Menu
FAQ
GDPR
Wat is de GDPR?
‘GDPR’ staat voor de General Data Protection Regulation (of AVG voor Algemene Verordening Gegevensbescherming in het Nederlands). De GDPR is de nieuwe reglementering op het gebied van gegevensbescherming en vervangt de vroegere teksten in dat verband (de Richtlijn 95/46/EG en de Belgische privacywet van 8 december 1992). De GDPR zal op 25 mei 2018 in werking treden. Hoewel de hoofdprincipes van de GDPR dezelfde zijn als die van de vorige wetgevingen, bevat de verordening ook bepaalde nieuwe regels (bijvoorbeeld op het vlak van de rechten die worden toegekend aan personen van wie de gegevens worden verwerkt en van de verplichtingen van ‘data processors’).
Wat doet Securex om zich voor te bereiden op de GDPR?
Securex heeft een actieplan uitgewerkt om te garanderen dat ze de regels van de GDPR naleeft bij alle aspecten van haar activiteiten en processen. De uitvoering van die plan is aan de gang. Een visual met de hoofdpijlers van dit actieplan (workstreams) is hier beschikbaar.
Wat zijn de hoofdpijlers van het GDPR-actieplan van Securex?
Het GDPR-actieplan van Securex omvat de volgende 5 hoofdpijlers (workstreams):

Workstream 1Governance: screening en aanpassing van de interne beleidslijnen, procedures en processen en desgevallend vaststelling van nieuwe procedures, beleidslijnen of processen.
Workstream 2 - Registers: screening van alle gegevensverwerkingen (data flows) en vaststelling van dataregisters voor elke activiteit/entiteit van de groep Securex.
Workstream 3Customers: screening van alle contractuele bedingen met de klanten van de verschillende entiteiten van de groep Securex.
Workstream 4 - Vendors & Partners: screening van de contractuele bedingen met de leveranciers, onderaannemers en partners van Securex.
Workstream 5 - Training & Awareness opleiding en voorlichting van het personeel van Securex over de gegevensbeschermingsproblematiek.
 
Is Securex GDPR-compliant?
Momenteel kan geen enkele onderneming beweren dat ze ‘GDPR-compliant’ is, want er zijn nog een aantal teksten (zowel op Belgisch als Europees niveau) nodig om alle bijzonderheden te begrijpen van bepaalde verplichtingen die uit de GDPR voortvloeien.

Securex volgt de documenten die recent werden bekendgemaakt of die tegen mei 2018 worden verwacht om die verplichtingen te verduidelijken op de voet en heeft een actieplan ingevoerd om ervoor te zorgen dat ze de GDPR naleeft in alle aspecten van haar activiteiten en processen. De uitvoering van die plan is aan de gang.
Beschikt Securex over een GDPR-certificering?
Hoewel de Europese autoriteiten wensen dat op termijn GDPR-certificeringssystemen worden ontwikkeld, bestaan die momenteel nog niet. Securex zal de ontwikkeling van de toekomstige certificeringsplannen aandachtig volgen en op het gepaste tijdstip uitmaken of het wenselijk is om erbij aan te sluiten. Momenteel beschikt ons sociaal secretariaat over een ISAE 3402-certificering. In dat kader zal een beoordeling van de naleving van de GDPR worden uitgevoerd. Ook beschikt de activiteit van de EDPBW (Externe Dienst voor Preventie en Bescherming op het Werk) over een ISO9001-certificering.
Beschikt Securex over een ‘Data Protection Officer’?
Ja. Eén van de nieuwe regels van de GDPR is dat in bepaalde gevallen aan ondernemingen de verplichting wordt opgelegd om een ‘Data Protection Officer’ (DPO) te benoemen. Bijvoorbeeld wanneer de basisactiviteiten van de betrokken onderneming bestaan uit verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.

Dit is zo voor Securex, die in haar verschillende activiteiten een groot aantal persoonsgegevens verwerkt van werknemers, zelfstandigen of bedrijfsleiders (of van hun gezinnen voor wat de activiteit van het kinderbijslagfonds betreft).
Is Securex data controller of data processor?
Die vraag moet per activiteit worden beantwoord. Voor een groot aantal activiteiten is Securex ‘data processor’ (bv. de activiteit loonadministratie in de verschillende entiteiten sociaal secretariaat) want ze verwerkt persoonsgegevens van werknemers op basis van instructies van werkgevers die zelf ‘data controllers’ zijn. Voor andere activiteiten is Securex ‘data controller’ want ze stelt zelf de doelstellingen en modaliteiten van de gegevensverwerking vast (bv. verzekeringen, enquêtes, ...) of de wet verleent haar die hoedanigheid (bv. medische controle, EDPBW).
Ben ik als werkgever ‘data controller’ van de verwerking van mijn HR-gegevens?
Algemeen gesteld is de werkgever/ bent u voor de activiteiten van sociaal secretariaat de ‘data controller’ (want u geeft de nodige instructies voor het opstellen en versturen van de loonfiche) en is het sociaal secretariaat Securex de ‘data processor’ (want Securex handelt op basis van uw instructies).

Ook als u een beroep doet op een HR-consultant van Securex bent u de ‘data controller’ voor de gegevens die deze consultant verwerkt en is Securex de ‘data processor’.

Wanneer u echter intekent op een verzekering van Securex (bv. arbeidsongevallenverzekering of verzekering gewaarborgd inkomen) is Securex ‘data controller’ van de gegevens die in uitvoering van dit verzekeringscontract worden verwerkt.

Op dezelfde wijze is Securex voor de prestaties van preventieve geneeskunde (EDPBW) en controlegeneeskunde (MCM) ‘data controller’ van de gegevens met betrekking tot de gezondheid van de betrokken werknemers (omdat de arts onafhankelijk is ten opzichte van de werkgever).
Wat is een data breach?
‘Data breach’ (of inbreuk in verband met persoonsgegevens) is elke situatie waarin een inbreuk op de beveiliging (...) per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

‘Data breaches’ in de zin van de GDPR zijn dus bij voorbeeld: inbraak in de server met raadpleging van de persoonsgegevens die erop voorkomen, per ongeluk vernietigen (buiten de IT-procedures die hiervoor werden opgesteld) van een harde schijf waarop zich persoonsgegevens bevinden, niet toegelaten bekendmaking van persoonsgegevens die op de infrastructuur van de Groep Securex werden verkregen.
Wat gebeurt er bij data breach?
In het geval dat Securex ‘data processor’ is (bijvoorbeeld voor het sociaal secretariaat), zal ze u zo snel mogelijk inlichten door middel van een specifiek formulier. Op dat formulier zal alle informatie zijn opgenomen waarmee u uw meldingsplicht aan de Privacy Commissie (CBPL) kunt vervullen.

De ‘data controller’ (uzelf voor het sociaal secretariaat, Securex zelf voor andere opdrachten, zie hierboven) moet het bestaan van een ‘data breach’ in bepaalde omstandigheden melden aan de CBPL.

Securex zal tegen mei 2018 een procedure en adequate formulieren uitwerken om u binnen de opgelegde termijn de informatie mee te delen die u moet opnemen in de melding die u aan de CBPL moet richten (of om desgevallend haar eigen meldingsplicht aan de CBPL te vervullen).
Welke veiligheidsmaatregelen past Securex toe om de verwerkte persoonsgegevens te beschermen?
Securex heeft organisatorische maatregelen (benoeming van een DPO, van een CISO, ...) en proceduremaatregelen (procedures, gedragslijnen, veiligheidshandleiding) uitgewerkt om de IT- en fysieke beveiliging van de persoonsgegevens die ze verwerkt te waarborgen.

Bovendien zijn bepaalde van haar activiteiten gecertificeerd (het sociaal secretariaat beschikt over een ISAE 3402-certificering en de activiteit van EDPBW over een ISO9001-certificering). 
Wat zijn als werkgever mijn verplichtingen in het kader van de GDPR?
  • Klik hier voor een reeks van artikelen op lex4you.be die handelen over uw verplichtingen als werkgever
  • Voor een model van Privacy Policy of dataregister voor een HR-verwerking kunt u terecht in onze e-shop of uw Legal Advisor contacteren
  • Wenst u een concreet advies en/of wilt u weten welke weerslag de GDPR op uw HR-beleid heeft? Dan kunt u een betalend advies vragen en/of een GDPR-screening van uw volledige HR-beleid (betalend) vragen aan uw Legal Advisor
  • Als u een opleiding over de GDPR wilt volgen, raadpleeg dan onze opleidingsagenda
Kunt u me een model van GDPR-register bezorgen voor mijn activiteiten?
Securex mag geen algemene consultancyopdrachten over de GDPR uitoefenen. We kunnen u echter helpen met een dataregistermodel voor HR-verwerking van persoonsgegevens. In dit kader hebben we een modeldocument ter beschikking. U vindt het in onze e-shop of kunt het aanvragen bij onze Legal Advisors.
Waar bevinden zich de gegevens van mijn werknemers die Securex verwerkt?
De servers van Securex (waarop zich bijvoorbeeld de gegevens van uw werknemers bevinden voor de dienstverlening van sociaal secretariaat) zijn in België gelegen.

Voor bepaalde specifieke diensten kunnen onderaannemers beperkt toegang hebben tot bepaalde persoonsgegevens. Volgens het beleid van Securex moet in dat geval worden geëist dat die onderaannemers die gegevens in de Europese Unie of onder adequate beschermingsvoorwaarden verwerken (bv. door een US-onderneming met ‘EU-US Privacy Shield’-certificering of waarmee ‘EU Model Clauses’ werden ondertekend).