HaysSEOFriendlyURL

De nieuwe privacywet (AVG)
HR in 11 stappen privacy proof

Het onrechtmatig verwerken van persoonsgegevens of het lekken van medewerkersdata of gevoelige klantinformatie kan straks - met de invoering van de nieuwe privacywet - bedrijven niet alleen torenhoge boetes opleveren, maar ook leiden tot onherstelbare reputatieschade. De tijd dringt voor HR-professionals om privacy proof te zijn.

Het primaire doel van deze privacywetgeving is om gegevens van individuen adequaat te verkrijgen, op te slaan, te gebruiken, beheren en bewaren. Deze Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018 in de hele EU. Internationaal is deze wet bekend onder de term General Data Protection Regulation (GDPR).

Denk aan klantgegevens, zoals zakelijke e-mailadressen, kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens, naw-gegevens van werknemers en contactgegevens van ICE (in case of emergency)-contacten.

De 11 stappen in aanloop naar deze nieuwe Europese wetgeving:


Deze verandering is van grote invloed op de HR-afdeling, die belast is met het beheer van grote hoeveelheden persoonlijke en/of gevoelige informatie.

Natalie Jokhoe, legal counsel bij Hays Nederland, licht toe welke stappen de HR-afdeling moet zetten om goed voorbereid te zijn op deze nieuwe regelgeving:

Een verantwoordelijke aanwijzen

Stel vast wie binnen het HR-team verantwoordelijk is voor de gegevensbescherming en naleving van de nieuwe wet. Afhankelijk van de aard van de kernactiviteiten van het bedrijf zullen sommige werkgevers een functionaris voor gegevensbescherming (in het Engels Data Protection Officer (DPO)) moeten aanwijzen.

Overzicht

Breng in kaart welke data, voor welk doel en hoe je gegevens van werknemers verwerkt. Denk hierbij aan eventuele camerabeelden, internet- en e-mailverkeer of tracking van bedrijfsauto’s.

Juridische basis

Zorg ervoor dat persoonsgegevens rechtmatig worden verwerkt en dat één of meerdere van de grondslagen genoemd in de AVG van toepassing zijn. Enkel toestemming als grondslag is niet heel gebruikelijk in de relatie werkgever-werknemer, omdat er een gezagsrelatie tussen partijen is en dus in twijfel getrokken kan worden of er daadwerkelijk vrijelijk toestemming is gegeven door werknemer. Er kan ook gekozen worden voor een andere grondslag, bijvoorbeeld de uitvoering van de arbeidsovereenkomst of het voldoen aan een wettelijke plicht.

Privacybeleid

Herschrijf het intern beleid om persoonsgegevens te beschermen en toegang te hebben tot deze informatie. Informeer bij de indiensttreding de werknemer uitgebreid en in begrijpelijke taal over de verwerking van zijn/haar gegevens en de daarbij behorende rechten van de werknemers. Zo krijgt een werknemer, naast het alreeds bestaande recht tot inzage in zijn of haar personeelsdossier, het recht tot ontvangst van een kopie van het dossier. 

Veiligheid

Zorg voor de juiste technologische codering op alle bedrijfsapparatuur, ook de hardware van werknemers. Denk bijvoorbeeld aan het afsluiten van USB-poorten, encryptie van de gegevens en de toegang tot gegevens enkel toestaan op een need-to-know basis.

Opleiding

Alle managers moeten een (interne) training krijgen, zodat ze kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan deze nieuwe wet te voldoen. Daarnaast moeten ze weten hoe ze tijdens hun dienstverband moeten omgaan met alle persoonlijke gegevens waartoe ze toegang hebben.

Datalek

Stel een procedure op voor het verwerken en rapporteren van datalekken binnen de vereiste tijdslimieten en leg daarin ook vast wie wanneer moet worden geïnformeerd. Maak bijvoorbeeld een specifiek e-mailadres aan voor datagerelateerde vragen en meldingen en spreek een standaard tekst met elkaar af voor in de onderwerpregel in geval van een (mogelijk) datalek.  

Retentie

Stel een beleid op voor het bewaren, bijwerken en vernietigen van gegevens. Denk hierbij aan hoe lang het nodig is om de data te bewaren gezien de doeleinden waarvoor deze verzameld zijn, maar tevens aan andere wettelijke verplichtingen waaraan je als werkgever dient te voldoen.

Toekomstige planning

Zorg bij de aanschaf van nieuwe HR-software dat de structuur van de HR-database werkgevers toegang geeft tot de persoonsgegevens die in lijn zijn met de individuele rechten. Vergeet ook niet om een bewerkersovereenkomst te sluiten met derde partijen die ten behoeve van de organisatie persoonsgegevens verwerkt, zoals een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud.  

Geautomatiseerde besluitvorming

Als het verlenen van toestemming volledig is geautomatiseerd, implementeer dan een procedure voor het behandelen van bezwaren.

Overdracht van gegevens buiten de EU en EER

Als je persoonlijke gegevens buiten de Europese Unie overdraagt, bijvoorbeeld in het geval dat gegevens worden opgeslagen bij een cloudserviceprovider die zich niet in de EER bevindt of wanneer een database tevens toegankelijk is door een moeder- of zustermaatschappij die zich buiten de EER bevindt, moet je aan specifiek regels voldoen om tot een passend beschermingsniveau te komen voor die gegevens.

block meer over hays