‘GDPR’ is de afkorting van General Data Protection Regulation, of in het Nederlands AVG, wat staat voor Algemene Verordening Gegevensbescherming. De GDPR is de nieuwe reglementering op het gebied van bescherming van privé gegevens en vervangt de Richtlijn 95/46/EG en de Belgische privacywet van 8 december 1992.
De GDPR zal op 25 mei 2018 in werking treden.
Hoewel de hoofdprincipes van de GDPR dezelfde zijn als die van de vorige wetgevingen, bevat de verordening ook bepaalde nieuwe regels. Zelfs voor de Gegevensbeschermingsautoriteit, zijnde de nieuwe naam voor de Privacycommissie, is 3 maanden voor de inwerkingtreding “de interpretatie en implementatie van de nieuwe privacywetgeving een work in progress”.
Sodalis werkt er hard aan om in haar processen de regels van de GDPR na te leven. Momenteel kan echter geen enkele onderneming beweren dat ze ‘GDPR-compliant’ is, want er dient inderdaad nog één en ander verder uitgewerkt te worden. Sodalis volgt dit op de voet.
Momenteel bestaat er ook nog geen officieel GDPR-certificaat zoals bijvoorbeeld een ISAE 3402-certificering of een ISO9001-certificering. Het is de verwachting dat dit er op termijn wel zou komen en in dat geval zal Sodalis ook trachten dit certificaat te behalen.
Als erkend sociaal secretariaat zijn wij uiteraard niet nieuw met het voorzichtig omgaan met vertrouwelijke informatie. Ondertussen brengen wij alles in kaart tegen 25 mei 2018 en zullen wij ook een ‘Data Protection Officer’ (DPO) benoemen om ons bij te staan in het vervullen van alle GDPR verplichtingen.
Tenslotte wordt er ook volop binnen de Unie van Sociale Secretariaten (USS) gewerkt aan een gedragscode voor onze sector die meer verduidelijking zal brengen.
Welke verplichtingen concreet volgen uit de toepassing van de GDPR, dient elke organisatie voor zich te bepalen. Daarvoor dient u na te gaan of u ‘data controller’ bent of ‘data processor’. Sodalis als erkend sociaal secretariaat is ‘data processor’ of gegevensverwerker, want wij verwerken persoonsgegevens van werknemers op basis van instructies van werkgevers die zelf ‘data controller’ zijn. Voor onze eigen personeelsleden zijn wij wel ‘data controller’ of verwerkingsverantwoordelijke.
De Privacycommissie en de Groep artikel 29 formuleren aanbevelingen omdat templates en checklists op zichzelf onvoldoende zijn om de gevarieerde en vaak complexe interne realiteit te vatten van alle verwerkingsverantwoordelijken en verwerkers. Via de volgende link kan je meer informatie raadplegen over het opmaken van een register van verwerkingsactiviteiten. Deze interne documentatieverplichting bevat een uitzondering voor ondernemingen met minder dan 250 werknemers. De draagwijdte van deze uitzondering is erg beperkt en daarom raadt de Privacycommissie toch aan dat alle verwerkingsverantwoordelijken en verwerkers een register houden.
De uiteindelijke bedoeling is natuurlijk de bescherming van (gevoelige) privégegevens. Indien er zich toch een lek zou voordoen, spreken we over een “data breach”, zijnde een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
In het geval dat Sodalis ‘data processor’ is, zullen wij u in gebeurlijk geval zo snel mogelijk inlichten d.m.v. specifiek formulier waarop alle informatie zal opgenomen zijn waarmee u desgevallend uw eigen meldingsplicht aan de Privacycommissie kan vervullen.
Verder kunnen wij u nog meedelen dat de servers waarop de informatie van Sodalis staat in België gelegen zijn. Voor zeer beperkte specifieke bijkomende diensten kunnen onderaannemers toegang hebben tot bepaalde persoonsgegevens, maar ook in dat geval nemen wij de meest geschikte maatregelen ter bescherming van de persoonsgegevens.
Ondertussen werken wij verder aan onze interne processen ten einde u een zo hoog mogelijke kwaliteit te garanderen.