HR in tien stappen privacy proof

Delen

Het onrechtmatig verwerken van persoonsgegevens of lekken van medewerkersdata en/of gevoelige klantinformatie kan straks – met de invoering van de nieuwe privacywet – bedrijven niet alleen torenhoge boetes opleveren, maar ook leiden tot onherstelbare reputatieschade. De tijd dringt voor HR-professionals om privacy proof te zijn.

Het primaire doel van deze privacywetgeving is om gegevens van individuen adequaat te verkrijgen, op te slaan, te gebruiken, te beheren en te bewaren. Deze Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018 in de hele EU. Internationaal is deze wet bekend onder de term General Data Protection Regulation (GDPR).

Denk bij AVG/ GDPR aan klantgegevens, zoals zakelijke e-mailadressen, kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens en naw-gegevens van werknemers en contactgegevens van ICE (in case of emergency)-contacten. Deze verandering is van grote invloed op de HR-afdeling. Want vooral zij zijn belast met het beheer van grote hoeveelheden persoonlijke en/of gevoelige informatie.

Natalie Jokhoe, legal counsel bij Hays Nederland, licht toe welke stappen de HR-afdeling moet zetten om goed voorbereid te zijn op deze nieuwe regelgeving:

  1. Verantwoordelijke aanwijzen:

    Stel vast wie binnen het HR-team verantwoordelijk is voor de gegevensbescherming en naleving van de nieuwe wet. Afhankelijk van de aard van de kernactiviteiten van het bedrijf zullen sommige werkgevers een functionaris voor gegevensbescherming (in het Engels Data Protection Officer (DPO)) moeten aanwijzen.

  2. Overzicht:

    Breng in kaart welke data, voor welk doel en hoe je gegevens van werknemers verwerkt. Denk hierbij aan eventuele camerabeelden, internet en e-mailverkeer, tracking van bedrijfsauto’s.

  3. Juridische basis:

    Zorg ervoor dat persoonsgegevens rechtmatig worden verwerkt en dat dus een of meerdere van de grondslagen genoemd in de AVG van toepassing zijn. Enkel toestemming als grondslag is niet heel gebruikelijk in de relatie werkgever-werknemer, omdat er een gezagsrelatie tussen partijen is en dus in twijfel getrokken kan worden of er daadwerkelijk vrijelijk toestemming is gegeven door werknemer, Er kan ook gekozen worden voor een andere grondslag, bijvoorbeeld de uitvoering van de arbeidsovereenkomst of het voldoen aan een wettelijke plicht.

  4. Privacy beleid:

    Herschrijf het intern beleid om persoonsgegevens te beschermen en toegang te hebben tot deze informatie. Informeer bij de indiensttreding de werknemer uitgebreid en in begrijpelijke taal over de verwerking van zijn/haar gegevens en de daarbij behorende rechten van de werknemers. Zo krijgt een werknemer, naast het al reeds bestaande recht tot inzage in het zijn of haar personeelsdossier, het recht tot ontvangst van een kopie van het dossier.

  5. Veiligheid:

    Zorg voor de juiste technologische codering op alle bedrijfsapparatuur, ook de hardware van werknemers. Denk bijvoorbeeld aan het afsluiten van USB-poorten en encryptie van de gegevens en de toegang tot gegevens enkel toestaan op een need-to-know basis.

  6. Opleiding:

    Alle managers moeten een (interne) training krijgen, zodat ze kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan deze nieuwe wet te voldoen. Daarnaast moeten ze zelf weten hoe ze tijdens hun dienstverband moeten omgaan met alle persoonlijke gegevens waartoe ze toegang hebben.

  7. Datalek:

    Stel een procedure op voor het verwerken en rapporteren van datalekken binnen de vereiste tijdslimieten en leg daarin ook vast wie wanneer moet worden geïnformeerd. Maak bijvoorbeeld een specifiek e-mailadres aan voor data gerelateerde vragen en meldingen en spreek een standaard tekst met elkaar af voor in de onderwerpregel in geval van een (mogelijk) datalek.

  8. Retentie:

    Stel een beleid op voor het bewaren, bijwerken en vernietigen van gegevens. Denk hierbij aan hoe lang het nodig is om de data te bewaren gezien de doeleinden waarvoor deze verzameld zijn, maar tevens aan andere wettelijke verplichtingen waaraan je als werkgever dient te voldoen.

  9. Toekomstige planning:

    Zorg bij de aanschaf van nieuwe HR-software dat de structuur van de HR-database werkgevers toegang geeft tot de persoonsgegevens – in lijn met de individuele rechten. Vergeet ook niet om een bewerkersovereenkomst te sluiten met derde partijen die ten behoeve van de organisatie persoonsgegevens verwerkt, zoals een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud.

  10. Geautomatiseerde besluitvorming:

    Als het verlenen van toestemming volledig is geautomatiseerd, implementeer dan een procedure voor het behandelen van bezwaren.

  11. Overdracht van gegevens buiten de EU en EER:

    Als je persoonlijke gegevens buiten de Europese Unie overdraagt, bijvoorbeeld in het geval dat gegevens worden opgeslagen bij een cloudserviceprovider die zich niet in de EER bevindt of wanneer een database tevens toegankelijk is door een moeder- of zustermaatschappij die zich buiten de EER bevindt, moet je aan specifiek regels voldoen om tot een passend beschermingsniveau te komen voor die gegevens.

 


Delen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *