Veiligheid

GDPR is ook aandachtspunt voor preventieadviseur!

Aan de ingang van een petrochemisch bedrijf is het een gangbare praktijk om de persoonsgegevens op te vragen van aannemers of contractors. Voortaan zal duidelijk moeten worden bepaald hoe met deze gegevens wordt omgegaan. Mogelijks zullen de bestaande contracten met deze aannemers en/of contractors moeten worden aangepast en aangevuld met bepalingen daaromtrent. Dit is slechts één van de voorbeelden over de mogelijke impact van GDPR op de preventieadviseur. Bedrijven krijgen tijd tot 25 mei 2018 om zich in orde te stellen met deze wetgeving.

Wat bedoelen we met ‘persoonsgegevens’?

Een persoonsgegeven is elke informatie betreffende een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Dit begrip ‘persoonsgegeven’ is dus zeer breed. Er wordt geen onderscheid gemaakt tussen vertrouwelijke informatie die enkel door de preventieadviseur of de personeelsdienst raadpleegbaar is dan wel publiek toegankelijke informatie die bijvoorbeeld beschikbaar is voor iedereen op het intranet. Zelfs indien de naam van de werknemer niet wordt vermeld, maar door het koppelen van informatie (leeftijd, geslacht, stad, diploma, enz.) of het gebruik van verschillende technische middelen tot één persoon leidt (‘singling out’), worden de gegevens nog als persoonsgegevens beschouwd.

Over welke persoonsgegevens beschikt preventieadviseur?

De preventieadviseur beschikt niet enkel over persoonsgegevens van aannemers en contractors, maar bijvoorbeeld ook over diploma’s en/of cv’s van werknemers in dienst. Dit kan gaan over opleidingen BA4/BA5 met datum van opleiding, opleidingen hoogtewerker, rolbrug of vorkheftruck, de opleidingen VCA-Basis dan wel VCA-VOL, het bijhorende ingescande attest met datum van examen en datum van verloop, de opleidingen EHBO of brandbestrijding, de attesten medische onderzoeken met datum en al dan niet onderzoek als veiligheidsfunctie.   

Bij nieuwe werknemers worden deze diploma’s of cv’s opgevraagd en bewaard in bijvoorbeeld een kwalificatiematrix (zie voorbeeld hieronder).  Ook het rijksregisternummer, de nummerplaat, de telefoonnummer, enz. zijn allemaal persoonsgegevens die onder de AVG-verordening vallen. Veel van deze informatie is ook intern raadpleegbaar. 



Wat mag preventieadviseur doen met persoongegevens?

Volgens GDPR (art. 5) mogen enkel die persoonsgegevens worden verwerkt die noodzakelijk zijn voor de doeleinden waarvoor ze worden gebruikt. Zo kan de preventieadviseur de persoonsgegevens die hij behoudt enkel gebruiken in het licht van veiligheid, gezondheid en welzijn. Bovendien kan dit enkel gebeuren met toestemming van de betrokkenen. Deze betrokkenen beschikken steeds over het recht op informatie over welke gegevens worden bijgehouden en over het inzagerecht op de bijgehouden gegevens. Het inzagerecht houdt in dat aan toegangsverzoeken tot de bijgehouden persoonsgegevens, in de meeste gevallen binnen de 30 dagen gevolg moet aan worden gegeven. Elke organisatie en dus ook de preventiedienst moet een register bijhouden van de gegevens die het verwerkt: het verwerkingsregister. Er dient een verantwoordelijke te zijn voor de gegevensverwerking in de organisatie: de functionaris voor gegevensbescherming. 

Impact van GDPR op preventieadviseur

Het komt erop aan de toestemming van elke betrokken aannemer of contractor te krijgen voor de toegang tot de persoonsgegevens en de verwerking ervan. In principe heeft elke werknemer met een VCA-attest het recht om het overdragen van zijn persoonsgegevens op een VCA-attest te verbieden.

Meer info op senTRAL: De link tussen preventie en de Algemene Verordening Gegevensbescherming
 

Gepubliceerd op 20-03-2018

Jan Dillen
Auditor @ Vincotte / VCA-coördinator
  527