Als studiebureau verwerk je een beperkt aantal persoonsgegevens. Toch dien je, net zoals elke onderneming, aan de GDPR verplichtingen te voldoen.
Een advocaat inhuren kan duur zijn. Met behulp van de juiste templates en onderstaand plan kan het met een beperkte investering van tijd en middelen je studiebureau GDPR compliant maken.
Stap 1: Privacy Policy voor een Studiebureau
Je bent verplicht om je klanten, websitebezoekers, prospecten, enz. vooraf te informeren omtrent hoe je hun gegevens gebruikt en hoe je ze beschermt (Art. 12-13 GDPR). Dit doe je via een privacy policy.
Vul de Privacy Policy – template aan met volgende informatie. De in de template reeds ingevulde voorbeelden dienen ook gebruikt te worden, verwijder wat niet van toepassing is.
Sectie in de template |
Aan te vullen met : |
Verzamelde gegevens |
|
Hoe worden deze gegevens verzameld? |
|
Hoe gebruiken wij je gegevens? |
|
Op welke rechtsgrond verwerken wij je gegevens? |
|
Welke derden verwerken je gegevens? |
|
Hoe lang bewaren wij jouw gegevens? |
|
Zijn er nog andere zaken die in de verschillende topics horen? Vul die dan ook aan.
Zorg daarnaast ook voor een goede “cookiebanner” en cookie policy. Deze kan je aanmaken met volgende template:
Stap 2: Verwerkingsregister voor een Studiebureau
Je bent verplicht om een verwerkingsregister aan te leggen waarin je bijhoudt hoe je de persoonsgegevens conform de privacywetgeving behandelt. Je dient dit document actueel te houden. Ook alle nieuwe verwerkingen van persoonsgegevens moeten er in worden opgenomen (Art. 30 GDPR).
Opgelet, verwerken en persoonsgegevens worden zeer ruim geïnterpreteerd:
- ‘Verwerkingen’ betekent: verzamelen, opslaan, wijzigen, raadplegen, verspreiden, wissen, enz.
- ‘Persoonsgegevens’ betekent: alle informatie waarmee je een natuurlijke persoon (dus geen vennootschap) kan identificeren én alle informatie over identificeerbare natuurlijke personen. Bijv. naam, contactgegevens, professionele contactgegevens, locatie, foto, online account, locatiegegevens, geslacht, opgegeven voorkeuren en interesses, enz.
Vul het “Overzicht Verwerkingen” tabblad van de verwerkingsregister-template aan met volgende informatie:
Verwerkingsactiviteit | Hoe worden de gegevens verzameld? |
Doel van de verwerking | Categorieën persoonsgegevens |
Vacatures uitschrijven | Webformulier door betrokkene ingevuld | Werving personeel | Beroep en opleiding |
Nieuwsbrief sturen | Webformulier door betrokkene ingevuld | Klantenwerving / marketing | Contactgegevens |
Enquêtes en tellingen doen | Op locatie studieopdracht worden personen bevraagd | Uitvoeren studie | Gedragingen (Woon, transport, verplaatsingen) |
Informatiecampagne aan buurt uitvoeren | Verkregen van overheid | Uitvoeren verplichtingen project | Contactgegevens |
Stap 3: E-mails en nieuwsbrieven
Wanneer iemand zich op je website (of op een andere wijze) inschrijft om bijvoorbeeld je nieuwsbrief (of andere informatieve e-mails) te ontvangen, dan moet je aan een aantal verplichtingen voldoen.
De volgende adviezen leggen je stap voor stap uit hoe je aan deze verplichtingen voldoet en bevatten voorbeeldteksten die je kan overnemen op je website en in je e-mails:
- Inschrijvingsformulier nieuwsbrief
- Bevestigingsemail inschrijving
- Informatie toe te voegen aan e-mails
- Uitschrijftekst of uitschrijfformulier
Stap 4: Arbeidsreglement, ICT Policy en Data Policy voor een Studiebureau
Je moet zorgen dat jouw medewerkers en personeel op een veilige manier omgaan met ICT en persoonsgegevens en begrijpt wat het belang is van gegevensbescherming. Omgekeerd moet jij goed omgaan met de gegevens van je personeel en medewerkers.
Die rechten en plicht van je personeel worden geregeld in de ICT-Policy, de Data-Policy en de Werknemers Privacy Policy. Om bindend te zijn, is ook vereist dat je arbeidsreglement hieraan aangepast wordt en is het nuttig om enkele vermeldingen in de nieuwe arbeidsovereenkomsten op te nemen.
De volgende adviezen en vooraf ingevulde templates helpen je om deze documenten met een minimum aan inspanning te implementeren:
- Aanpassing arbeidsreglement en arbeidsovereenkomst
- Privacy Policy Werknemers
- ICT-Policy Personeel
- Data-Policy Personeel
Deze documenten zijn ook zo opgesteld dat je medewerkers eruit leren wat het belang is van gegevensbescherming en welke aandachtspunten ze moeten toepassen.
Stap 5: Sollicitanten
Persoonsgegevens die je ontvangt en verzamelt van sollicitanten moeten conform de GDPR verwerkt worden.
Wanneer iemand op een vacature reageert dan deelt die kandidaat zijn persoonsgegevens met jou als werkgever. Daarnaast zoek kan je eventueel bijkomende informatie opzoeken aangaande de kandidaat en een verslag maken van je gesprek.
Het volgend advies bevat alle informatie (met onmiddellijk te gebruiken voorbeeldteksten) die je in je vacatures en communicatie met sollicitanten dient op te nemen:
Stap 6: Onderaannemers van een Studiebureau en zelf opdrachten uitvoeren als onderaannemer
Als studiebureau werk je met zelfstandige architecten, consultants, landmeters, mobiliteitsbureaus, etc.
Bij elke samenwerking met een opdrachtgever, opdrachtnemer, partner, enz. verwerken beide zijden in beperkte mate persoonsgegevens, ook als de eigenlijke opdracht geen rechtstreekse betrekking heeft op de verwerking van gegevens.
Daarom neem je best een clausule op in je standaardvoorwaarden en -contracten die regelt hoe beide partijen met persoonsgegevens omgaan. Je vindt al wat je nodig hebt in volgend document:
Indien een leverancier gegevens in jouw opdracht verwerkt, dan ben jij als studiebureau verantwoordelijk voor deze verwerking en is de leverancier de “verwerker”. In die situatie moet een verwerkingsovereenkomst afgesloten worden, die bepaalt binnen welke grenzen je leverancier die gegevens mag verwerken (Artikel 28 GDPR). De zelfstandige architecten en consultants die deel uitmaken van je bureau, moeten al sowieso als verwerker beschouwd worden.
Om hieraan te voldoen, kan je de verwerkersovereenkomst-template gebruiken:
Ook omgekeerd, wanneer jij gegevens verwerkt in opdracht van een klant of opdrachtgever, dan moet je een verwerkingsovereenkomst afsluiten waarin je klant aangeeft wat je wel en niet mag doen met die gegevens. Daarvoor kan de je volgende template gebruiken:
Stap 7: Veiligheid en datalekken van een Studiebureau
Je dient de gegevens (en je gehele ICT-omgeving) te beveiligen en organisatorische en technische maatregelen te nemen die de veiligheid, de vertrouwelijkheid en de integriteit ervan waarborgen. (Artikel 32 GDPR)
Beveiliging is een vakgebied op zich. Met hulp van deze checklist kan je je gegevensveiligheidsbeleid in beeld brengen en waar nodig verbeteren (desgevallend met behulp van je IT-leverancier).
In geval van een datalek dien je mogelijk de betrokkenen en de Gegevensbeschermingsautoriteit te informeren (Artikel 33 GDPR). Wanneer dat precies nodig is en hoe je dat doet, lees je in het volgend advies:
Bovendien moet je de datalekken die zich voordoen bijhouden in een register. Daarvoor kan je de volgende template gebruiken:
Stap 8: Voorbereiding opvragen gegevens
Je moet personen wiens gegevens je verwerkt binnen de 30 dagen kunnen informeren over welke gegevens je van hen verwerkt en in een aantal gevallen een kopie kunnen bezorgen van alle data in jouw bezit die je over die persoon verzameld hebt (Artikelen 15-20 GDPR).
In het volgend advies lees je wat je exact moet bezorgen en staan standaardteksten die je kan gebruiken voor communicatie met personen die hun gegevens willen meenemen:
Stap 9: Verklaring op eer voor aanbestedingen
Na zorgvuldige implementatie op basis van de adviezen, processen en stappenplan kan je onderstaande verklaring op eer toevoegen aan je offertes en inschrijvingen op aanbestedingen:
Het studiebureau <naam> verklaart op eer te voldoen aan de verplichtingen van de GDPR/ AVG (General Data Protection Regulation / Algemene verordening Gegevensbescherming). In het bijzonder werden volgende acties genomen:
Bovenstaande acties werden genomen gebaseerd op de adviezen en templates van een advocaat gespecialiseerd in de privacywetgeving (via myprivacyspecialist.com). |
Conclusie Studiebureau GDPR compliancy
Een studiebureau verwerkt niet veel persoonsgegevens, maar dient toch aan de GDPR te voldoen.
Met behulp van bovenstaand GDPR-stappenplan voor studiebureaus en de bijhorende templates wordt je snel en voor een laag bedrag GDPR-compliant. Dit stappenplan, de templates en de adviezen werden opgesteld door specialist Brahim Bénichou. Als ervaren gespecialiseerd jurist en voormalig privacy-advocaat voor zowel grote als kleine bedrijven, staat hij in voor de kwaliteit van deze stappenplannen, adviezen en templates.
Door deze werkwijze vermijd je dat je als studiebureau een veelvoud moet betalen aan consultants of advocaten om GDPR-compliant te worden. Of dat je de privacywetgeving zelf helemaal moet uitpluizen om eraan te voldoen.
Na afwerken van het stappenplan kan je een verklaring op eer toevoegen aan je offertes in inschrijvingen op aanbestedingen.