De Algemene Verordening Gegevensbescherming (AVG/GDPR) geldt niet alleen voor grote bedrijven: zodra een organisatie gegevens van personen verwerkt – klanten, leveranciers en vooral werknemers – heeft ze verplichtingen. Dit zijn de basisregels om op kantoor toe te passen.
Drie basisprincipes
Volgens de Gegevensbeschermingsautoriteit moet elke verwerking van werknemersgegevens voldoen aan:
- doelbinding: gegevens worden verzameld voor welbepaalde, uitdrukkelijke en gerechtvaardigde doeleinden;
- proportionaliteit: er worden alleen gegevens verwerkt die strikt nodig zijn voor dat doel;
- transparantie: werknemers worden geïnformeerd dat hun gegevens worden verwerkt en waarom, al bij het verzamelen.
Concreet kan controle van het netwerk misbruik voorkomen of vertrouwelijke bedrijfsgegevens beschermen; geolocatie kan de veiligheid of de logistiek dienen; een camera kan de bedrijfsgoederen beschermen. Telkens moet het doel bepaald en meegedeeld zijn. De werkgever is in principe bevoegd om werknemersgegevens te verwerken om zijn rechten en plichten uit het arbeidsrecht uit te oefenen, maar hij mag dat gezag niet misbruiken ten nadele van de privacy van de werknemer.
Informeren en documenteren
De werkgever, als verwerkingsverantwoordelijke, moet bepaalde informatie meedelen, in principe bij het sluiten van het contract: de bewaartermijn van de gegevens (sociale documenten worden in principe vijf jaar na het einde van het contract bewaard), het recht om toestemming in te trekken en het recht om een klacht in te dienen bij de toezichthouder. Hij moet ook een register van de verwerkingsactiviteiten bijhouden, dat de oude aangifteplicht vervangt. Die verplichting geldt voor bedrijven met meer dan 250 werknemers, maar ook voor kleinere zodra de verwerking niet occasioneel is: personeelsbeheer is permanent, dus houdt vrijwel elke werkgever best zo'n register bij.
Gevoelige gegevens en toezicht
Het verwerken van gevoelige gegevens (zoals gezondheid) is in principe verboden, behalve in de door de wet voorziene uitzonderingen of met uitdrukkelijke toestemming. Elk toezicht (camera's, controle van e-mails, geolocatie) moet proportioneel en transparant blijven: werknemers moeten er vooraf over geïnformeerd worden.
Beveiliging als basis van de AVG
Gegevens beschermen betekent ze ook beveiligen. ENISA wijst erop dat kmo's vaak het doelwit zijn van ransomware, gestolen laptops en phishing. Basisgewoontes – beperkte toegang, sterke wachtwoorden en tweestapsverificatie, back-ups en updates – zijn dus onlosmakelijk verbonden met AVG-conformiteit.