In mei ging de Europese ‘General Data Protection Regulation’ (GDPR) of ‘Algemene Verordening Gegevensbescherming’ (AVG) van kracht. Wat moeten preventieadviseurs weten? Dit artikel is een eerste aanzet.

De verordening gaat over het beheer en de verwerking van persoonsgegevens. Een persoonsgegeven wil hier zeggen: iedere informatie die rechtstreeks of onrechtstreeks gelinkt kan worden aan een persoon. Er wordt geen onderscheid gemaakt tussen vertrouwelijke/publiek toegankelijke en professionele/niet professionele informatie.

Implicaties voor HSE

De implicaties voor onze sector zijn verregaand omdat de wetgeving alles omvat van fiches in een kaartenbak tot specifieke databanken waarin processen en gegevens worden opgeslagen. Wat valt er zoal onder verantwoordelijkheid van de interne dienst of HSE-afdeling?

  • Een preventieadviseur verzamelt en beheert persoonsgegevens en heeft daardoor binnen de nieuwe wet de rol van verwerkingsverantwoordelijke. Denk maar aan de registratie en onderzoek van arbeidsongevallen, het bijhouden van gevolgde vormingen en attesten, de gezondheidsstatus en het gezondheidstoezicht, PBM-gebruik en wellicht nog andere gegevens die verbonden zijn aan een persoon.
  • De verwerking van gevoelige gegevens (zoals de gezondheidsstatus) is in principe verboden, tenzij die noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer of medische diagnoses. Dit moet gebeuren onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg (lees: de arbeidsgeneesheer).

Basisbeginsels

Wat zijn de spelregels? De basisbeginsels van de gegevensbescherming bestaan al in het huidige recht maar worden in de nieuwe wetgeving aanzienlijk versterkt. Iedere verwerkingsverantwoordelijke moet deze beginsels eerbiedigen:

  • rechtmatige, behoorlijke en transparante verwerking van persoongegevens
  • voor een welbepaald doeleinde
  • minimale gegevensverwerking
  • juistheid nastreven, inzage en verbetering mogelijk maken
  • beperkte bewaartermijn
  • integriteit en vertrouwelijkheid

Hoe begin je eraan?

1. Ga bewust om met persoonsgegevens:

  • Informeer de personen van wie je gegevens bijhoudt
  • Noteer wanneer en waarvoor je de gegevens hebt gekregen
  • Verzamel enkel noodzakelijke persoonsgegevens
  • Verwijder de gegevens als het doel bereikt is
  • Hergebruik geen persoonsgegevens voor een ander doel
  • Bescherm de persoonsgegevens

2. Inventariseer welke bestanden met persoonsgegevens je hebt en wie daar toegang tot heeft

Werk je in een grotere organisatie dan kan je verwachten dat er om een register gevraagd wordt. In een KMO zal je nog een en ander zelf moeten uitdokteren.

 

Bron: Willem Kolpa