De GDPR-wet verdient uw aandacht

De belangrijkste verschillen met de GDPR, voor u als onderneming, vindt u terug in artikel 9 GDPR-wet. Dit artikel legt bijkomende voorwaarden op voor de verwerking van genetische -, biometrische - of gezondheidsgegevens. Het verdient uw aandacht omdat (bijna) elke onderneming gezondheidsgegevens verzamelt. Denk maar aan de HR-vertegenwoordiger of -afdeling die gezondheidsgegevens van uw werknemers verzamelt.

Hoewel de praktische impact eerder beperkt is

Op basis van de GDPR moet u in uw register al bijhouden aan welke categorieën van ontvangers (intern en extern) u persoonsgegevens verstrekt. De GDPR-wet bepaalt nu dat u niet alleen moet aanwijzen welke categorieën van personen toegang hebben tot persoonsgegevens, maar dat u ook:

1. nauwkeurig hun hoedanigheid ten opzichte van de verwerking van de betrokken persoonsgegevens moet omschrijven; 
2. een lijst van de categorieën van deze personen beschikbaar moet houden voor de bevoegde toezichthoudende autoriteit; en
3. ervoor moet zorgen dat deze personen het vertrouwelijk karakter van de gegevens in acht nemen (d.m.v. een wettelijke, statutaire of contractuele verplichting).

Om de eerste voorwaarde te vervullen, is het o.i. voldoende als u de afdeling of de functie van de personen die toegang hebben tot de gegevens vermeldt (i.p.v. de naam of bijkomend bij de naam van deze personen) in het register. Wellicht hebt u dit reeds gedaan.

De tweede voorwaarde zal ook reeds vervuld zijn, namelijk door het verplicht bijhouden van een register.

Een goede GDPR-leerling zal ook de derde voorwaarde al hebben opgevolgd omdat dit toen reeds met stip werd aangeraden. Het is nu dus een verplichting!

Afhankelijk van wat u reeds gedaan hebt, moet u dus een paar kleine wijzigingen aanbrengen in uw register en mogelijks een vertrouwelijkheidsclausule door uw werknemers (die in aanraking komen met gezondheidsgegevens) laten ondertekenen.

Jan Coninx en Magalie Manshoven