20-04-2017

Persoonsgegevens in de bouw: de privacycommissie houdt u in de gaten

De privacycommissie beschikt sinds kort over extra middelen om de naleving van de privacywetgeving te controleren en af te dwingen.

Bijna elke dag siert de Belgische privacycommissie onze kranten. Sterker nog: men zegt weleens dat deze waakhond tanden krijgt. Anouck Elen en Mieke Vanden Poel van Deloitte Private schetsen kort welke impact de (oude en nieuwe) wetgeving heeft op de bouwsector.

De bescherming van persoonsgegevens lijkt op het eerste zicht misschien niet relevant voor de bouwsector, maar niets is minder waar. Deze wetgeving is immers van toepassing op alle ondernemingen die persoonsgegevens elektronisch verwerken (ook kmo’s). En welke bouwonderneming heeft geen computerbestand of -programma met daarin namen, adressen, telefoonnummers of e-mailadressen van klanten, leveranciers en personeel?

 

Wanneer verwerkt u persoonsgegevens?

Zodra een onderneming gegevens op basis waarvan een persoon kan worden geïdentificeerd (elektronisch) registreert, opslaat, doorstuurt (bijvoorbeeld naar een server) of zelfs verwijdert, verwerkt ze persoonsgegevens en moet ze de wetgeving inzake de bescherming van persoonsgegevens naleven.

De opvolging van personeel via track and trace, het versturen van nieuwsbrieven en het voeren van marketing via e-mail zijn slechts enkele voorbeelden van de veelvuldige verwerking van persoonsgegevens in de bouwsector.

 

Basisregels

U mag persoonsgegevens enkel verwerken wanneer u hiervoor een wettelijke grondslag heeft. Zo kan de verwerking noodzakelijk zijn om de overeenkomst met de klant/leverancier/medewerker uit te voeren. Wil u de gegevens echter ook voor andere doeleinden gebruiken, zoals bijvoorbeeld het verzenden van reclame of het volgen van individuen via track and trace, dan heeft u de uitdrukkelijke toestemming van de persoon in kwestie nodig. Zonder het verzoek om deze informatie te ontvangen, mag u dus geen marketingmails aan hem/haar richten.

Bovendien moet u als ‘verzamelaar van de gegevens’ nauwkeurig zorg dragen voor de beveiliging en de vertrouwelijkheid van deze gegevens. Wat er precies van u wordt verwacht, is afhankelijk van de soort gegevens die u verwerkt, voor welke doeleinden u dit doet, enzovoort.

U moet met andere woorden een privacybeleid op maat van uw onderneming uitwerken. De eerste stap is dan ook het in kaart brengen van de gegevens(stromen) binnen uw onderneming. Vervolgens dient u een inschatting te maken van de risico’s die met deze gegevensstromen gepaard gaan. Op basis van deze risico’s stelt u dan een privacybeleid op. Dit privacybeleid omvat onder meer het inlassen van confidentialiteitsverbintenissen in overeenkomsten met medewerkers, een versterking van de garanties die de onderneming eist van haar IT-leveranciers, het instellen van bepaalde procedures binnen de onderneming ...

Bij de uitwerking van het privacybeleid dient u er ook rekening mee te houden dat u, in geval van een gegevenslek, de privacycommissie of zelfs de betrokken klant/leverancier/medewerker mogelijk binnen de 72 uur na vaststelling op de hoogte moet brengen.

 

Consequenties

De privacycommissie beschikt sinds kort over extra middelen om de naleving van de privacywetgeving te controleren en af te dwingen. Concreet houdt dit onder meer in dat ze ondernemingen aan een onaangekondigde privacycontrole mag onderwerpen – naar analogie met een sociale controle. Als ze vaststelt dat de onderneming niet in regel is, mag ze sancties opleggen die kunnen oplopen tot 4 % van de wereldwijde omzet.

 


  Meer artikels: Juridisch
NIEUWSBRIEF

Wil je op de hoogte blijven van het reilen en zeilen in de bouwsector?

  INSCHRIJVEN