GDPR in de bouwsector

Sinds 25 mei 2018 werd door de Europese Unie de General Data Protection Regulation (GDPR), in het Nederlands de Algemene verordening gegevensbescherming (AVG), aangenomen als opvolger van databeschermingsrichtlijnen. Corona bracht een enorme digitale verschuiving met zich mee, ook voor de bouwsector. Toch is het voor de personen actief in de bouwsector nog wat onduidelijk wat er moet gebeuren om te voldoen aan de GDPR-wetgeving. Daarom zetten wij het even allemaal op een rijtje. 

Basisprincipes van GDPR

De GDPR is opgebouwd rond een aantal principes, waaronder: transparantie en beveiliging. Transparantie kan je heel breed aanschouwen. In eerste instantie gaat het over handelen op een transparante wijze ten opzichte van de betrokkenen. Daarnaast gaat het ook over het in kaart brengen van de gegevens die een onderneming verwerkt zodat hier een transparant overzicht kan van worden gemaakt.

De persoonsgegevens moeten niet enkel transparant behandeld worden, maar deze moeten ook voldoende beveiligd worden. Dit kan gaan over de IT-infrastructuur van een onderneming, maar ook om fysieke toegang tot persoonsgegevens. Persoonsgegevens mogen niet meer voor het grijpen liggen door eender wie. Documenten laten rondslingeren in een bureau waar ongecontroleerd mensen toegang hebben, moet dus vermeden worden.

Praktisch aanpakken van GDPR

Hoe pak je dat nu praktisch aan om de GDPR te implementeren in de bouwsector? Begin bij het begin: ga na over van wie je persoonsgegeven bijhoudt. Dit kan gaan over personeel, klanten, leveranciers, onderaannemers, … Ook waar je deze persoonsgegevens bijhoudt is van groot belang. Enkel de personen die met deze gegevens moeten werken mogen toegang krijgen tot die gegevens. Je gaat dus gaan kijken hoe je dit het beste kan doen in jouw onderneming. Dit kan gaan van privacy policy opstellen met de regelgeving van je bedrijf in, contracten afsluiten met leveranciers of onderaannemers die gegevens ven je personeel of klanten verwerken, aanpassingen aan het arbeidsreglement in het kader van behandeling van gevoelige gegevens. Maar ook zaken zoals documenten bewaren in een kast met een code tot een paswoord op de pc die toegang heeft tot die gegevens en zelfs ook een programma met specifieke codes waardoor je kan bijhouden wie wanneer welke gegevens bekijkt. Er zijn verschillende opties hiervoor, je bekijkt welke optie het beste past bij jouw bedrijf en jouw werkwijze.

Tevens moet je ook een verwerkingsregister aanmaken van alle persoonsgegevens die je verwerkt. Dit is een register waar je bijhoudt welke persoonsgegevens je verwerkt. Wat daarin moet staan hangt ervan af of je verwerkingsverantwoordelijke bent of gewoon verwerker. Hieronder een oplijsting, maar wij kunnen je daar zeker mee helpen.

  1. Is jouw organisatie verwerkingsverantwoordelijke? Dit kan je weten indien jouw organisatie zelf het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Als dit het geval is moet je volgende zaken opnemen in het register:
    1. Naam en contactgegevens van
      • De organisatie of de vertegenwoordiger van de organisatie
      • Eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van verwerking vaststelt
    2. De verwerkingsdoeleinden. (Bijvoorbeeld voor de verwerving en selectie van personeel, het bezorgen van producten of marketing)
    3. Beschrijving van categorieën van betrokkenen en van de categorieën van persoonsgegevens (bijvoorbeeld telefoonnummers, camerabeelden, IP-adressen)
    4. Categorieën van ontvangers aan wie de persoonsgegevens zullen worden verstrekt.
    5. Bewaartermijn
    6. Beveiliging
      • Dit kan een beschrijving zijn van de technische en organisatorische maatregelen om deze gegevens te beschermen
  2. Is jouw organisatie een verwerker van persoonsgegevens dat moet je volgende zaken opnemen in het register:
    1. Naam en contactgegevens van
      • De organisatie of vertegenwoordiger van de organisatie
      • De functionaris gegevensbescherming, als je die hebt aangesteld
    2. De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
    3. Internationale ondernemingen waarmee gegevens uitgewisseld worden, ook als deze buiten de EU zijn.
    4. Beveiliging
      • Dit kan een beschrijving zijn van de technische en organisatorische maatregelen om deze gegevens te beschermen

Naast het verwerkingsregister moet je ook iedereen waarvan je persoonsgegevens bijhoudt informeren over hoe je met deze gegevens omgaat en die personen ook wijzen op hun rechten. Zo moet je als bedrijf een “Privacy verklaring ” hebben waarin uitgelegd staat van wie je gegevens verzamelt en hoe ze die kunnen inkijken, laten verwijderen, … Die Privacyverklaring kan je best opnemen op je website. Plaats je daarnaast ook cookies via je website? Ook dat is een verwerking van persoonsgegevens. In dat geval moet je ook een Cookie verklaring opnemen op je website. Vergeet zeker ook niet om bij elk contactformulier op je website te verwijzen naar je Privacy verklaring en om toestemming te vragen aan prospecten en (soms ook) aan klanten om nieuwsbrieven te ontvangen.

Zit je na het lezen van dit blogbericht toch nog met vragen of zoek je gerichte juridische ondersteuning bij enige GDPR vragen of documenten? Contacteer ons gerust!