Ga naar de inhoud
Let op: Om de gebruikerservaring op deze site te verbeteren gebruiken we cookies.

Vijf veelgestelde vragen over de Algemene Verordening Gegevensbescherming (GDPR)

Vijf veelgestelde vragen over de Algemene Verordening Gegevensbescherming (GDPR)

Op 25 mei gaat de Algemene Verordening Gegevensbescherming (General Data Protection Regulation, GDPR) van kracht. HR-dienstenverlener SD Worx lijstte de meest voorkomende vragen op.

1. Wat zijn de bewaartermijnen voor personeelsgegevens?

Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt weliswaar geen expliciete bewaartermijnen op, maar heeft het over persoonsgegevens niet langer bewaren ‘dan strikt noodzakelijk’. De wet bepaalt al voor een resem van sociale en fiscale documenten minimum bewaartermijnen. Voor die documenten waarvoor geen wettelijke termijn geldt, zal de werkgever zelf moeten oordelen hoelang hij een document bewaart. De werkgever zal de bewaartermijn dan t.a.v. de Gegevensbeschermingsautoriteit moeten kunnen verantwoorden.

2. Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?

Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacy-clausules moeten opnemen. Dat klopt niet, al bent u als werkgever wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacybeleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.

3. Is de toestemming van de werknemer voor alle gegevens nodig?

Hebt u voortaan toestemming nodig om een foto van uw werknemer in het interne bedrijfstelefoonboekje te plaatsen? Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.

Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet per se vereist: u kunt zich baseren op de contractuele relatie tussen werkgever en werknemer. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om aan uw contractuele verplichting te kunnen voldoen.

4. Is het verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?

Slechts drie soorten bedrijven zijn verplicht een DPO aan te stellen:
    overheidsbedrijven; 

    organisaties die bijzondere data, zoals strafrechtelijke gegevens, verwerken; 

    bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens 
verwerken, zoals ziekenhuizen, verzekeraars of banken.


Die DPO is altijd beschermd tegen ontslag, zolang de functie correct wordt uitgevoerd. 


5. Moet een kmo een dataregister opstellen?

De Gegevensbeschermingsautoriteit, de vroegere Privacycommissie, raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:
    data die een risico vormen voor iemands rechten en vrijheden; 

    gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of 
levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid; 

    gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen; 

    data met betrekking op derden, zoals klanten of leveranciers, en werknemers.