De tijd dringt voor HR-professionals om privacy-proof te zijn. Want het onrechtmatig verwerken van persoonsgegevens kan, na de invoering van de nieuwe privacywet, torenhoge boetes opleveren. Bovendien kan het (onbedoeld) lekken van klantgegevens tot onherstelbare reputatieschade leiden.
Het primaire doel van de nieuwe privacywetgeving is om gegevens van individuen adequaat te verkrijgen, op te slaan, te gebruiken, beheren en bewaren. Deze Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018 in de hele EU. Internationaal is deze wet bekend onder de term General Data Protection Regulation (GDPR).
Denk hierbij aan het verwerken van klantgegevens, zoals zakelijke e-mailadressen, kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens, maar ook gegevens van werknemers en contactgegevens van ICE (in case of emergency)-contacten.
HR-afdeling moet stappen zetten
De verandering is van grote invloed op de HR-afdeling, die belast is met het beheer van grote hoeveelheden persoonlijke en/of gevoelige informatie. Natalie Jokhoe, legal counsel bij recruitmentbureau Hays Nederland, licht toe welke stappen de HR-afdeling moet zetten om goed voorbereid te zijn op deze nieuwe regelgeving:
-
Verantwoordelijke aanwijzen: Stel vast wie binnen het HR-team verantwoordelijk is voor de gegevensbescherming en naleving van de nieuwe wet. Afhankelijk van de aard van de kernactiviteiten van het bedrijf zullen sommige werkgevers een functionaris voor gegevensbescherming moeten aanwijzen, namelijk een Data Protection Officer (DPO).
-
Overzicht: Breng in kaart welke data, voor welk doel en hoe je gegevens van werknemers verwerkt. Denk hierbij aan eventuele camerabeelden, internet en e-mailverkeer, tracking van bedrijfsauto’s.
-
Juridische basis: Zorg ervoor dat persoonsgegevens rechtmatig worden verwerkt en dat dus een of meerdere van de grondslagen genoemd in de AVG van toepassing zijn. Enkel toestemming als grondslag is niet heel gebruikelijk in de relatie werkgever-werknemer, omdat er een gezagsrelatie tussen partijen is en dus in twijfel getrokken kan worden of er daadwerkelijk vrijelijk toestemming is gegeven door werknemer. Er kan ook gekozen worden voor een andere grondslag, bijvoorbeeld de uitvoering van de arbeidsovereenkomst of het voldoen aan een wettelijke plicht.
-
Privacybeleid: Herschrijf het intern beleid om persoonsgegevens te beschermen en toegang te hebben tot deze informatie. Informeer bij de indiensttreding de werknemer uitgebreid en in begrijpelijke taal over de verwerking van zijn/haar gegevens en de daarbij behorende rechten van de werknemers. Zo krijgt een werknemer, naast het al reeds bestaande recht tot inzage in het zijn of haar personeelsdossier, het recht tot ontvangst van een kopie van het dossier.
-
Veiligheid: Zorg voor de juiste technologische codering op alle bedrijfsapparatuur, ook de hardware van werknemers. Denk bijvoorbeeld aan het afsluiten van USB-poorten en encryptie van de gegevens en de toegang tot gegevens enkel toestaan op een need-to-know basis.
-
Opleiding: Alle managers moeten een (interne) training krijgen, zodat ze kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan deze nieuwe wet te voldoen. Daarnaast moeten ze zelf weten hoe ze tijdens hun dienstverband moeten omgaan met alle persoonlijke gegevens waartoe ze toegang hebben.
-
Datalek: Stel een procedure op voor het verwerken en rapporteren van datalekken binnen de vereiste tijdslimieten en leg daarin ook vast wie wanneer moet worden geïnformeerd. Maak bijvoorbeeld een specifiek e-mailadres aan voor datagerelateerde vragen en meldingen en spreek een standaard tekst met elkaar af voor in de onderwerpregel in geval van een (mogelijk) datalek.
-
Retentie: Stel een beleid op voor het bewaren, bijwerken en vernietigen van gegevens. Denk hierbij aan hoe lang het nodig is om de data te bewaren gezien de doeleinden waarvoor deze verzameld zijn, maar tevens aan andere wettelijke verplichtingen waaraan je als werkgever dient te voldoen.
-
Toekomstige planning: Zorg bij de aanschaf van nieuwe HR-software dat de structuur van de HR-database werkgevers toegang geeft tot de persoonsgegevens - in lijn met de individuele rechten. Vergeet ook niet om een bewerkersovereenkomst te sluiten met derde partijen die ten behoeve van de organisatie persoonsgegevens verwerkt, zoals een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud.
-
Geautomatiseerde besluitvorming: Als het verlenen van toestemming volledig is geautomatiseerd, implementeer dan een procedure voor het behandelen van bezwaren.
-
Overdracht van gegevens buiten de EU en EER: Als je persoonlijke gegevens buiten de Europese Unie overdraagt, bijvoorbeeld in het geval dat gegevens worden opgeslagen bij een cloudserviceprovider die zich niet in de EER bevindt of wanneer een database tevens toegankelijk is door een moeder- of zustermaatschappij die zich buiten de EER bevindt, moet je aan specifiek regels voldoen om tot een passend beschermingsniveau te komen voor die gegevens.