatie.
3. Foto’s van de baby van een medewerker delen – De persoonsgegevens mogen pas op internationaal niveau worden overgedragen als de EU meent dat het land een passend niveau voor de bescherming van gegevens verzekert of het land zich voegt naar een goedgekeurd certificeringsmechanisme zoals het Europees-Amerikaanse privacyschild voor de persoonlijke levenssfeer. Als het delen van een babyfoto echter wordt beschouwd als een zuiver persoonlijke activiteit, kan de onderneming aanvoeren dat het niet gaat om een toepassingsgebied van de GDPR.
4. Evenementen: een bestelling plaatsen bij de traiteur – Zijn er medewerkers die allergisch zijn voor noten? Met specifieke religieuze eetgewoonten? Deze gegevens worden als persoonsgegevens beschouwd. Voordat naar een restaurant of traiteur wordt gebeld om een bestelling te plaatsen, moet de onderneming nagaan of ze het akkoord van de betrokken werknemers heeft om deze informatie te delen.
5. Het cv van een kandidaat doorsturen voor een tweede mening – Vóór het doorsturen moet de recruter of medewerker eraan denken om het cv anoniem te maken door de naam, het adres, telefoonnummer en alle andere informatie te wissen die de kandidaat zou kunnen identificeren. Deze aanpak helpt ook seksistische of raciale vooroordelen bij de werving op te heffen, een steeds vaker voorkomende trend.
6. Het inschrijvingsvakje voor een mailinglist aanvinken – Bevat het inschrijvingsformulier op de website van de onderneming een aan te vinken vakje waarmee klanten hun goedkeuring geven om marketinginformatie van derden te ontvangen? Met de GDPR volstaan de vooraf aangevinkte vakjes en het nietsdoen niet langer om de toestemming te bewijzen. Misschien moeten ook de online vertrouwelijkheidseisen herschreven worden, want een verzoek om toestemming voor het gebruik van persoonsgegevens door een onderneming moet verstaanbaar zijn en opgesteld zijn in een duidelijke en eenvoudige taal.
7. Op kantoor over politiek praten – Politieke overtuigingen worden beschouwd als gevoelige persoonsgegevens. Ook al is de onderneming al terughoudend met dit soort informatie, ze moet nu dubbel voorzichtig zijn.
8. Een afwezigheid wegens ziekte melden – De onderneming mag een afwezigheid om medische reden niet meer melden en geen informatie over de gezondheidstoestand van een medewerker meer geven, tenzij deze ermee heeft ingestemd dat deze informatie wordt gedeeld met iedereen die ervan op de hoogte moet zijn.
9. De gegevens controleren – In het kader van de GDPR moeten de ondernemingen iemand aanstellen die verantwoordelijk is voor de vragen over gegevensbescherming en in bepaalde gevallen moet de onderneming officieel een DPO of ‘functionaris voor gegevensbescherming’ aanstellen voordat ze overgaat tot de verwerking op grote schaal van gegevens met een persoonlijk karakter. Deze aangestelde persoon is verantwoordelijk voor het onder de aandacht brengen van de voorschriften op het gebied van gegevensbescherming in zijn organisatie, voor de opleiding van het personeel en voor het beheer van de audits voor gegevensprocessen.
10. Een inbreuk op de gegevensbescherming aanpakken – Als in het kader van de GDPR persoonsgegevens per ongeluk of illegaal zijn verloren, vernietigd, gewijzigd of beschadigd, moet de onderneming binnen de 72 uur de CBPL (Commissie voor de Bescherming van de Persoonlijke Levenssfeer) inlichten. Ze moet eveneens alle betrokken personen inlichten als deze een hoog risico lopen op financieel verlies, identiteitsdiefstal of fraude.