Laten we, beste lezer, starten met een belofte. Aangezien u de moeite neemt om alvast mijn ‘bachelorscriptie-in-een-notendop’ te lezen - hetgeen ik ten zeerste waardeer - beloof ik u in ruil een tegenprestatie. Als u de volgende keer aankomt op uw werkplek garandeer ik dat u, al is het maar in een flits, kort zal nadenken over hetgeen u zo meteen zal lezen. Als ik die belofte waar kan maken, zal ik deze missie als geslaagd beschouwen...
Naast de uren die we bewust online bezig zijn - voor school, werk of gewoon om te ontspannen - zijn de meesten onder ons ook vaak continu verbonden met het internet. We hebben een smartphone waarop al onze persoonlijke berichten en e-mails terug te vinden zijn, maar vaak ook onze persoonlijke foto’s. Soms zijn we zelfs verbonden met de ‘cloud’, een plek waar opnieuw een schat aan persoonlijke info terug te vinden kan zijn. Een mobiele telefoon of laptop verliezen betekent op privé-vlak meestal een klein drama, maar wat als het om een toestel van je werkgever gaat? Privacy gaat dus vaak niet alleen over onszelf.
Tijdens het nadenken over een stageplaats en een mogelijk onderwerp voor de bachelorscriptie die geschreven zou worden, schoot deze gedachte door mijn hoofd. De problematiek werd bovendien nóg interessanter, wanneer die onderzocht zou kunnen worden binnen een bedrijf dat zélf actief is in een digitale context. Toen kwam Ordina in beeld, een bedrijf met onder meer een vestiging in Mechelen, dat vooropstelt haar klanten te helpen bij ‘het realiseren van digitale voorsprong’. Hoe kijkt een bedrijf dat anderen begeleidt zelf naar persoonlijke gegevens van haar eigen werknemers? Zijn de werknemers van een dergelijk bedrijf ook bewuster bezig met hun eigen privacy? Weten ze eigenlijk wel welke gegevens hun werkgever allemaal van hen verzamelt?
Wanneer je dergelijke vragen vandaag begint te stellen kom je op juridisch vlak snel terecht bij de ‘General Data Protection Regulation’ (‘GDPR’). Een term die intussen bij iedereen, ook degene die nog nooit met recht bezig is geweest, wel een belletje doet rinkelen. Al is het omdat het bedrijf waar je een klantenkaart van in je portefeuille hebt zitten hiermee vandaag bezig moet zijn en je soms toestemming moet vragen voor het ‘verwerken’ van sommige gegevens. De GDPR deed vorig jaar onder impuls van Europa zijn intrede in de lidstaten, waaronder ook België. Veel bedrijven waren ruim op voorhand gestart met de voorbereidingen hiervoor, maar sommigen waaronder ook organisaties en verenigingen hebben zich laten verrassen door de omvang van de nieuwe regeling. Dit komt grotendeels doordat beslissingsnemers niet genoeg waarde hebben gehecht aan de intreding van de GDPR.
Het centrale uitgangspunt van Europa was duidelijk: persoonsgegevens van Europese burgers moeten beter beschermd worden door een groot aantal nieuwe maatregelen. Ook dankzij de GDPR deed bij veel bedrijven en organisaties een nieuwe figuur zijn intrede, de zogenaamde ‘Data Protection Officer’ (‘DPO’). Kort gezegd is de DPO de man of vrouw binnen de organisatie die toezicht houdt op het correct naleven van de GDPR-regelgeving. De impact van deze regeling kan dan ook moeilijk overschat worden.
Vanaf het begin stond echter ook voorop dat het geen louter beschrijvende bachelorscriptie mocht worden. Daarom besloot ik om na het doorlopen van het eerder theoretische kader ook een praktijkonderzoek op te zetten tijdens de stage. Het uiteindelijke doel zou er dan in bestaan om ‘bewustzijn’ of ‘awareness’ te creëren bij mijn collega’s op de stageplaats, meer specifiek met betrekking tot de GDPR en hun persoonlijke gegevens die in een arbeidscontext circuleren. Het onderzoek zelf voerde ik op basis van het zogenaamde ‘Plan-Do-Check-Act model’.
In de eerste fase van het praktijkonderzoek (‘Plan’) werden een aantal vragen samengebracht die de basis zouden vormen voor de latere bevragingen. Het ging daarbij onder meer om vragen als: ‘Is Ordina op dit moment bezig met zijn werknemers privacybewust te maken’ en ‘werkt die aanpak’? Alvorens de effectieve bevraging van de collega’s van start kon gaan, moest ik echter zelf de nieuwe regels uit de GDPR in detail begrijpen. Daarna moest die informatie nog ‘gefilterd worden’, zodat enkel die aspecten voor de bevraging overbleven die van belang konden zijn in een arbeidsrechtelijke context (‘Do’). Concreet vond de uiteindelijke bevraging plaats binnen drie units van Ordina. Ik koos voor vragen met een aantal scenario’s die allemaal raakpunten hadden met de nieuwe GDPR-regels (‘Check’). In de 10 dagen dat de collega’s de mogelijkheid hadden om de vragen te beantwoorden, vulden niet minder dan 74 werknemers van Ordina de vragenlijst in. De bevraging leidde tot een aantal verrassende resultaten en conclusies, die in detail na te lezen zijn in mijn bachelorscriptie. De belangrijkste conclusie was daarbij dat er binnen de organisatie nog ruimte was voor verbetering op het vlak van ‘privacy-awareness’ bij de eigen werknemers. Actie kon dus niet uitblijven (‘Act’)!
Aangezien veel werknemers van Ordina bij externe klanten aan het werk zijn, koos ik er uiteindelijk voor om een ‘mini-campagne’ op te zetten die meer ‘privacy awareness’ moest creëren binnen de organisatie. De campagne bestond uit een zelf ontworpen mascotte ‘The Ordinator’ (met dank aan de Bitmoji-app) die met een aantal slagzinnen iedereen aanspoorde om bewust om te gaan met privacy en gevoelige gegevens. In het bedrijf werden zelf ontworpen affiches opgehangen, flyers werden verspreid en er verscheen zelfs een postbus waarbij iedereen vragen kon stellen die te maken hadden met privacy. Dit alles moest onderstrepen dat privacy, ook in een arbeidscontext, een aandachtspunt is voor iedereen binnen de organisatie en dat elke dag opnieuw...
Gelukkig zit er in elk mooi verhaal minstens één onverwachte wending. Want waar de stage en bachelorscriptie ergens eind mei voltooid werd, moest er voor mezelf blijkbaar nog een nieuw hoofdstuk beginnen bij Ordina. U kon het misschien al raden: inmiddels mag ik als Privacy consultant het werk dat ik gestart was, verder zetten onder de Ordina vlag.
Denkt u er morgen ook even over na, als u met de ochtendkoffie naar uw bureau wandelt?
Handvest van de Grondrechten van de Europese Unie.
Verdrag van 25 maart 1957 betreffende de werking van de Europese Unie, BS 25 december 1957.
Verdrag van 4 november 1950 tot bescherming van de Rechten van de Mens en de Fundamentele Vrijheden, BS 19 augustus 1955.
Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, L 119/1, 4 mei 2016, 1-88.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Nr. L 281/31, 23 november 1995, 1-10.
Grondwet.
Wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, BS 5 augustus 2018.
Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de veverwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS 2 maart 1999.
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993.
Wet 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, BS 21 april 1984. Considerans 34.
DE HERT, P. en GUTWIRTH, S., Anthologie privacy overzicht van artikels wetgeving en rechtsspraak over privacy- en
persoonsgegevensbescherming voor België tot 1998, Brussel, ASP, 2013, 64.
FRIEDEWALD, M. en POHORYLES, R.J., Privacy and Security in the Digital Age, Oxon, Routledge, 2016, 212. OTTO, M., The Right to Privacy in Employment: A comparative Analysis, Oxford, Hart Publishing, 2016, 256;
BALTHAZAR, T., “Nieuwe kaderwet vormt sluitstuk voor GDPR”, De Juristenkrant 2018, 1-2.
BALTHAZAR, T., “Privacycommissie wordt Gegevensbeschermingsautoriteit”, DJK 2018, nr. 362, 2.
CRUYSMANS, E., “Data Protection & Privacy. Le GDPR dans la pratique”, RDIDC 2018, nr. 2, 307-310.
DE BACKER, M. en FRANSEN, T., ‘Algemene Verordening Gegevensbescherming. Naar een nieuw concept inzake bescherming van persoonsgegevens?”, NJW 2018, nr. 378, 190-203.
GOOSSENS, G. en VAN CANNEYT, T., “The general data protection regulation: 10 things company lawyers should know”, CDJ 2016, nr. 1, 1-11.
HENDRICKX, F., “Privacy en arbeidsrecht”, Jura Falc. 1998-1999, nr. 4, 619-642.
HENROTTE, J.F. en COTON, F., “Everything you always wanted to know about DPO (but were afraid to ask)”, CDJ 2017, nr. 2, 32-42.
JACOBS, E., “Acht misverstanden over nieuwe Europese privacyverordening, DJK 2017, nr. 345, 13.
JANSSENS, K. en NUYTTEN, M., “De Algemene Verordening Persoonsgegevens: van theorie naar praktijk. Le Règlement Général sur la Protection des Données: de la théorie à la pratique”, RDC-TBH 2018, nr. 5, 401-435.
KEEREMAN, A., “Privacybescherming werknemers in wiskundige formule (interview met Yung Shin Van Der Sype)”, DJK 2017, nr. 352, 5.
KEEREMAN, A., “Privacy moet voor bedrijven een uitgangspunt zijn”, DJK 2015, nr. 307, 8-9.
RAETS, S., “Alles wat werkgevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, ORM 2016, nr.7, 208-225.
ROYER, S. en YPERMAN, W., “Horen, zien en (moeten) spreken: Grondwettelijk Hof vernietigt actieve meldplicht ocmw’s” DJK 2019, nr. 386, 1-2.
SAELENS, R. en DE HERT, P., “Raad voor Vreemdelingenbetwisting – Elektronische procesvoering – Privéleven – Bescherming persoonsgegevens – Informatieveiligheid – Bescherming communicatiegeheim”, RW 2016-17, nr. 15, 584-588.
SCHOEFS, R., “Witte rook voor nieuwe privacyverordening”, DJK 2016, nr. 321, 16.
VANDERSTICHELE, G., “Rechtspraak in een datagestuurde informatiemaatschappij”, NJW 2017, nr. 368, 618-635.
VAN DER SYPE, Y., “De gegevensbeschermingseffectbeoordeling voor de verwerking van werknemersgegevens”, ORM 2018, nr. 1, 2-11.
VAN DER SYPE, Y.S., “Bescherming van persoonsgegevens in de arbeidscontext anno 2018: enkele uitdagingen voor het rechtmatig verwerken van werknemersgegevens”, Arbeidsrecht Journaal 2017, 23-29.
VAN DER SYPE, Y., “Een geïntegreerde methode voor de beoordeling van de privacy- en persoonsgegevensbescherming van werknemers”, SK 2017, nr. 10, 377-398.
VAN GREMBERGHE, T., “GDPR legt procedure vast bij datalekken”, De Juristenkrant 2017, nr. 358, 7. VEDDER, A. en VAN DER SYPE, Y., “Privacy, werk en internet of things”, ORM 2016, nr. 5, 118-127.
Working Group 29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens, 18/NL, 26. Working Group 29, “Opinie 2/2017 on data processing at work”, WP 249, 2017, 6.
Working Group 29, guidelines on transparency under Regulation 2016/679, 17/EN, 7-8.
X, “Uitzonderingen privacy-wet bij sociale inspectie”, DJK 2015, nr. 307, 2.
HvJ, 13 mei 2014, C-131/12.
CBPL, Algemene Verordening Gegevensbescherming - Bereid je voor in 13 stappen, Commissie voor de bescherming van de persoonlijke levenssfeer, 2017, https://gdpr-eu.be/wp-content/uploads/2016/12/STAPPENPLAN-NL-V2.pdf.
Claeys & Engels, Mag een werkgever nog wel foto’s verwerken onder de GDRP?, Claeys & Engels, 2018, https://www.gdprbelgium.be/nl/nieuws/mag-een-werkgever-nog-wel-foto’s-verwerken-onder-de-gdpr.
Dooms Global, From proposal to law: EU’s new Data Protection Regulations, Dooms Global, 2017, https://drooms.com/en/blog/from-proposal-to-law-eus-new-data-protection….
ENISA-Conference, https://www.enisa.europa.eu/events/edps-enisa-conference/edps-enisa-con…- accessing-the-risk-in-personal-data-breaches.
Europese Commissie, Gegevensbescherming in de EU, Europese Commissie, https://ec.europa.eu/info/law/law-topic/data- protection/data-protection-eu_nl.
GBA, Privacy op de werkvloer: algemeen, Gegevensbeschermingsautoriteit, https://www.gegevensbeschermingsautoriteit.be/privacy-op-de-werkvloer-a….
GBA, “Privacycommissie”, https://www.gegevensbeschermingsautoriteit.be/lexicon/privacycommissie, (consultatie 13 maart 2019).
GBA, “Nieuwe privacywetgeving (AVG), https://www.gegevensbeschermingsautoriteit.be/algemene-verordening- gegevensbescherming-0, (consultatie 31 mei 2019).
GDPR-eur, General Data Protection Regulation, GDPR-eur, https://gdpr-eu.be/wat-is-gdpr/.
GIJSBRECHTS, K., De GDPR-wetgeving uitgelegd in vijf vragen, https://www.smartbiz.be/achtergrond/167961/de-gdpr- wetgeving-uitgelegd-vijf-vragen/.
HUIS, I., “Meten is weten: hoe doe je dat met privacy awareness?”, https://www.privacycompany.eu/meten-is-weten- hoe-doe-je-dat-met-privacy-awareness/, (consultatie 29 mei 2019).
Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, Ministerie van Justitie en Veiligheid, 2018, file:///C:/Users/ElNa/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/Nieuwe% 20Handleiding%20Algemene%20verordening%20gegevensbescherming%20(1).pdf.
RIS-Rijkschroeff Juristen, “De algemene Verordening Gegevensbescherming en awareness”, https://www.ris- rijkschroeff.nl/Privacyrecht/De-Algemene-Verordening-Gegevensbescherming-en-awareness, (consultatie 28 mei 2019).
Sustronck, O., Is er steeds toestemming nodig voor direct marketing?, Wolters Kluwer, https://gdpr.wolterskluwer.be/nl/nieuws/is-er-steeds-toestemming-nodig-….
X, “Achtergrond van de AVG”, https://avg-compleet.nl/blog/achtergrond-van-de-avg/,(consultatie 29 mei 2019).
X, PDCA-cycle (figuur 1). Geraadpleegd van https://www.patagonia-bv.com/kwaliteitsmanagementsystemen/plan-do- check-act-pdca/.