Voor ondernemers kan het navigeren door regelgeving, zoals de GDPR, een uitdaging zijn. Dit wordt vaak zwart-wit bekeken: ofwel negeer je het en riskeer je problemen, ofwel beperk je jezelf te veel. De GDPR is echter geen roodlicht-wetgeving, maar eerder een rondpunt om gegevensstromen te beheren. In onze podcast, dJ Talks, verkennen we hoe je succesvol kunt ondernemen binnen deze kaders.
Leuk detail: onze podcast is volledig gemaakt met kunstmatige intelligentie, inclusief script, dialogen, stemmen en muziek!
Kris: Welkom terug bij dJ Talks, de podcast van deJuristen. Ik ben Kris managing partner en één van de juridische experts bij deJuristen, en samen met Duygu, Privacy Chair van het Data Protection team bij deJuristen, verkennen we de GDPR in de praktijk.
Duygu: Vandaag gaan we verder met ons boek "Roodlicht of rotonde". We duiken dieper in de GDPR, een 'rondpunt-wetgeving' die kansen biedt voor jouw onderneming.
Kris: We behandelen de hoofdstukken van ons boek stap voor stap, met praktijkvoorbeelden om GDPR toegankelijker en duidelijker te maken.
Duygu: Laten we beginnen met onze volgende verkenning in de wereld van data protection en recht.
Kris: ...En trouwens, een interessant feitje voor onze luisteraars: de scenario’s in deze aflevering zijn gegenereerd door ChatGPT, uiteraard gebaseerd op ons boek, en de voicecloning is gedaan door Elevenlabs.
Duygu: Precies, Kris. Dit betekent dat onze dialoog en discussies volledig gegenereerd zijn door AI.
Kris: Afgelopen afleveringen hebben we heel wat informatie besproken over hoe GDPR in elkaar zit. Vandaag gaan we deze kennis toepassen op de praktijk.
Duygu: "Hey Kris, heb je ooit nagedacht over hoeveel persoonlijke informatie we eigenlijk verwerken in onze organisaties?"
Kris: "Nou Duygu, dat is precies waar ik vaak over peins. Of het nu gaat om werknemers, freelancers, of sollicitanten, we zitten echt op een berg van persoonsgegevens."
Duygu: "Precies! En ik vind het fascinerend. We hebben het over een schat aan informatie, en vaak bevat het heel veel persoonlijk detail. Vandaag zouden we echt moeten duiken in de vragen die we vaak krijgen over dit aspect van HR."
Kris: "Ik ben helemaal klaar om die vragen aan te pakken. Er zijn zoveel nuances in hoe we deze gegevens verwerken en beschermen, en ik denk dat onze luisteraars daar echt wat aan kunnen hebben."
Duygu: "Absoluut, Kris. Laten we onze luisteraars meenemen op deze informatieve reis en de balans verkennen tussen het verzamelen van gegevens en het respecteren van privacy."
Duygu: "Kris, laten we het eens hebben over iets waar elke HR-professional mee te maken heeft: het personeelsdossier. Weet je, die mappen zitten vol met van alles en nog wat. Wat kom jij zoal tegen?"
Kris: "Oh, Duygu, je zou verbaasd zijn! Ik zie van alles: verslagen van functioneringsgesprekken, ziektebriefjes, CV's, en zelfs kopieën van paspoorten. En jij?"
Duygu: "Precies dat! En met onze stap naar een meer digitale wereld, zien we nu dat die stapels papier veranderen in digitale mappen. Veel makkelijker te beheren, toch?"
Kris: "Absoluut! En weet je, de meeste van deze verwerkingen zijn gewoon noodzakelijk voor de arbeidsovereenkomst. Dat is een belangrijk puntje voor onze luisteraars, toch?"
Duygu: "Zeker weten! Neem nu het uitbetalen van het loon. Dat is een perfect voorbeeld van verwerking die nodig is voor de uitvoering van de arbeidsovereenkomst. Je kan niet zomaar iemands loon uitbetalen zonder hun bankgegevens te kennen!"
Kris: "Haha, stel je voor, Duygu! 'Hier, ik gooi gewoon wat bankbiljetten in de lucht en hoop dat het bij de juiste persoon terechtkomt!'"
Duygu: "Dat zou pas een interessante loonadministratie zijn! Maar serieus, het is belangrijk dat we begrijpen waarom we bepaalde gegevens nodig hebben, en dat we ze op de juiste manier verwerken en beschermen."
Kris: "Helemaal mee eens. Dus, luisteraars, als je je ooit hebt afgevraagd waarom HR al die informatie nodig heeft, nu weet je het. Het is allemaal onderdeel van de deal!"
Duygu: "Naast de arbeidsovereenkomst is er nog een andere belangrijke verwerkingsgrond die werkgevers vaak gebruiken. Dat is 'noodzakelijk om aan een wettelijke verplichting te voldoen'. Bijvoorbeeld, loondetails doorgeven aan de fiscus. Wat vind jij daarvan?"
Kris: "Oh, dat is een cruciaal punt, Duygu. Werkgevers hebben bepaalde wettelijke verplichtingen, zoals het doorgeven van loongegevens voor fiscale doeleinden. Het is niet alleen een kwestie van de arbeidsovereenkomst, maar ook van het voldoen aan de wet."
Duygu: "Precies! En het is belangrijk voor werkgevers om te weten dat ze alleen die gegevens mogen verzamelen die nodig zijn voor het arbeidscontract. Dat is vaak ook de juridische basis voor het verwerken van persoonsgegevens."
Kris: "En laten we het eens hebben over toestemming, Duygu. Je weet wel, die clausule in de arbeidsovereenkomst waarin staat dat de werknemer instemt met de verwerking van zijn of haar persoonsgegevens."
Duygu: "Ah, een klassieker! Maar dat is het interessante, toch? Onder de GDPR is zo'n clausule eigenlijk geen geldige toestemming voor het verwerken van persoonsgegevens. Het is een misverstand dat veel werkgevers hebben."
Kris: "Helemaal waar. Veel werkgevers denken dat door die bepaling in het contract op te nemen, alles in orde is. Maar de realiteit is dat toestemming onder de GDPR echt vrij en specifiek moet zijn."
Duygu: "Inderdaad, Kris. Het is een delicate balans tussen het verzamelen van noodzakelijke gegevens voor het arbeidscontract en het respecteren van de privacyregels."
Kris: "Weet je, Duygu, wat vaak het geval is in arbeidsovereenkomsten? Ze vermelden niet specifiek wat het verwerken van persoonsgegevens inhoudt. In plaats daarvan wordt de werknemer vaak doorverwezen naar een werknemershandboek of een privacyverklaring. Daar staat dan alles in detail uitgelegd."
Duygu: "Ah ja, de beroemde doorverwijzingen! Maar dat brengt ons bij een heel belangrijk punt, toch Kris? Vooral als het gaat om bijzondere persoonsgegevens."
Kris: "Zeker! Bijvoorbeeld, als een werkgever gegevens wil verwerken over het lidmaatschap van een vakbond van een werknemer, dan is dat een heel ander verhaal. Voor dat soort informatie moet specifieke toestemming gevraagd worden."
Duygu: "En dat is waar het ingewikkeld wordt in de arbeidsrelatie. Toestemming vragen in zo'n context heeft zijn nadelen, nietwaar?"
Kris: "Absoluut. Het is een delicate kwestie. De werknemer kan zich onder druk gezet voelen om toestemming te geven, gezien de machtsdynamiek in een arbeidsrelatie. En dat is niet waar echte toestemming om draait."
Duygu: "Echte toestemming moet vrijelijk gegeven zijn, zonder enige vorm van druk of dwang. En in een arbeidsrelatie kan die lijn soms vaag worden."
Kris: "Daarom is het zo belangrijk voor werkgevers om helder te communiceren en te zorgen dat ze de juiste juridische basis hebben voor de verwerking van deze gevoelige gegevens."
Duygu: "Nu we het toch over toestemming hebben, Kris, laten we eens dieper ingaan op toestemming als rechtsgrondslag voor de werknemer. De GDPR stelt echt hoge eisen aan wat een geldige toestemming is. En in een arbeidscontext is dit een heel interessant gebied."
Kris: "Dat is zeker waar, Duygu. Een werkgever kan zich inderdaad slechts in zeer uitzonderlijke gevallen op toestemming beroepen voor zijn HR-beleid. Het is niet onmogelijk, maar het is zeker niet de norm."
Duygu: "Omdat de toestemming van een werknemer vaak niet als 'vrij' wordt beschouwd, gezien de afhankelijkheidsrelatie. En dat maakt het vaak ongeldig in de ogen van de GDPR, toch?"
Kris: "Precies. De GDPR is heel duidelijk over het vermijden van een wanverhouding tussen de werknemer en de werkgever. Als er zo'n wanverhouding is, dan is de kans groot dat de toestemming niet vrij is gegeven."
Duygu: "En dat wordt ook ondersteund door de richtlijnen van de Artikel 29-werkgroep, nu bekend als de European Data Protection Board. Maar er is nog een ander belangrijk punt over toestemming in de HR-context."
Kris: "Zeker. Een ander nadeel van toestemming is dat het op elk moment ingetrokken kan worden. Dat maakt het een nogal instabiele basis voor HR-praktijken. Je wilt niet dat je juridische basis plotseling wegvalt."
Duygu: "Helemaal mee eens. Maar er zijn toch wel enkele verwerkingsactiviteiten in HR waarbij toestemming wellicht de enige toelaatbare rechtsgrond is?"
Kris: "Ja, dat zijn de uitzonderingen. Er zijn bepaalde situaties waarin toestemming echt de enige optie is. Maar het is belangrijk om die situaties heel nauwkeurig te beoordelen."
Duygu: "Om dit te illustreren met een praktisch voorbeeld, Kris, laten we eens kijken naar het verwerken van foto's van werknemers. Je ziet vaak foto's op social media, in marketingmateriaal, of zelfs op een interne who-is-who pagina op het intranet."
Kris: "Ja, dat is een alledaags voorbeeld. Veel bedrijven doen dit, maar vanuit een GDPR-perspectief is het niet zo eenvoudig als het lijkt."
Duygu: "Precies. In zulke gevallen is toestemming waarschijnlijk de enige juiste rechtsgrond. Het is niet genoeg om gewoon foto's te nemen en te gebruiken. Je moet als werkgever echt kunnen aantonen dat deze toestemming vrijelijk is gegeven."
Kris: "Dat is een heel goed punt. Het gaat er niet alleen om dat je toestemming krijgt, maar ook hoe je die toestemming krijgt. Je moet ervoor zorgen dat de werknemers begrijpen waar ze toestemming voor geven en dat ze zich vrij voelen om nee te zeggen."
Duygu: "Inderdaad, en dat kan best een uitdaging zijn. Vooral in een bedrijfscultuur waar mensen misschien bang zijn om 'nee' te zeggen tegen de baas."
Kris: "Daarom is transparantie zo belangrijk. Het gaat niet alleen om het afvinken van een boxje. Het gaat om echte, geïnformeerde toestemming."
Duygu: "En laten we niet vergeten dat werknemers het recht hebben om hun toestemming op elk moment in te trekken. Dat kan best lastig zijn als je al marketingmateriaal hebt geproduceerd met hun foto's erop."
Kris: "Een hele goede reden om vanaf het begin duidelijk en zorgvuldig te zijn. Het laatste wat je wilt, is dat je hele marketingcampagne onderuitgehaald wordt omdat iemand zijn toestemming intrekt!"
Duygu: "Laten we een veelgestelde vraag aanpakken, Kris. 'Is mijn werknemer nu eigenlijk een verwerker?' Ik hoor dit zo vaak. Wat denk jij?"
Kris: "Een hele goede vraag! En het antwoord is vrij simpel: nee, een werknemer is geen verwerker volgens de GDPR. Dat komt omdat een werknemer onder het directe gezag van de werkgever staat, dus er is een hiërarchische verhouding."
Duygu: "Dat klopt. Dus, voor onze luisteraars, een werknemer die instructies volgt van de werkgever wordt niet beschouwd als een verwerker. Maar Kris, hoe zit het met gedetacheerde personen of freelancers?"
Kris: "Ah, daar wordt het interessant. Als een freelancer werkt onder directe instructies van de opdrachtgever, dus als ze eigenlijk hetzelfde behandeld worden als een werknemer, dan zijn ze ook geen verwerker."
Duygu: "Maar als een freelancer onafhankelijk werkt, niet direct onderworpen aan het gezag van de opdrachtgever, dan verandert het verhaal, toch?"
Kris: "Precies! In dat geval is de freelancer wel een verwerker. En dat betekent dat er een verwerkersovereenkomst moet worden afgesloten. Vaak wordt dit opgenomen in de freelancerovereenkomst."
Duygu: "Dus het is belangrijk voor werkgevers en HR-professionals om het onderscheid te maken tussen werknemers of freelancers die onder direct gezag staan en degenen die onafhankelijk werken."
Kris: "Absoluut. En dat onderscheid kan behoorlijk impact hebben op de manier waarop je met GDPR en persoonsgegevens omgaat."
Duygu: "Nu we het toch over de verwerking van persoonsgegevens hebben, Kris, wat denk je over personeelsattenties? Zoals het bijhouden van de geboortedatum voor het schenken van bloemen op verjaardagen?"
Kris: "Dat is een interessant punt. Vaak zien we dat werkgevers zich voor dit soort activiteiten beroepen op het gerechtvaardigd belang, zoals het bevorderen van sociale cohesie op de werkvloer."
Duygu: "Ja, maar de Gegevensbeschermingsautoriteit (GBA) heeft aangegeven dat verwerkingen die meer 'nice to have' dan 'need to have' zijn, problematisch kunnen zijn met het noodzakelijkheidsbeginsel. Dit is niet officieel vastgelegd, maar het geeft wel een indicatie, toch?"
Kris: "Zeker, Duygu. Het lijkt erop dat voor zulke personeelsattenties eigenlijk toestemming van de werknemer nodig zou zijn. Maar hoe ziet dat er in de praktijk uit?"
Duygu: "In de praktijk zou er inderdaad sprake kunnen zijn van geldige toestemming van de werknemer. Het belangrijkste is dat het vrijelijk gegeven is en dat je als werkgever dat ook kunt aantonen."
Kris: "Dat klinkt als een uitdaging. Hoe kunnen werkgevers ervoor zorgen dat deze toestemming echt vrijelijk gegeven is?"
Duygu: "Een mogelijke oplossing zou kunnen zijn om een online tool te gebruiken. Werknemers kunnen dan op vrijwillige basis beslissen of ze hun persoonsgegevens willen delen voor personeelsattenties. En natuurlijk moet duidelijk zijn dat ze niet verplicht zijn om dit te doen."
Kris: "Dat lijkt een goede manier om transparantie en vrijwilligheid te waarborgen. Het geeft werknemers de keuze zonder enige druk."
Duygu: "Precies, Kris. Het gaat erom werknemers de controle te geven over hun eigen gegevens en de keuze om al dan niet deel te nemen aan dit soort attenties."
Kris: "Laten we het nu hebben over een ander belangrijk onderwerp: werving en selectie, oftewel sollicitatiedata. Er bestaan best-practices en adviezen van de oude Artikel 29-groep. Bij het werven worden vaak veel persoonsgegevens verwerkt. Denk aan screeningsprocessen, het raadplegen van social media van kandidaten, en meer."
Duygu: "Dat klopt, Kris. Het is een gebied waar veel gebeurt. Maar het is belangrijk om ons te houden aan enkele basisprincipes, toch?"
Kris: "Absoluut. Een sleutelprincipe is om enkel de noodzakelijke informatie op te vragen die relevant is voor de functie. Zo is het tijdens het sollicitatieproces niet nodig om gegevens over de gezinssituatie te verwerken. Dat is pas relevant als de kandidaat wordt aangenomen, vooral voor fiscale doeleinden."
Duygu: "Dat is een goed punt. En wat denk je over de bewaartermijn van sollicitatiegegevens?"
Kris: "Een goede vuistregel is om de gegevens te bewaren totdat de keuze voor de functie is gemaakt. Meestal is 30 dagen een goede richtlijn. Als je de gegevens langer wilt bewaren, bijvoorbeeld voor toekomstige relevante functies, dan is het mogelijk om deze tot 1 jaar na het einde van de sollicitatieprocedure te bewaren. Maar dan moet je wel toestemming hebben van de kandidaat en hen hierover correct informeren."
Duygu: "Dus het is cruciaal om transparant te zijn tegenover sollicitanten over hoe hun gegevens worden gebruikt en bewaard. Een duidelijke privacyverklaring kan hierbij helpen, niet?"
Kris: "Precies. Het gaat allemaal om transparantie en het respecteren van de privacy van de kandidaten. En het correct omgaan met hun gegevens is niet alleen een wettelijke verplichting, het is ook een kwestie van goed werkgeverschap."
Duygu: "Nou Kris, we hebben vandaag echt een diepe duik genomen in hoe essentiële HR-verwerkingen beïnvloed worden door de GDPR-regels."
Kris: "Absoluut, Duygu. Het is duidelijk dat GDPR een significante impact heeft op de manier waarop we met persoonsgegevens omgaan in HR-contexten."
Duygu: "En dit is nog maar het begin. Werkgevers zijn steeds vaker aan het experimenteren met zaken als camerabewaking op de werkvloer, biometrische toegangssystemen, geolocatie en E-monitoring. Allemaal gebieden die zowel complex als fascinerend zijn."
Kris: "Dat klopt. Het is essentieel voor HR-professionals en werkgevers om altijd de privacy impact van hun initiatieven te overwegen en deze te toetsen aan de basisbeginselen van de GDPR."
Duygu: "De sleutel ligt in het vinden van de juiste balans tussen bedrijfsbehoeften en de privacyrechten van werknemers. Het is een voortdurende uitdaging, maar ook een kans om te laten zien dat je als werkgever zorgvuldig en respectvol met persoonsgegevens omgaat."
Kris: "Precies. En laten we niet vergeten dat het naleven van de GDPR niet alleen gaat over het vermijden van boetes, maar ook over het opbouwen van vertrouwen en integriteit binnen je organisatie."
Duygu: "Absoluut, Kris. En hierbij sluiten we voorlopig onze reeks af die volledig gewijd was aan het boek 'GDPR: Roodlicht of Rotonde'."
Kris: "Ja, en wat een reis was het! Weet je nog, Duygu, toen we begonnen? We waren zo benieuwd hoe AI ons zou helpen dit complexe onderwerp te ontrafelen."
Duygu: "En wat een verrassing was het! Ik denk dat onze luisteraars net zo verbaasd waren als wij over de mogelijkheden van AI. Maar, Kris, denk je dat we hen hebben kunnen warm maken voor de wereld van GDPR?"
Kris: "Ik hoop het echt. GDPR is zo'n cruciaal, maar vaak misbegrepen onderwerp. En weet je, Duygu, als mensen meer willen weten, het boek is nog steeds beschikbaar, direct bij deJuristen."
Duygu: "Oh ja, gewoon een mailtje naar hallo@dejuristen.be sturen en je bent klaar. En, Kris, laten we niet vergeten de mensen te bedanken die dit allemaal mogelijk hebben gemaakt."
Kris: "Absoluut, een enorm dankjewel aan ons team bij Raccoons. Zonder hun toewijding en kennis hadden we dit nooit kunnen doen."
Duygu: "Het was zo'n plezier om deze innovatieve technologieën te verkennen en deze podcastreeks te creëren. Wat denk je, Kris, zullen we in de toekomst nog meer van dit soort projecten doen?"
Kris: "Ik zou het geweldig vinden, Duygu. Maar voor nu, aan al onze luisteraars, bedankt voor het afstemmen op DJ Talks. We hopen dat jullie net zoveel plezier hebben beleefd aan het luisteren als wij aan het maken."
Duygu: "Blijf nieuwsgierig, blijf leren en wie weet wat de toekomst brengt."
Kris: Vergeet niet om ons te volgen op onze sociale media kanalen voor meer inzichten en updates. Zoek naar 'DeJuristen' op Instagram en LinkedIn.
Duygu: Bedankt voor het luisteren, en wie weet, tot ziens!