Foutmelding

The selected image "gdpr.jpg" is invalid.

Dossier GDPR - Wat kan Group S voor u doen?

 

Wat is de AVG ?

Vanaf 25 mei 2018 moet elke Belgische onderneming in regel zijn met de Algemene Verordening Gegevensbescherming (AVG of GDPR in het engels) rond de bescherming van de persoonlijke informatie van EU-burgers. De wijzigingen die de nieuwe AVG met zich meebrengen, spelen zich af in alle domeinen waar de onderneming in aanraking komt met de verwerking van persoonsgegevens op structurele wijze.

Wegwijs in de AVG voor werkgevers ? Geldt de AVG ook voor u ?

Uw voornaamste verplichtingen :

1. Het opstellen van een register van verwerkingsactiviteiten (modeldocument Group S : Word PDF).

De AVG verplicht iedere verwerkingsverantwoordelijke van persoonsgegevens om interne documentatie bij te houden over de verwerkingsactiviteiten van persoonsgegevens die onder hun verantwoordelijkheid plaatsvinden.

U kan werken met een eigen model of het modeldocument Group S gebruiken.

Het register bevat op zijn minst volgende informatie :

  • Naam en contactinformatie van de verwerkingsverantwoordelijke;
  • De verwerkingen van persoonsgegevens met vermelding van
  1. Reden van verwerking
  2. Categorieën van betrokkenen
  3. Categorieën van persoonsgegevens
  4. Ontvangers en eventuele doorgifte naar 3de land
  5. Documenten inzake passende waarborgen
  • De beoogde bewaartermijn van de gegevens
  • De technische en organisatorische beveiligingsmaatregelen

Het model dat Group S u ter beschikking stelt is reeds vooraf ingevuld met twee voorbeelden van verwerkingen. Het spreekt voor zich dat u zelf voor uw eigen onderneming dient na te gaan welke verwerkingen van persoonsgegevens precies plaatsvinden binnen uw onderneming en deze zelf aan het register moet toevoegen.

2. Het opstellen van een policy over de bescherming van de gegevensverwerking bestemd voor iedere sollicitant, werknemer, interimaris en zelfstandige medewerker  (modeldocument privacy policy Group S : Word PDF)

Elke werknemer of andere betrokken persoon heeft recht op bepaalde informatie wanneer u bepaalde gegevens over hem verwerkt die op hem betrekking hebben en ontleent hieraan ook bepaalde rechten. Deze informatie en deze rechten worden beschreven in een policy over de bescherming van de gegevensverwerking. Deze policy moet aangepast worden aan de processen eigen aan uw onderneming en de gegevens die hierin verwerkt worden. Wij raden u aan om deze policy over te maken aan de werknemer of andere betrokken persoon tegen ontvangstbevestiging (een email met ontvangstbevestiging is ook mogelijk) zodat u kan bewijzen dat u hem heeft geïnformeerd over zijn recht op privacy door de AVG in het kader van de verwerking van zijn persoonsgegevens door u.

Wij raden aan om deze privacyverklaring niet op te nemen in het arbeidsreglement. Op deze wijze kan u de inhoud van dit document laten evolueren zonder telkens het arbeidsreglement te moeten aanpassen. De procedure inzake wijziging van het arbeidsreglement is immers streng gereglementeerd.

Het modeldocument dat wij u ter beschikking stellen vermeldt volgende gegevens :

  • De verwerkingsverantwoordelijke en zijn vertegenwoordigers : aan te vullen in het document
  • De policy heeft betrekking op categorieën van persoonsgegevens Wij hebben reeds standaard een aantal categorieën aangeduid die van toepassing zouden kunnen zijn. Schrap wat niet past en voeg categorieën toe die toepasselijk zijn voor uw onderneming.
  • Voor toegevoegde categorieën vermeldt u :
  1. de rechtsgrond en de redenen voor verwerking
  2. de bron van de persoonsgegevens
     

Group S als externe verwerker. Wat doet Group S om compliant te zijn met de AVG ?

Group S treedt op als verwerker van persoonsgegevens van uw werknemers en dient op zijn beurt de bepalingen van de AVG na te leven. In het kader van de AVG wilt u (als controller van deze persoonsgegevens) ervoor zorgen dat Group S voldoet aan de bepalingen van de AVG. Als zodanig, beschrijft de privacyverklaring in detail het beleid en de verplichten van Group S in dit opzicht:

Privacyverklaring van Group S

Anderzins, heeft Group S de volgende acties ondernomen :

1. Opstellen van een sectorale gedragscode

Binnen de sector van de erkende sociale secretariaten wordt momenteel een gedragscode opgesteld i.v.m. de toepassing van de AVG op sectoraal niveau. Deze gedragscode zal de minimale gemeenschappelijke regels hernemen die elk ESS zal naleven inzake de toepassing van de AVG. Group S neemt deel aan het samenstellen van deze sectorale gedragscode en zal deze implementeren.

2. Aanpassing van onze aansluitingsovereenkomst

Group S stelt zelf een aangepaste privacy policy Group S op. Deze privacy policy zal alle elementen bevatten die voor u als klant afdoende garanties bevatten zodat de verwerking van de persoonsgegevens door Group S aan de vereisten van de AVG voldoet.  Als gevolg hiervan heeft Group S zijn aansluitingsovereenkomst aangepast door de volgende bijlage op te nemen:

3. Schriftelijke verwerkersovereenkomst.

Velen onder u zijn zelf reeds bezig met de implementatie van de AVG en ondernemen als dusdanig zelf de actie om aan Group S een eigen  voorstel te doen inzake verwerkersovereenkomst of stellen aan Group S voor om uitgebreide vragenlijsten in te vullen.

Het is voor Group S niet mogelijk om telkens in te gaan op dergelijke aanvragen.

Wij gaan in eerste instantie onze sectorale gedragscode implementeren en een eigen bijlage aan onze aansluitingsovereenkomst opstellen en gaan ervan uit dat dit tegemoetkomt aan uw vereisten. Als u er toch op staat een eigen verwerkersovereenkomst of vragenlijst op te stellen dan mag deze overgemaakt worden aan onze DPO (DPO@groups.be).

 

Wat kan Group S nog bijkomend voor u doen?

1. Group S beantwoordt uw vragen over privacy en de verwerking van persoonsgegevens van uw werknemers zoals bijvoorbeeld :

  • Mag de werkgever zijn werknemers filmen ?
  • Kan hij toegang krijgen tot de mailbox van een werknemer ?
  • Welke informatie mag hij meedelen aan een gerechtsdeurwaarder ?
  • Mag hij de gegevens inzake internetgebruik van zijn werknemers screenen ?
  • Mag hij het emailverkeer van zijn medewerkers monitoren ?
  • ...

 
2. Soms zoekt u een hulp om de AVG te implementeren in uw onderneming. Dit soort bijstand kan aangeboden worden samen met onze partner Wolters Kluwer.
 

Informatie van de Gegevensbeschermingsautoriteit

Wegwijs in de nieuwe privacywetgeving voor KMO's

Generiek model voor een Register van de verwerkingsactiviteiten

 

FAQs

1. U en de AVG

Wat is de AVG?

De GDPR (General Data Protection Regulation), ook Algemene Verordening Gegevensbescherming – AVG genoemd, is een Europese verordening uitgevaardigd door de Europese die aan natuurlijke personen, rechtspersonen en overheidsinstanties regels oplegt teneinde natuurlijke personen te beschermen met betrekking tot de verwerking van hun persoonsgegevens. Het doel is de bescherming van persoonsgegevens binnen de Europese Unie te versterken en eenvormig te maken.

De AVG is niet helemaal nieuw. Een groot aantal van haar fundamentele concepten en principes zijn al hernomen in richtlijn 95/46/EG en de huidige Belgische privacywet van 8 december 1992. Voor degene die vandaag al de huidige wetgeving naleeft, is deze benadering dan ook een goed vertrekpunt voor de toepassing van de AVG.

Toch zijn er enkele nieuwigheden en gevoelige verbeteringen, in het bijzonder met betrekking tot de rechten die aan de betrokken personen worden toegekend en de huidige benadering enigszins zullen veranderen.

Wanneer treedt de AVG in werking?

De AVG is een verordening die dateert van 14 april 2016, in werking is getreden op  24 mei 2016 en in alle lidstaten van de Europese Unie van toepassing zal zijn vanaf 25 mei 2018.

Op wie is de AVG van toepassing?

Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker op het grondgebied van de Europese Unie.

Ze is dan ook van toepassing op elke natuurlijke persoon, rechtspersoon of  overheidsinstantie die handelt in de hoedanigheid van verwerkingsverantwoordelijke of verwerker van persoonsgegevens.

Wat zijn persoonsgegevens?

Onder persoonsgegevens verstaat men iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Wat is een verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke is een natuurlijke persoon, rechtspersoon of  overheidsinstantie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Wat is een verwerker?

Een verwerker is een natuurlijke persoon, rechtspersoon of een overheidsinstantie die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.

Over welke verwerkingen gaat het?

De draagwijdte van deze verordening is zeer ruim want ze is van toepassing op alle verwerkingen van persoonsgegevens betreffende geïdentificeerde of identificeerbare (aan de hand van gecodeerde gegevens) natuurlijke personen. Bijvoorbeeld een verwerking die persoonsgegevens manipuleert op basis van rijksregisternummers valt onder de  AVG want de betrokken personen kunnen aan de hand van deze nummers worden geïdentificeerd.

Alleen volledig 'gepseudonimiseerde' (of anoniem gemaakte) gegevens ontsnappen aan deze bepalingen. Pseudonimisering van gegevens bestaat uit de toekenning van een waarde aan elk gegeven waarmee een natuurlijke persoon direct of indirect kan worden geïdentificeerd zodat de anonieme aard van het gegeven gewaarborgd is. Na pseudonimisering is het niet meer mogelijk een persoon te identificeren op basis van de beschikbare gegevens.

Wat is een data protection officer (DPO)?

De DPO is een sleutelfiguur in het kader van de naleving van de AVG in de onderneming. Hij heeft de volgende opdrachten:

- de verwerkingsverantwoordelijke of de verwerker informeren en adviseren over de verplichtingen die de AVG met zich meebrengt,

- de naleving van de verordening inzake de bescherming van persoonsgegevens controleren,

- advies verstrekken met betrekking tot de uitvoering van een gegevensbeschermingseffectbeoordeling,

- samenwerken met de toezichthoudende autoriteit,

- optreden als contactpunt voor de toezichthoudende autoriteit.

De DPO kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn of een extern persoon met een dienstenovereenkomst.

Moet men een data protection officer (DPO) aanstellen?

De aanstelling van een data protection officer is niet verplicht tenzij:

- de verwerking wordt uitgevoerd door een openbare instelling,

Of

- de basisactiviteiten van de verwerkingsverantwoordelijke of de verwerker regelmatige en stelselmatige opvolging op grote schaal vereisen

Of

- de basisactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking van bijzondere categorieën van gegevens (ras, politieke opvattingen, religieuze overtuiging, lidmaatschap van een vakbond, genetische gegevens over strafrechtelijke veroordelingen en strafbare feiten (dergelijke persoonsgegevens, gegevens betreffende  gezondheid of  seksuele oriëntatie)

Buiten deze verplichting is het toch aangeraden een verantwoordelijke contactpersoon aan te duiden die de verschillende vragen en klachten ter zake centraliseert en de coördinatie met de toezichthoudende autoriteit verzekert.

Wat moet men doen om de AVG na te leven?

De AVG brengt belangrijke wijzigingen in de onderneming met zich mee om de bescherming van de persoonsgegevens van natuurlijke personen te waarborgen. Het is dan ook verstandig een persoon of een team aan te duiden voor de coördinatie van de verschillende acties die hieraan verbonden zijn. In geval van externe controle moet men kunnen aantonen dat de onderneming alle nodige maatregelen heeft genomen  om het risico op datalekken zo veel mogelijk te beperken.

Al naargelang de kenmerken van de onderneming gelden de volgende verplichtingen:

1. De werknemers informeren
De werkgever moet deze informatie via infosessies of via de documenten ad hoc (arbeidsreglement, individuele overeenkomsten en overeenkomsten)  meedelen aan de werknemers in dienst, de nieuwe werknemers en de kandidaten.

2. Een register van de verwerkingsactiviteiten bijhouden,
De werkgever moet een register van de verwerkingsactiviteiten opstellen en het regelmatig bijwerken. Dit register herneemt het geheel van verwerkingsprocessen en voor elk proces de volgende elementen:

  • de identiteit van de verantwoordelijke voor de gegevensverwerking
  • de verwerkte gegevens
  • de herkomst van de verwerkte gegevens
  • het doel van deze verwerking
  • wie de gegevens ontvangt (bijvoorbeeld het sociaal secretariaat om de lonen te verwerken)
  • de bewaringstermijn van deze gegevens
  • de ingestelde beveiligingsmaatregelen.

3. Een data protection officer aanstellen
De werkgever moet nagaan of hij een DPO moet aanstellen. Als dit het geval is, dan moet hij hem de nodige informatie verstrekken voor de correcte uitvoering van zijn opdracht.

4. Voorbereid zijn op dataverlies en datalekken
De werkgever moet een procedure vaststellen met acties die in geval van datalek zullen worden ondernomen. Hij moet de betrokken personen dan ook informeren en hen hun respectievelijke verantwoordelijkheid uitleggen. Hij moet een register van de lekken bijhouden en, in bepaalde gevallen, aangifte doen bij de toezichthoudende autoriteit.

5. Toezien op de externe naleving van de AVG
De werkgever moet een lijst opmaken van de verschillende verwerkers die persoonsgegevens verwerken van personen die in de onderneming werken en zich ervan vergewissen dat ze de AVG naleven.

6. Toezien op de interne naleving van de AVG
De werkgever moet de verwerking in kaart brengen teneinde te bepalen welke controles toereikend zijn en welke controles moeten worden uitgebreid of verbeterd.  Deze gegevens kunnen daarna worden gebruikt om het personeelsbeheer in overeenstemming te brengen met de voorschriften van de AVG, in het bijzonder de verplichting om de rechten van de werknemers in acht te nemen: recht op anonimiteit, recht om vergeten te worden, recht op rechtzetting, recht op overdraagbaarheid, recht op toegang, recht op verzet, recht op betwisting.

Bestaat er een AVG-certificering?

Voor het ogenblik bestaat er geen AVG-certificering maar deze toestand zal waarschijnlijk evolueren in de loop van de volgende maanden. Er zullen dan gespecialiseerde instellingen worden aangeduid die deze certificering kunnen toekennen.

Wat is het risico bij niet-naleving van de AVG?

Op dit punt is er een groot verschil met de huidige situatie omdat de verordening boetes voorziet. Bij niet-naleving van de verordening kunnen zeer strenge boetes worden toegepast door de toezichthoudende autoriteit, namelijk tot 4% van de totale wereldwijde jaaromzet van de onderneming of 20 miljoen euro.

Wat is de rol van de toezichthoudende autoriteit?

De toezichthoudende autoriteit, aangeduid in elke lidstaat, is belast met het toezicht op de toepassing van de AVG teneinde de fundamentele vrijheden en de grondrechten van natuurlijke personen te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken.

Het is de toezichthoudende autoriteit die over de toepassing van eventuele boetes zal beslissen in geval van niet-naleving van de verordening.

Wie is de toezichthoudende autoriteit?

Elke lidstaat duidt haar eigen toezichthoudende autoriteit aan. In België verandert de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) van naam  en wordt de Gegevensbeschermingsautoriteit (GBA) om haar rol als toezichthoudende autoriteit te verzekeren.

Wat gebeurt er met de Commissie voor de bescherming van de persoonlijke levenssfeer?

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) verandert van naam en wordt de Gegevensbeschermingsautoriteit (GBA), belast met de rol van  toezichthoudende autoriteit.

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Wat moet men doen in geval van datalek?

Wanneer een inbreuk in verband met persoonsgegevens plaatsvindt, moet ze binnen 72 uur aan de gegevensbeschermingsautoriteit worden meegedeeld. U kunt de volgende formulieren gebruiken om:

Als Group S zelf een inbreuk vaststelt, dan wordt u, zo snel mogelijk, op basis van de interne procedure, in kennis gesteld van dit incident.

Wat zal er vanaf 25 mei 2018 gebeuren?

25 mei 2018 is de datum waarop de verordening van toepassing wordt. Vanaf die dag kunnen de verwerkingsverantwoordelijke en de verwerker boetes oplopen wegens niet-vereenstemming met de AVG.

Toch zullen niet alle ondernemingen kunnen aantonen dat ze 100 % in overeenstemming zijn met de verordening. Het bestaan van een gecoördineerd actieplan binnen de onderneming biedt de mogelijkheid bij de toezichthoudende autoriteit argumenten aan te voeren die de inzet van de onderneming ter zake verzekeren.   

De inspanning die 2 jaar geleden begon, zal na die datum zeker worden voortgezet.  Men moet ervan uitgaan dat het gaat om een noodzakelijke permanente investering die moet worden voortgezet via dagelijkse acties ter zake, of dit nu is bij het instellen van nieuwe verwerkingen, nieuwe procedures, nieuw technologieën of zelfs nieuwe markten.

Wat kan Group S doen om u te helpen?

Group S kan uw vragen in verband met de persoonlijke levenssfeer van uw werknemers en de verwerking van de persoonsgegevens van werknemers beantwoorden.

Group S stelt ook modeldocumenten tot uw beschikking (register van verwerkingsactiviteiten  en vertrouwelijkheidsverklaring). U kunt ze vinden op onze website op de pagina die aan de  AVG is gewijd.

Als u hulp wenst bij de toepassing van de AVG in uw onderneming, kunnen we u samen met onze partner Wolters Kluwer bijstaan.

2. Group S en de AVG

Wat doet Group S met betrekking tot de AVG?

Group S heeft al maandenlang vele acties ondernomen om zich aan de nieuwe verordening aan te passen:

- informatie aan de werknemers,

- aanstelling van een DPO,

- gebruik van een verwerkingsregister waarmee alle processen voor de verwerking van persoonsgegeven in kaart zijn gebracht,

- herziening van de bestaande contracten met onze verwerkers om ons ervan te vergewissen dat ze in overeenstemming met de AVG zijn,

- deelname aan de uitwerking van een sectorale gedragscode met de gemeenschappelijke minimale regels die elk ESS moet in acht nemen voor wat de AVG betreft,

- aanpassing van onze aansluitingsovereenkomst en onze vertrouwelijkheidsverklaring. Deze verklaring herneemt alle elementen die u de nodige waarborgen geven dat de verwerking van de persoonsgegevens van uw werknemers aan de vereisten van de AVG beantwoordt. Deze verklaring van Group S zal een addendum bij uw aansluitingsovereenkomst zijn en in mei ter beschikking worden gesteld,

- toepassing van het waarborgen van de rechten van de betrokken personen,

- instelling van interne procedures in geval van datalek.

Is Group S verwerkingsverantwoordelijke ?

In het kader van haar gewone opdracht als sociaal secretariaat handelt Group S in de hoedanigheid van verwerker. De verwerkingsverantwoordelijke blijft de werkgever die de loonadministratie, de toepassing van de sociale wetten, de aangiften bij de instellingen, het opvolgen van de betalingen ... aan ons delegeert.

In het kader van de activiteiten waarvan ze zelf de doeleinden en de verwerkingsmiddelen bepaalt, zal Group S als  verwerkingsverantwoordelijke worden beschouwd.

Leeft Group S de AVG na?

Als belangrijke speler in de sector van de sociale secretariaten heeft Group S de nodige maatregelen genomen om de bepalingen van de AVG toe te passen.

Aangezien er geen officiële certificering bestaat, heeft Group S een volledig actieplan opgesteld waarmee kan worden nagegaan of de interne procedures in overeenstemming zijn met de verordening en de aandacht wordt gevestigd op de domeinen waarvoor nog acties moeten worden ondernomen. Dit plan is in uitvoering.

Een validatie van de verschillende aangepaste documenten, in het kader van de AVG, wordt verzorgd door een gespecialiseerd advocatenkantoor.

Bovendien beschikt Group S over het certificaat ISAE 3402 type II dat een waarborg is voor de betrouwbaarheid en de kwaliteit van de interne controles op haar dienstprestaties.

Heeft Group S een DPO aangesteld?

Ja, binnen Group S werd een persoon aangesteld om de coördinatie van de verschillende acties voor de toepassing van de AVG in de onderneming te verzekeren en de contactpersoon te zijn inzake de beveiliging van persoonsgegevens.

Waar worden de gegevens bewaard die door Group S worden verwerkt?

Group S zorgt zelf voor het beheer en de archivering van de gegevens die nodig zijn voor de uitvoering van haar opdracht. Alle servers waarop deze gegevens zijn opgeslagen, bevinden zich op verschillende informaticasites van Group S in België.

Moet er een nieuwe overeenkomst met Group S worden getekend?

Nee. Via een bijlage heeft Group S haar aansluitingsovereenkomst aangepast om er de vermeldingen aan toe te voegen die door de AVG zijn vereist. Bovendien zal de vertrouwelijkheidsverklaring alle elementen hernemen die u de nodige waarborgen geven dat de verwerking van de persoonsgegevens van uw werknemers aan de vereisten van de AVG beantwoordt.   

Kan Group S uw Data Processing Agreement ondertekenen?

We kunnen niet individueel reageren op meer dan 20.000 potentiële aanvragen van onze aangeslotenen met betrekking tot het ondertekenen van een Data processing Agreement. Aangezien dat de algemene voorwaarden van Group S specificeren dat haar klanten moeten voldoen aan de voorwaarden uiteengezet in hun aansluitingsovereenkomst, hebben we aan deze overeenkomst een bijlage toegevoegd. Deze verduidelijkt onze verplichting om de clausules van de AVG te respecteren en is van toepassing op al onze aangeslotenen.

Kan Group S gegevens aan een derde partij overmaken, volgens uw verwachtingen ?

Wanneer u wilt dat Group S persoonsgegevens overdraagt aan een derde partij, moet u aan Group S een expliciet mandaat geven om dit te doen, in overeenstemming met artikel 5.3 van de bijlage van de aansluitingsovereenkomst. Het is aan u, als verwerkingsverantwoordelijke, om ook ervoor te zorgen dat de personen van wie persoonsgegevens worden overgemaakt aan deze derde partij hiervan op de hoogte zijn en dat deze derde partij voldoet aan alle regels met betrekking tot de bescherming van persoonsgegevens die worden genoemd in de AVG.

Om uw taak in dit administratieve proces te vergemakkelijken, biedt Group S u een formulier aan, waarmee u kunt het mandateren in deze missie