Studiebureau GDPR compliancy in 9 stappen

Als studiebureau verwerk je een beperkt aantal persoonsgegevens. Toch dien je, net zoals elke onderneming, aan de GDPR verplichtingen te voldoen.

Een advocaat inhuren kan duur zijn. Met behulp van de juiste templates en onderstaand plan kan het met een beperkte investering van tijd en middelen je studiebureau GDPR compliant maken.

Stap 1: Privacy Policy voor een Studiebureau

 Je bent verplicht om je klanten, websitebezoekers, prospecten, enz. vooraf te informeren omtrent hoe je hun gegevens gebruikt en hoe je ze beschermt (Art. 12-13 GDPR). Dit doe je via een privacy policy.

Vul de Privacy Policy – template aan met volgende informatie. De in de template reeds ingevulde voorbeelden dienen ook gebruikt te worden, verwijder wat niet van toepassing is.

Sectie in de template	Aan te vullen met :
Verzamelde gegevens	Contactgegevens van prospecten en sollicitanten. Contactgegevens en  betaalgegevens van klanten, leveranciers, en personeelsleden. Woon, transport, verplaatsingen van personen in bestudeerde gebieden.  (Vul aan of deze anoniem of niet worden opgeslagen.)
Hoe worden deze gegevens verzameld?	Via enquêtes en waarnemingen in context van de studieopdracht Via publieke bronnen en overheidsinstanties, zoals het kadaster
Hoe gebruiken wij je gegevens?	Om onze studieopdrachten te vervullen
Op welke rechtsgrond verwerken wij je gegevens?	Uitvoering van de studieovereenkomst Toestemming bij deelname aan de enquête
Welke derden verwerken je gegevens?	Indien nodig, onderaannemers zoals onze (vaste) zelfstandige medewerkers, architecten en consultants, gespecialiseerde studiebureaus, landmeters, mobiliteitsbureaus, enz.
Hoe lang bewaren wij jouw gegevens?	Aangezien onze projecten een doorlooptijd van meerdere jaren hebben, worden de gegevens vereist voor de uitvoering daarvan gedurende deze tijd bewaard, waarna we ze nog [aantal] jaar bewaren. [Vul hier aan welke gegevens een specifieke (lange) bewaarduur vereisen]

 

Zijn er nog andere zaken die in de verschillende topics horen? Vul die dan ook aan.

Zorg daarnaast ook voor een goede “cookiebanner” en cookie policy. Deze kan je aanmaken met volgende template:

• Cookie Policy

Stap 2: Verwerkingsregister voor een Studiebureau

Je bent verplicht om een verwerkingsregister aan te leggen waarin je bijhoudt hoe je de persoonsgegevens conform de privacywetgeving behandelt. Je dient dit document actueel te houden. Ook alle nieuwe verwerkingen van persoonsgegevens moeten er in worden opgenomen (Art. 30 GDPR).

Opgelet, verwerken en persoonsgegevens worden zeer ruim geïnterpreteerd:

• ‘Verwerkingen’ betekent: verzamelen, opslaan, wijzigen, raadplegen, verspreiden, wissen, enz.
• ‘Persoonsgegevens’ betekent: alle informatie waarmee je een natuurlijke persoon (dus geen vennootschap) kan identificeren én alle informatie over identificeerbare natuurlijke personen. Bijv. naam, contactgegevens, professionele contactgegevens, locatie, foto, online account,  locatiegegevens, geslacht, opgegeven voorkeuren en interesses, enz.

Vul het “Overzicht Verwerkingen” tabblad van de  verwerkingsregister-template aan met volgende informatie:

Verwerkingsactiviteit	Hoe worden de gegevens verzameld?	Doel van de verwerking	Categorieën persoonsgegevens
Vacatures uitschrijven	Webformulier door betrokkene ingevuld	Werving personeel	Beroep en opleiding
Nieuwsbrief sturen	Webformulier door betrokkene ingevuld	Klantenwerving / marketing	Contactgegevens
Enquêtes en tellingen doen	Op locatie studieopdracht worden personen bevraagd	Uitvoeren studie	Gedragingen (Woon, transport, verplaatsingen)
Informatiecampagne aan buurt uitvoeren	Verkregen van overheid	Uitvoeren verplichtingen  project	Contactgegevens

 

Stap 3: E-mails en nieuwsbrieven

Wanneer iemand zich op je website (of op een andere wijze) inschrijft om bijvoorbeeld je nieuwsbrief (of andere informatieve e-mails) te ontvangen, dan moet je aan een aantal verplichtingen voldoen.

De volgende adviezen leggen je stap voor stap uit hoe je aan deze verplichtingen voldoet en bevatten voorbeeldteksten die je kan overnemen op je website en in je e-mails:

• Inschrijvingsformulier nieuwsbrief
• Bevestigingsemail inschrijving
• Informatie toe te voegen aan e-mails
• Uitschrijftekst of uitschrijfformulier

Stap 4: Arbeidsreglement, ICT Policy en Data Policy voor een Studiebureau

Je moet zorgen dat jouw medewerkers en personeel op een veilige manier omgaan met ICT en persoonsgegevens en begrijpt wat het belang is van gegevensbescherming. Omgekeerd moet jij goed omgaan met de gegevens van je personeel en medewerkers.

Die rechten en plicht van je personeel worden geregeld in de ICT-Policy, de Data-Policy en de Werknemers Privacy Policy. Om bindend te zijn, is ook vereist dat je arbeidsreglement hieraan aangepast wordt en is het nuttig om enkele vermeldingen in de nieuwe arbeidsovereenkomsten op te nemen.

De volgende adviezen en vooraf ingevulde templates helpen je om deze documenten met een minimum aan inspanning te implementeren:

• Aanpassing arbeidsreglement en arbeidsovereenkomst
• Privacy Policy Werknemers
• ICT-Policy Personeel
• Data-Policy Personeel

Deze documenten zijn ook zo opgesteld dat je medewerkers eruit leren wat het belang is van gegevensbescherming en welke aandachtspunten ze moeten toepassen.

Stap 5: Sollicitanten

Persoonsgegevens die je ontvangt en verzamelt van sollicitanten moeten conform de GDPR verwerkt worden.

Wanneer iemand op een vacature reageert dan deelt die kandidaat zijn persoonsgegevens met jou als werkgever. Daarnaast zoek kan je eventueel bijkomende informatie opzoeken aangaande de kandidaat en een verslag maken van je gesprek.

Het volgend advies bevat alle informatie (met onmiddellijk te gebruiken voorbeeldteksten) die je in je vacatures en communicatie met sollicitanten dient op te nemen:

• Vacatures en Sollicitanten

Stap 6: Onderaannemers van een Studiebureau en zelf opdrachten uitvoeren als onderaannemer

Als studiebureau werk je met zelfstandige architecten, consultants, landmeters, mobiliteitsbureaus, etc.

Bij elke samenwerking met een opdrachtgever, opdrachtnemer, partner, enz. verwerken beide zijden in beperkte mate persoonsgegevens, ook als de eigenlijke opdracht geen rechtstreekse betrekking heeft op de verwerking van gegevens.

Daarom neem je best een clausule op in je standaardvoorwaarden en -contracten die regelt hoe beide partijen met persoonsgegevens omgaan. Je vindt al wat je nodig hebt in volgend document:

• Privacyclausules in contracten en Algemene Voorwaarden

Indien een leverancier gegevens in jouw opdracht verwerkt, dan ben jij als studiebureau verantwoordelijk voor deze verwerking en is de leverancier de “verwerker”. In die situatie moet een verwerkingsovereenkomst afgesloten worden, die bepaalt binnen welke grenzen je leverancier die gegevens mag verwerken (Artikel 28 GDPR). De zelfstandige architecten en consultants die deel uitmaken van je bureau, moeten al sowieso als verwerker beschouwd worden.

Om hieraan te voldoen, kan je de verwerkersovereenkomst-template gebruiken:

• Verwerkersovereenkomst voor overgedragen gegevens

Ook omgekeerd, wanneer jij gegevens verwerkt in opdracht van een klant of opdrachtgever, dan moet je een verwerkingsovereenkomst afsluiten waarin je klant aangeeft wat je wel en niet mag doen met die gegevens. Daarvoor kan de je volgende template gebruiken:

• Verwerkersovereenkomst voor gegevens ontvangen van klanten of opdrachtgevers

Stap 7: Veiligheid en datalekken van een Studiebureau

 Je dient de gegevens (en je gehele ICT-omgeving) te beveiligen en organisatorische en technische maatregelen te nemen die de veiligheid, de vertrouwelijkheid en de integriteit ervan waarborgen.  (Artikel 32 GDPR)

Beveiliging is een vakgebied op zich. Met hulp van deze checklist kan je je gegevensveiligheidsbeleid in beeld brengen en waar nodig verbeteren (desgevallend met behulp van je IT-leverancier).

In geval van een datalek dien je mogelijk de betrokkenen en de Gegevensbeschermingsautoriteit te informeren (Artikel 33 GDPR). Wanneer dat precies nodig is en hoe je dat doet, lees je in het volgend advies:

• Datalek: vaststelling en aangifte

Bovendien moet je de datalekken die zich voordoen bijhouden in een register. Daarvoor kan je de volgende template gebruiken:

• Datalekregister

Stap 8: Voorbereiding opvragen gegevens

 Je moet personen wiens gegevens je verwerkt binnen de 30 dagen kunnen informeren over welke gegevens je van hen verwerkt en in een aantal gevallen een kopie kunnen bezorgen van alle data in jouw bezit die je over die persoon verzameld hebt (Artikelen 15-20 GDPR).

In het volgend advies lees je wat je exact moet bezorgen en staan standaardteksten die je kan gebruiken voor communicatie met personen die hun gegevens willen meenemen:

• Formulier opvragen en beheer gegevens

Stap 9: Verklaring op eer voor aanbestedingen

 Na zorgvuldige implementatie op basis van de adviezen, processen en stappenplan kan je onderstaande verklaring op eer toevoegen aan je offertes en inschrijvingen op aanbestedingen:

Het studiebureau <naam>  verklaart op eer te voldoen aan de verplichtingen van de GDPR/ AVG (General Data Protection Regulation / Algemene verordening Gegevensbescherming). In het bijzonder werden volgende acties genomen: Privacy Policy aangemaakt, te consulteren op volgende link: <aan te vullen> Verwerkingsregister werd aangemaakt en wordt aangevuld met de nieuwe verwerkingen Onze website bevat voormelde Privacy Policy, onze Cookie Policy en alle meldingen en links om betrokkenen correct te informeren wanneer hun gegevens verzameld worden De nodige policy’s en reglementen werden opgesteld om te zorgen dat onze (toekomstige) medewerkers op de hoogte zijn van de privacyregels en persoonsgegevens correct verwerken. Omgekeerd werd ook het nodige gedaan om de rechten van onze medewerkers onder de privacywetgeving te respecteren Onze contracten en voorwaarden met onze leveranciers en verwerkers werden aangepast om te zorgen dat zij correct omgaan met de gegevens die ze voor ons verwerken Redelijke voorzieningen werden genomen voor de organisatorische en technische veiligheid van onze verwerkingen en voor de detectie en melding van datalekken Processen werden opgezet om het uitoefenen door betrokkenen van hun rechten mogelijk te maken (inzage, meeneembaarheid, etc.) Processen werden opgezet om verwerkingen van persoonsgegevens te herkennen, persoonsgegevens niet langer te bewaren dan nodig, niet meer persoonsgegevens te verzamelen dan nodig, personen wiens gegevens verwerkt worden correct te informeren, enz. Bovenstaande acties werden genomen gebaseerd op de adviezen en templates van een advocaat gespecialiseerd in de privacywetgeving (via myprivacyspecialist.com).

 

Conclusie Studiebureau GDPR compliancy

 Een studiebureau verwerkt niet veel persoonsgegevens, maar dient toch aan de GDPR te voldoen.

Met behulp van bovenstaand GDPR-stappenplan voor studiebureaus en de bijhorende templates wordt je snel en voor een laag bedrag GDPR-compliant. Dit stappenplan, de templates en de adviezen werden opgesteld door specialist Brahim Bénichou. Als ervaren gespecialiseerd jurist en voormalig privacy-advocaat voor zowel grote als kleine bedrijven, staat hij in voor de kwaliteit van deze stappenplannen, adviezen en templates.

Door deze werkwijze vermijd je dat je als studiebureau een veelvoud moet betalen aan consultants of advocaten om GDPR-compliant te worden. Of dat je de privacywetgeving zelf helemaal moet uitpluizen om eraan te voldoen.

Na afwerken van het stappenplan kan je een verklaring op eer toevoegen aan je offertes in inschrijvingen op aanbestedingen.