12.03.2018

GDPR: de meest gestelde vragen tijdens onze workshops

header article faq gdpr.jpg

SOCIALware organiseert praktische Start2GDPR workshops om vzw’s te helpen bij het opzetten van hun GDPR-traject. (Lees meer informatie over de workshops)

Hieronder delen we de meest voorkomende vragen van de deelnemende vzw’s die tijdens de Start2GDPR sessies zijn besproken. Onderstaande inhoud is een weergave van de discussies die plaatsvonden tijdens de workshops en hebben niet de ambitie om exhaustieve antwoorden te geven. Aldus mogen onderstaande teksten niet als juridisch advies beschouwd worden.

De meest gestelde onderwerpen :

 


Onderscheid in aard en middelen van vzw


Onze vzw heeft beperkte middelen. Hoe kunnen we te werk gaan zodat het ons niet te veel kost?


Algemeen kan men stellen dat niet de grootte van de organisatie maar wel het type gegevens (gevoelige of niet), en het belang van de verwerking ervan (op grote schaal of regelmatige basis) gegevens bepalend zijn voor het detailleren van de basisdocumentatie, de risico-evaluatie en het nemen van de nodige maatregelen en beslissingen (bijvoorbeeld een DPO aanstellen). De ingezette middelen moeten in verhouding blijven met de middelen en de doelstelling van de organisatie.

In elk geval geeft de verzameling en verwerking van gevoelige persoonsgegevens aangaande ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of biometrische kenmerken, gezondheid, iemands seksueel gedrag of seksuele gerichtheid (waarvan de verwerking in principe verboden is, maar wordt aanvaard onder bepaalde voorwaarden)  aanleiding tot een aantal belangrijke maatregelen, inclusief het aanstellen van een DPO (Data Protection Officer). Ook kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, zo kunnen zij, wanneer de verwerking is gebaseerd op “toestemming” zelf geen toestemming geven en is de tussenkomst van de ouder nodig voor bijvoorbeeld: het aanmaken van een online profiel op sociale media.


Communicatie naar de buitenwereld


Hoe communiceren over GDPR ?
Bestaat er een keurmerk ‘GDPR compliant’ dat ik in mijn communicatie kan gebruiken?


Nee, dergelijk keurmerk bestaat vandaag niet. In de toekomst kunnen deze mogelijk worden voorzien door de nationale of Europese overheden. De reden waarom deze vandaag niet bestaan is omdat zoveel afhangt van de interpretatie van de regelgeving naar de specifieke situatie van de organisatie.

Het is aanbevolen dat u in uw communicatie promoot dat u uw “huiswerk” gemaakt hebt, bv. met de vermelding: 'We hebben de maatregelen genomen om onze organisatie aan te passen documenteren en risico's te vermijden'. ‘Onze organisatie heeft zich voorbereid op de GDPR’. Niets belet u echter om een soort eigen keurmerk te maken waarmee u zich engageert als organisatie om 10 meetbare punten op te volgen en regelmatig en transparant hierover te communiceren.

Inhoudelijk hoeft u over de impact assessment en de genomen maatregelen niet te communiceren tenzij u daar ooit door overheid of rechtbank toe wordt aangemaand. Enkel de privacy & cookie policy is publiek. Het verwerkingsregister zal u moeten kunnen voorleggen bij controle door de overheid maar is in principe ook niet publiek.


Functionaris gegevensbescherming - DPO


Moet onze vzw of stichting een DPO (Functionaris voor gegevensbrescherming) aanstellen?


De regel dat er vanaf 250 personen verplicht een DPO moet aangesteld worden is niet opgenomen in de finale versie van de GDPR. Om te weten of jouw organisatie een DPO moet aanstellen kan je het schema van de Belgische Privacy Commissie (CBPL) raadplegen. Hier moet je oordelen of je ‘op grote schaal’ of ‘regelmatig en stelselmatig’ gegevens verwerkt en of je hoofdzakelijk belast bent met verwerkingen/verwerking van gevoelige gegevens. Daarnaast heeft de CBPL ook een Themadossier over de DPO hierover waarin een aantal veelgestelde vragen verzameld zijn, zoals deze:

Wanneer een functionaris voor gegevensbescherming aanwijzen?, waarin o.a. meer duidelijkheid wordt gegeven over ‘grote schaal’ of ‘regelmatige en stelselmatige observatie van de betrokkene.


Moet onze vzw of stichting een Gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren?


Ook hier heeft de Belgische Privacy Commissie een schema gemaakt alsook een infosectie uitgewerkt je toe te laten zelf te oordelen in welke mate deze noodzakelijk is voor je organisatie.

 

Privacy policy

Moeten we onze huidige privacy policy aanpassen? 


Op alle plaatsen waar je persoonsgegevens verzamelt, moet je vermelden met welke bedoeling/op welke gronden je dat doet of op zijn minst verwijzen naar je privacy policy. Zorg ervoor dat je privacy policy dus zo volledig mogelijk is over de reden van het opvragen van de gegevens, hoe lang ze worden bijhouden, de verschillende verwerkingen die ermee (kunnen) gebeuren, het overdragen van gegevens aan derden, de rechten van de betrokkenen rond inzage, beheer en verwijderen ervan, enz…. Als je vanuit een standaard document vertrekt ga je de nodige tijd moeten besteden aan het correct verwoorden ervan naar je eigen context.


Wijzigingen communiceren

 

Moet onze organisatie telkens het register der verwerkingsactiviteiten en/of onze privacy policy aanpassen als we persoonsgegevens doorsturen aan een nieuwe of andere externe partij?

Als je persoonlijke data doorgeeft aan een externe organisatie, koepel, … dan moet je voor die nieuwe verwerking je register aanpassen.

In de policy of reglement van de organisatie is een generieke 'Doorgeven aan derden' voldoende.
Echter als het over veel data gaat, of naar een organisatie buiten de EU moet er in de privacy policy een aanpassing gemaakt met vermelding van de naam van de partij, de gegevens en het type verwerking.
De bedoeling is zo precies mogelijk te zijn maar proportioneel met het belang van de verwerking en de risico’s.
Als u bovendien persoonsgegevens doorgeeft aan derde landen of internationale organisaties moet u bepaalde  voorwaarden respecteren  om dat te kunnen doen.

Ook, volgens de GDPR en wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, informeert de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel.


Gegevens voor de overheid

 

Veel vragen kwamen er over subsidiërende of toezichthoudende overheden of federaties die data van verenigingen opvragen. Welke garanties kunnen we van hen verwachten? Moeten we toestemming vragen van de betrokkene?


In de meeste gevallen valt de vraag om data door te geven in dit geval onder de wettelijke verplichting of het gerechtvaardigd belang (twee van de zes gronden van verwerking uit Art 4). Indien er een decreet of andere wettelijke grond is, kan deze uiteraard aangehaald worden indien een betrokkene zou weigeren. Het is wel goed u ervan te vergewissen bij de desbetreffende instantie dat deze informatie inderdaad wel noodzakelijk is en zeker dat alles in het werk is gesteld om deze gegevens te beveiligen. Vraag hen om een schriftelijke bevestiging. Ook indien er geen antwoord komt, bewaar deze goed als bewijs dat u wel degelijk de nodige stappen hebt ondernomen.


IT leveranciers


Wat kunnen we verwachten van leveranciers van Cloud diensten zoals Microsoft, Google, Box, Amazon en andere?

Talrijke verenigingen slaan gegevens op in de cloud, tenzij omdat sommige leveranciers het gratis aanbieden, tenzij omdat ze dit via SOCIALware aan interessante voorwaarden kunnen aanschaffen.

Bedrijven die actief willen blijven in de Europe Unie moeten de regels van de Verordening naleven. Zij moeten hun algemene voorwaarden en privacy policy aanpassen in de nabije toekomst teneinde op 25 mei 2018 in orde te zijn en de nodige garanties te kunnen geven aan haar gebruikers.
Wat de voornaamste leveranciers van producten of diensten die u via SOCIALware kan aanschaffen betreft, kan u de evolutie volgen op de volgende sites:

Sommigen kunnen bepaalde garanties bieden dat uw data inderdaad op Europees grondgebied blijft, wat de voorkeur heeft. Weet wel dat de Amerikaanse leveranciers onderworpen zijn aan de ‘Patriot Act’, die de Amerikaanse overheid toelaat om toegang te verkrijgen tot hun systemen, ook voor persoonlijke gegevens die zich buiten de Verenigde Staten bevinden.
Het is dus raadzaam om goed te overwegen welke gegevens bij welke leverancier of op welk dienst gestockeerd worden. Het kan bij gevoelige data de moeite lonen om interne dataopslag of een lokale hosting provider te overwegen.


Werknemers


Welke persoonsgegevens mogen we van onze werknemers verwerken (verzamelen, bewerken, doorgeven)? Moeten we ze ervan informeren en in welke gevallen moeten we hun ‘toestemming’ krijgen?


Een regel, die voor GDPR in het algemeen geldt, is hier zeker van toepassing: verwerk enkel de strikt noodzakelijke informatie over uw medewerkers. Er gaan uiteindelijk veel persoonlijke data rond in elke organisatie, van de private gegevens over de ziektebriefjes, evaluatierapporten, CVs van kandidaten, enz.

De meeste gegevens die we van de werknemers verzamelen zijn te rechtvaardigen als gegevens die nodig zijn voor de uitvoering van de contractuele relatie tussen beide partijen: de afspraken voor een goede werkrelatie, de uitbetaling van de lonen of om te beantwoorden aan de vereisten van sociale zekerheid of de arbeidswetgeving.

Echter zijn er gegevens die verwerkt worden die niet noodzakelijk nodig zijn voor de uitvoering van de arbeidsovereenkomst maar wel ‘gerechtvaardigd’ zijn om een goed werkcontext aan te bieden (bijvoorbeeld: schoenmaat voor veiligheidschoenen). Daarnaast zijn er nog gegevens die vallen onder ‘nice to know’. Daarvoor is dan wel een expliciete toestemming noodzakelijk (bijvoorbeeld: naam van partner, tewerkstelling van partner, ...) en dan zou de werknemer nog het recht moeten hebben om deze informatie te weigeren. Een heel moeilijk evenwicht is er hier te bewaren tussen de werkgever en werknemer die in se en gezien de verhoudingen niet toelaat een redelijke vorm van vrijheid te geven om data te weigeren.

Ook voor foto’s van werknemers zoals bijvoorbeeld op de website van de organisatie, intern in het Outlook profiel of in een reportage op de Facebook pagina van de organisatie vereisen een voorafgaande toestemming.

Ongeacht de grond die aangehaald wordt voor het verwerken van private gegevens van de werknemer, moet wel in het arbeidsreglement of in de overeenkomst met de werknemer of in een addendum daarvan de betrokkene duidelijk geïnformeerd worden welke gegevens voor welke reden worden verwerkt (bijvoorbeeld: tikklok gegevens voor opvolging van aanwezigheden en correcte uitbetaling van het loon). Voor de meeste verenigingen is het noodzakelijk dat die aanpassing in de documenten gebeurt in het kader van de GDPR.

We zien dat sociale secretariaten erg actief zijn op het thema GDPR en al het mogelijke doen om hun klanten te helpen, niet alleen bij het aanpassen van hun samenwerkingsvoorwaarden, maar ook bij het bijwerken van de HR-processen. Voor een breder overzicht van het onderwerp, raden wij aan de sites van de sociale secretariaten te raadplegen.


Deze antwoorden werden opgesteld in samenwerking met het advocatenkantoor Sirius Legal, onze partner voor de Start2GDPR workshops.