Naleving van de AVG – heeft niet alleen te maken met spam-mails, maar ook met Vlootbeheer!

De laatste tijd is er veel bericht over de invoering van de nieuwe Algemene Verordening Gegevensbescherming (AVG), en vaak gaat het dan over ongevraagde e-mails en de kwestie of ondernemingen en spammers ze al dan niet mogen sturen…


Maar de voorschriften gaan veel verder, tot gegevens die bedrijven mogen bijhouden over werknemers, wat gevolgen zal hebben voor de manier waarop u uw vloot beheert.

Het is tijd om uzelf de vraag te stellen of u klaar bent voor de AVG.

Een Definitie van de AVG

Vrijdag 25 mei 2018 is de dag waarop de Algemene Verordening Gegevensbescherming (AVG) van kracht gaat.

Simpel gezegd is het een opgevoerde versie van de bestaande Data Protection Act van 1998, als reactie op de steeds complexere manieren waarop persoonsgegevens bewaard en gebruikt worden.

De AVG doet echter veel meer dan de huidige wetgeving actualiseren. Ze introduceert ook nieuwe beginselen van transparantie en verantwoordingsplicht en eist dat een bedrijf aantoont dat personen hun toestemming gegeven hebben om hun gegevens te gebruiken en te bewaren. Mensen kunnen immers eisen dat hun gegevens gewist of aangepast worden.

Dit betekent dat de dataverzameling proactiever beheerd moet worden, en dat u, zodra u de gegevens in uw bezit hebt, moet aantonen dat ze beschermd worden en gebruikt worden op een manier waarvoor uw werknemers – of de persoon in kwestie – hun akkoord hebben gegeven.

Uiteindelijk heeft de nieuwe verordening te maken met toestemming en het beheer van dat proces.

Gegevens moeten ook beveiligd en goed beschermd worden tegen ongeoorloofde en onwettige toegang, ongeoorloofd of onwettig gebruik en verlies.

Als uw bedrijf de verordening niet naleeft of als u geen toereikende beveiliging of toestemmingen hebt, kunnen u een aantal sancties worden opgelegd, waaronder boetes tot 20 miljoen euro en 4 % van uw wereldwijde omzet.

De kernboodschap is hier dat de AVG niet licht opgevat mag worden.

Wat zijn dan de gevolgen van de AVG voor uw Vlootbeheer?

De kern van de AVG is het concept van identificeerbare persoonsgegevens: als een persoon geïdentificeerd kan worden aan de hand van de gegevens die u bewaart, hebt u een duidelijke, traceerbare toestemming nodig om deze gegevens te bewaren en te gebruiken.

Vlootbeheer valt absoluut onder de jurisdictie van de AVG, omdat uw werknemers op vele manieren geïdentificeerd kunnen worden, bijvoorbeeld aan de hand van hun nummerplaat, chassisnummer, nummer van hun rijbewijs, nationaal verzekeringsnummer, medisch verleden, rijgeschiedenis (overtredingen, verzekeringsclaims of opleiding) of zelfs traceergegevens.

Alle informatie die u bijhoudt over uw werknemers en die te maken heeft met beroepsmatig rijden, moet dus conform zijn en op de juiste manier gebruikt worden – maar het is belangrijk te vermelden dat dit niet betekent dat u massa’s belangrijke vlootbeheersgegevens moet gaan wissen. U zult alleen misschien enkele praktijken en procedures moeten aanpassen.

DENK EROM: de AVG zal u niet verhinderen om werknemersgegevens te gebruiken voor uw vlootbeheer, maar u zult misschien procedures moeten wijzigen om te verzekeren dat de persoonlijke informatie beveiligd is.

Soorten AVG-gebonden Persoonsgegevens die bij Vlootactiviteiten gebruikt worden

Leeftijd
Geslacht
Adres
Persoonlijke contactgegevens
Medische gegevens
Gegevens van het rijbewijs (overtredingen, aantekeningen, enz.)
Rijgedrag (overdreven snelheid, bruusk remmen, enz.)
Opleidingscertificaten
Rijhistorie (via telematica)
Loopbaan en ervaring

Welke Verantwoordelijkheden hebben Vloot Managers?

Vloot managers maken intrinsiek deel uit van het proces. Een van de kernbeginselen van de AVG is immers dat iedereen die bij de gegevensketen betrokken is, verantwoordelijk is voor de privacy, en dus niet alleen een functionaris voor gegevensbescherming of een personeelsdirecteur (hoewel deze functies essentieel zijn).

In principe moeten fleetmanagers ervoor zorgen dat elke werknemer toestemming gegeven heeft om zijn persoonsgegevens op te slaan, dat ze goed begrijpen hoe deze gegevens opgeslagen en gebruikt zullen worden, en dat deze instemming gedocumenteerd is.

Het is ook hun verantwoordelijkheid om ervoor te zorgen dat alle opgeslagen persoonsgegevens voldoende beschermd zijn, en dat enkel bevoegd personeel langs een beveiligd kanaal toegang heeft tot deze gegevens. Idealiter betekent dit dat er versleutelde, met een wachtwoord beveiligde software gebruikt wordt.

Fleetmanagers zullen ook betrokken zijn bij het beheer van de toegang van derden tot de gegevens. Vaak zijn fleetmanagers of leasingmaatschappijen partij bij uw bestuurdersinformatie. Zij zullen eveneens de AVG moeten naleven, en moeten aantonen dat de gegevens beveiligd zijn en geen personen identificeren als dat niet nodig is.

DENK EROM: Fleetmanagers zullen ervoor moeten zorgen dat er degelijke en traceerbare procedures zijn voor instemming van de werknemers.

Wat zijn de belangrijkste taken die Vloten moeten uitvoeren?

Ten eerste zult u contracten en beleidsregels moeten actualiseren, zodat werknemers begrijpen waarvoor hun gegevens opgeslagen en gebruikt zullen worden, en vervolgens moet u hun proactieve toestemming verkrijgen.

Er moeten duidelijk omschreven controletrajecten bestaan voor het toestemmingsproces.

Stel vooraf specifieke doeleinden vast voor het bewaren van gegevens – de AVG staat toe dat persoonsgegevens gebruikt worden, maar niet zonder argumentatie. Het is essentieel dat individuele gegevens over snelheidsovertredingen of tankbeurten bijgehouden worden, maar stel uzelf de vraag of het nodig is om elke verplaatsing van uw werknemers te traceren.

Fleetmanagers zullen procedures moeten invoeren voor het anonimiseren en aggregeren van niet-specifieke gegevens voor vlootbeheer, met name als ze gedeeld worden met een derde. Er moet ook een inventaris opgemaakt worden van alle derden die toegang hebben tot uw gegevens, hoe zij deze gegevens zullen bemachtigen en waarvoor ze gebruikt worden… met bewijzen van hoe zij deze gegevens willen beschermen.

Wees voorbereid op de vraag van werknemers om hun gegevens te bekijken, en zorg ervoor dat u hiervoor een systeem hebt.

U wilt niet dat grondig geplande en uitgevoerde AVG-systemen instorten omdat leveranciers slechte procedures hebben. Controleer of zij goed weten wat de AVG inhoudt, en of ze uitgebreide beschermingssystemen hebben, met een solide back-up. Nog één ding: als de gegevens verzonden worden buiten de EU, zorg er dan voor dat het naar een land is dat complementaire procedures heeft.

Zorg ervoor dat de softwareleverancier die u gebruikt (en elke andere leverancier die uw gegevens beheert, trouwens), ISO 27001-gecertificeerd is. Dit bevestigt formeel dat leveranciers begaan zijn met gegevensbescherming.

Conclusie

De AVG eist dat werkgevers nieuwe, welomschreven procedures en manieren introduceren om de gegevens van werknemers te beheren. Voor mensen die al degelijke procedures voor vlootbeheer hanteren, zou het echter eerder een verbetering moeten zijn van reeds gevestigde praktijken dan een complete omwenteling van hun manier van werken.