Coronacrisis FAQ

Coronacrisis FAQ

Nu het Coronavirus niet meer weg te denken is en ook België volledig in de ban heeft, zorgt de Coronacrisis voor heel wat bedrijfsproblemen. Sirius Legal ontvangt dag in dag uit vragen van ongeruste ondernemers. Hieronder vind je een overzicht van de meest gestelde juridische vragen, mooi gestructureerd in relevante FAQ categorieën zodat je snel je weg vindt. De antwoorden werden opgesteld door het team van Sirius Legal. Mocht je nog andere vragen hebben of dringend hulp nodig hebben? Onderaan deze pagina vind je de contactgegevens van onze advocaten die je graag verder helpen.

Neem ook eens een kijkje op de Sirius Legal blog. Daar zullen we op regelmatige basis ook artikels voorzien rond de impact van de Coronacrisis en gaan we dieper in op een aantal hete hangijzers zoals overmacht, de impact op de reissector, e-commerce etc.

GDPR en privacy

GDPR vraagt dat je zorgt voor een “gepast niveau van veiligheid” van je data door het nemen van “gepaste technische en organisatorische maatregelen”.  Je moet met andere woorden op elk ogenblik zeker zijn dat je bedrijfsdata en met name persoonsgegevens veilig behandeld worden. Dat is niet anders in Coronatijden.

Typische maatregelen rond thuiswerk die in Coronatijden écht dringende aandacht verdienen om de veiligheid van je bedrijfsgegevens te verzekeren zijn een goede thuiswerkpolicy, een goede bring-your-own-devide policy, duidelijke regels rond het gebruik van thuiswifi en publieke wifi, een goede mailpolicy.

Enkele dingen die in dit soort policies zeker aangekaart moeten worden zijn:

  • het meenemen van papieren dossiers naar huis
  • het delen van persoonlijke laptops binnen het gezin (met alle daaraan verbonden veiligheidsrisico’s)
  • antivirus en firewall op thuissystemen
  • regels rond het verzenden van vertrouwelijke documenten per mail, het lezen van mails op smartphone en andere slecht beveiligde toestellen
  • regels rond het lokaal opslaan van vertrouwelijke data
  • duidelijke regels rond paswoorden (voldoende veilige paswoorden, geregeld veranderen, nooit twee keer dezelfde, NOOIT delen met anderen, zelfs niet met collega’s of gezinsleden, …)

Daarnaast is het tijd om werk te maken van technische veiligheid.  Zorg voor een goede VPN-verbinding. Als je in de cloud werkt, zorg dan voor goed paswoordbeheer, zorg voor goede logging van sessies en goede downloadmonitoring en downloadbeheer zodat je verdachte bewegingen onmiddellijk merkt, zorg ervoor dat personeelsleden, zeker vanop afstand, enkel die data kunnen aanroepen die ze absoluut nodig hebben, etc…

Denk tenslotte ook aan de gevolgen als het fout gaat.  Dit zijn gouden tijden voor hackers. Zorg dus voor back-ups en noodprocedures, zorg voor een goede databreach procedure, spreek duidelijke scenario’s en bevoegdheden af voor crisismomenten, zorg voor een cybersecurityverzekering, …

Category: GDPR en privacy

De antispamwetgeving zegt dat je mensen geen ongevraagde reclame mag sturen langs elektronische weg (e-mail, sms, whatsapp, …) tenzij je daarvoor hun voorafgaande toestemming hebt gekregen (“opt-in”) of tenzij het bestaande klanten zijn.  In dat laatste geval mag je hen reclame sturen voor “gelijkaardige goederen of diensten” als deze die ze eerder hebben aangekocht.

Enkele ondernemers lieten ons weten dat ze graag een mail naar hun klanten en prospects willen sturen met wat meer informatie over hoe zij de crisis aanpakken.  De vraag daarbij is dus of dat zomaar mag.

Het antwoord hangt eigenlijk af van de vraag of zo’n mail als  “reclame” beschouwd moet worden. Reclamemails moeten immers beantwoorden aan de bovenstaande regels, terwijl je puur informatieve of administratieve mails sowieso mag sturen.

De definitie van “reclame” is in deze context erg breed.  Elke boodschap die je producten, je bedrijf of je merk rechtstreeks of onrechtstreeks ondersteunt, is reclame.  De melding dat je korting aanbiedt op je diensten “om je klanten tijdens deze crisis te ondersteunen” bijvoorbeeld is zeker reclame.  Dat soort mails kan je enkel sturen naar ontvangers die voorafgaand een opt-in gegeven hebben of naar bestaande klanten als het om “gelijkaardige goederen of diensten” gaat. 

Puur informatieve mails kunnen wél altijd naar iedereen.  Bijvoorbeeld de melding dat je bedrijf sluit of dat je openingsuren aangepast worden of nog dat je maar een beperkt aantal bezoekers tegelijk zal binnenlaten, is wellicht puur informatief.  Die mag je dus naar “iedereen” sturen. Let er wel op dat dat soort mails dan geen commerciële boodschap mag meedragen. Melden dat je openingsuren aangepast zijn, maar tegelijk reclame maken voor bepaalde producten of kortingen aankondigen kan natuurlijk niet…  

Category: GDPR en privacy

Voor je gegevens over je personeel deelt met eender wie, moet je je eerst afvragen of daarvoor wel een gepaste rechtsgrond bestaat (is er een wet die je verplicht om gegevens te delen, heb je toestemming van je personeel om gegevens te delen, heb je een gerechtvaardigd belang om bepaalde gegevens te delen, …) én of het delen van gegevens met een derde nodig en proportioneel is.  

We denken hierbij bijvoorbeeld aan de pas aangekondigde denkpiste om locatiegegevens te gaan gebruiken in de strijd tegen Corona.  Voor je locatiegegevens uit de smartphone of de gps van je personeel deelt met de overheid, moet je goed overwegen of dat eigenlijk wel moet en mag. Deel dus nooit zomaar gegevens, zelfs niet met de overheid enkel en alleen omdat die erom vraagt.  Bij twijfel overleg je best met je DPO en/of met je advocaat.

Anonieme en statistische gegevens kan je overigens wel zonder zorg delen.

Category: GDPR en privacy

Neen.  Je personeelsleden hebben recht op privacy.  De Algemene Verordening Gegevensbescherming (AVG of GDPR) laat je niet toe om de namen van Coronapatiënten publiek bekend te maken, zelfs niet als het uit bezorgdheid om je andere werknemers is. 

Het bekendmaken van de naam van besmette werknemers is immers een vergaande inbreuk op hun privacy en bovendien “verwerk” je als werkgever op die manier medische gegevens van je personeel.  Die medische gegevens mag je enkel verwerken als je daarvoor voorafgaand de expliciete toestemming gekregen hebt en zelfs als je die toestemming gekregen hebt moet je er zorg voor dragen dat je die gegevens “proportioneel” gebruikt, wat eenvoudig gezegd betekent dat je steeds moet proberen om de impact op de privacy van het betrokken personeelslid zo klein mogelijk te maken.

De GDPR voorziet weliswaar een uitzondering waarbij (medische) gegevens verwerkt mogen worden zonder voorafgaande toestemming als dat noodzakelijk is voor de bescherming van de “vitale belangen” van de betrokkene of van anderen, maar de Gegevensbeschermingsautoriteit, die de bevoegde overheid is die toeziet op het naleven van de GDPR heeft zeer duidelijk gezegd dat dat zelfs in deze tijden van Coronacrisis niet het geval is en dat de uitzondering enkel kan gebruikt worden als er rechtstreeks en dadelijk levensgevaar bestaat, wat ondanks het feit dat mensen kunnen overlijden aan Corona niet het geval is. 

Je mag wél melden dat er “een personeelslid” besmet is.  Je mag eventueel zelfs melden om welke afdeling het gaat zolang je ervoor zorgt dat de andere werknemers de betrokken persoon niet kunnen identificeren.  Zodra dat wél mogelijk is, heb je zoals hoger vermeld de voorafgaande toestemming van de betrokkene nodig.

Category: GDPR en privacy
  • Check de richtlijnen van de overheid.  In dit geval is dat de GBA (Gegevensbeschermingsauthoriteit).
  • Overleg met je Data Protection Officer, je legal counsel of advocaat alvorens je enige actie onderneemt
  • Check je dataregister en privacy policy om te bekijken welke gegevens je mag verzamelen en verwerken zonder verdere nood aan toestemmingen
  • Zorg voor duidelijke communicatie naar je personeel toe
  • Zorg voor aanpassingen aan je dataregister én je privacy policy als dat nodig is en zorg voor duidelijke (vrije) toestemming van je personeelsleden als je extra gegevens wil gaan verzamelen.
  • Respecteer de weigering van bepaalde personeelsleden en respecteer hun recht op privacy.
  • Ga er steeds van uit dat minder meer is als het gaat om persoonsgegevens.  Bij twijfel of iets kan of niet, doe je het beter gewoon niet… 
  • Ga er van uit dat al je maatregelen tijdelijk zijn en dat alle gegevens die je om een of andere reden extra wil verzamelen ook slechts tijdelijk bewaard kunnen worden.
Category: GDPR en privacy

De Coronacrisis heeft een grote impact op ons allemaal.  Heel wat mensen zijn -terecht- ongerust over hun gezondheid en bij heel wat bedrijven bestaat de vraag op welke manier zij hun personeelsleden het best kunnen beschermen tegen besmetting.  Daarvoor kunnen praktische maatregelen genomen worden, zoals thuiswerk, afstand houden, handgels ter beschikking stellen, etc…

In een aantal gevallen echter zien we dat bedrijven ook interne crisiscommunicatie willen voeren en dat zij daarbij bekijken in welke mate zij bepaalde informatie over hun personeelsleden kunnen verzamelen (bvb wie recent met skivakantie ging in Italië of Oostenrijk, wie gezinsleden heeft die ziek zijn) of zelfs in welke mate zij zelf controles kunnen invoeren (bvb koortsmetingen met warmtescanners aan de ingang van het gebouw.

Sommige bedrijven lijken daarbij uit te gaan van het principe “nood breekt wet” om tot actie over te gaan.  Het is daarbij echter belangrijk om in het achterhoofd te houden dat de privacywetgeving (met name de Algemene Verordening Gegevensbescherming, AVG of GDPR) van kracht is en blijft ook tijdens deze crisis. De inhoud hiervan heeft voorrang op eventuele crisismaatregelen van de Belgische overheid.  Het gaat immers om een Europese Verordening die voorgaat op nationale wetgeving.

Het is dus belangrijk om bij élke beslissing ten aanzien van personeel en klanten enkele basisprincipes goed in het achterhoofd te houden:

  • Medische gegevens mogen alleen verwerkt worden als de betrokkene voorafgaand zijn (vrije) toestemming daarvoor gegeven heeft.  De vraag of iemand Corona heeft, of iemand koorts heeft, of iemand gekende risicoaandoeningen heeft, etc… zijn stuk voor stuk vragen naar medische gegevens en die kunnen niet gesteld worden aan personeel of klanten zonder voorafgaande toestemming.  Ook het zelf inzamelen ervan, bijvoorbeeld met warmtescanners, kan niet zonder de (opnieuw vrije) toestemming van de betrokkene. “Vrij” betekent hier dat de betrokkene neen moet kunnen zeggen zonder daarvoor op welke manier dan ook nadeel te ondervinden…
    De GDPR voorziet weliswaar een uitzondering waarbij medische gegevens verwerkt mogen worden zonder voorafgaande toestemming als dat noodzakelijk is voor de bescherming van de “vitale belangen” van de betrokkene of van anderen. De Gegevensbeschermingsautoriteit, de bevoegde overheid die toeziet op het naleven van de GDPR, heeft zeer duidelijk gezegd dat dat zelfs in deze tijden van Coronacrisis niet het geval is. De uitzondering kan enkel gebruikt worden als er rechtstreeks en dadelijk levensgevaar bestaat, wat ondanks het feit dat mensen kunnen overlijden aan Corona niet het geval is.
  • Niet-medische gegevens kunnen ook enkel verzameld worden als daarvoor een geldige rechtsgrond bestaat.  Dat kan toestemming zijn of eventueel in een aantal gevallen wellicht “gerechtvaardigd belang”, maar in elk geval moet die rechtsgrond blijken uit de dataregisters van het bedrijf en uit de privacy policy van het bedrijf.

  • In alle gevallen (medische gegevens of niet, toestemming of niet) moet élke verwerking “proportioneel” zijn. Je mag als bedrijf enkel persoonsgegevens verwerken die noodzakelijk zijn, je moet voor elke verwerking de impact op de betrokkene afwegen, je mag gegevens niet langer bijhouden dan nodig en ze enkel delen met derden als dat strikt noodzakelijk is. Zo zal je bijvoorbeeld niet zomaar kunnen eisen dat je personeelsleden vertellen waar ze met skivakantie geweest zijn.  Die informatie is immers voor jou als werkgever niet noodzakelijk en het zal erg moeilijk zijn om aan te tonen dat jouw belang als bedrijf groter is dan het recht op privacy van de betrokkene. Het stigma dat al snel rust op iemand die net uit de skigebieden terugkomt is immers erg groot…
Category: GDPR en privacy