Wetgeving privacy (GDPR) en preventie

De Algemene verordening gegevensbescherming (AVG) of GDPR (Verordening 2016/679/EU betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens) beschouwt een persoonsgegeven als informatie die ertoe leidt een natuurlijk persoon rechtstreeks of onrechtstreeks te identificeren. Het begrip is zeer breed en maakt geen onderscheid tussen de vertrouwelijke informatie die enkel door een preventieadviseur verwerkt wordt en de informatie die door iedereen binnen de firma te raadplegen is. 

Wanneer men puzzelstukjes informatie (leeftijd, geslacht, diploma, …) aan elkaar koppelt en dit leidt tot de identificatie van een natuurlijk persoon, is ieder puzzelstukje ook een persoonsgegeven.

 

Het verwerken van persoonsgegevens kan zeer ruim opgevat worden. Men bedoelt hiermee iedere mogelijke bewerking die op deze persoonsgegevens uitgevoerd wordt, zoals het verzamelen, het lezen, het bewaren, het bewerken, het doorsturen, het afschermen en het verwijderen.

 

Waar nog veel fouten tegen gemaakt worden, is tegen het nagaan of men verwerkingsverantwoordelijke of verwerker is. Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking en is meestal het bedrijf waar men als werknemer voor werkt. Preventieadviseurs zijn eerder verwerkers; zij komen veelal met persoonsgegevens in aanraking in de functie van verwerkingsverantwoordelijke.

Als preventieadviseur beschikt u naast persoonsgegevens over aannemers onder meer ook over cv’s en diploma’s van medewerkers. Dit kan gaan van VCA-opleidingen waarbij de datum van de training genoteerd staat, tot attesten van medische onderzoeken en ingescande certificaten van een bepaalde opleiding. Meestal wordt dit dan ook bijgehouden in een document dat toegankelijk is voor het intern personeel. 

Volgens de GDPR mag men enkel nog persoonsgegevens verzamelen die noodzakelijk zijn voor de doeleinden waarvoor ze worden gebruikt. Concreet betekent dit dat een preventieadviseur de persoonsgegevens die hij vergaart als verwerker, enkel mag gebruiken in het kader van veiligheid, gezondheid en welzijn en dat deze voldoende beveiligd moeten worden om ongeautoriseerde toegang te vermijden.

Iedere verwerking van persoonsgegevens moet berusten op een rechtsgrond die de GDPR voorziet. Dit betekent dat men moet verantwoorden op basis waarvan men de persoonsgegevens verwerkt. Belangrijk is goed na te denken welke rechtsgrond u nodig heeft vooraleer u aan de verwerking begint. Dit proces dient gedocumenteerd te worden in het verwerkingsregister en kan een noodzakelijk document zijn met het oog op klachten of onenigheden achteraf. Hieronder worden de rechtsgronden uitvoerig uitgelegd.

 

De preventieadviseur mag enkel persoonsgegevens verwerken indien de persoon in kwestie daarmee instemt. Let wel, als een persoon toestemt met de verwerking van zijn of haar persoonsgegevens, betekent dit niet dat hij of zij akkoord is met de algemene voorwaarden of de privacyverklaring! De verantwoordelijkheid voor het vragen van toestemming ligt bij de verwerkingsverantwoordelijke. U, als preventieadviseur, werkt vooral als verwerker. Ga wel steeds na bij uw bedrijf of het een geldige toestemming bekomen heeft.
Belangrijk om te weten, is dat de betrokkene op ieder moment de toestemming kan intrekken. Wanneer dit gebeurt, dient u onmiddellijk te stoppen met de verwerking van zijn of haar persoonsgegevens.

 

Bovendien moet de toestemming vrijwillig gegeven, specifiek, geïnformeerd en aantoonbaar zijn. Dit betekent dat de betrokkene steeds een echte keuze moet krijgen, zonder onder druk gezet te worden met negatieve gevolgen als hij of zij niet toestemt met de verwerking. Een persoon een formulier laten invullen waarbij het vakje vooraf is aangevinkt (opt-out), is vanaf nu dus uit den boze. Er is echter wel een uitzondering op de regel: De opt-out is wel mogelijk wanneer men met professionals of ondernemingen werkt, maar de het is ook in dit geval niet aan te raden.
Wilt u de persoonsgegevens verwerken voor meerdere doeleinden, dan moet u per doel een toestemming bekomen. U dient de betrokkene ook steeds op de hoogte te brengen van welke persoonsgegevens u verwerkt en voor welk doel. Dit alles moet u documenteren zodat u altijd kan aantonen dat u een geldige toestemming bekomen heeft.

Het spreekt voor zich dat u bij het afsluiten van een contract de persoonsgegevens van een klant, leverancier of personeelslid mag verwerken die noodzakelijk zijn voor de uitvoering van het contract. Ook precontractuele maatregelen vallen onder deze rechtsgrond. Dit is, naast toestemming, ook een zeer relevante rechtsgrond voor de preventieadviseur.

Als de verwerking van persoonsgegevens onder deze rechtsgrond valt, mag u persoonsgegevens verwerken indien de wet dit oplegt. Een voorbeeld hiervan is het doorgeven van personeelsgegevens aan het sociaal secretariaat of bij de fiscus.

U mag persoonsgegevens verwerken als dit essentieel is voor een gerechtvaardigd belang van de verwerkingsverantwoordelijke. Dit kan enkel indien de fundamentele rechten en vrijheden van de betrokkene niet zwaarder doorwegen.
Deze rechtsgrond vraagt voor iedere verwerking documentatie van de rechtvaardiging die de noden van het bedrijf afweegt met de impact voor de betrokkene.

De persoonsgegevens zijn nodig voor het vervullen van een taak van algemeen belang of van een taak die aan de organisatie is opgedragen in het kader van de uitoefening van openbaar gezag.

De persoonsgegevens zijn nodig voor een ‘vitaal belang’ van de betrokken persoon of een ander. Het gaat hier om een acute medische situatie waarvan niet vaak sprake zal zijn.