Alles al op orde voor de nieuwe privacywetgeving? Hier volgt een stappenplan om alles op tijd klaar te stomen voor de Algemene Verordening Gegevensbescherming (AVG).
De nieuwe Europese privacywetgeving, de General Data Protection Regulation (GDPR), gaat in op 25 mei 2018. In ons land betekent dit dat de Algemene Verordening Gegevensbescherming dan van kracht wordt. Werk aan de winkel dus voor HR.
Het privacybewustzijn van HR is de laatste tijd gelukkig wel flink toegenomen, zegt Lieke van den Eijnden van De Voort Advocaten Mediators. Maar er is volgens haar nog een hoop te doen. “Privacy speelt in alle HR-processen. Zelfs bij zoiets simpels als het smoelenboek.” Vier vragen over de nieuwe privacywet. En als toegift somt Van den Eijnden een handig lijstje op met vier actiepunten.
“Het bewustzijn is gelukkig flink toegenomen de laatste maanden. Maar het is inderdaad zo dat het al heel lang bekend is dat de nieuwe privacywet eraan komt en dat de voorbereidingen binnen organisaties nu pas op gang komen. Ook HR lijkt pas de laatste maanden actie te ondernemen. Er wordt flink informatie ingewonnen. Dat alle alarmbellen nu gaan rinkelen bij bedrijven is overigens wel logisch: de Autoriteit Persoonsgegevens kan namelijk flinke boetes uit gaan delen. De maximale boete is 20 mln of 4 procent van de wereldwijde omzet. Dat is niet mis. Door de hogere boetes wordt iedereen natuurlijk nu wel getriggerd, maar het voorkomen daarvan, moet geen doel op zich zijn. Je moet het op orde hebben, of er nu hoge boetes op staan of niet.”
“Het is inderdaad een hele klus, want het privacy-aspect loopt werkelijk overal doorheen. Door het hele bedrijf maar ook door alle HR-processen. Neem alleen al iets simpels als het smoelenboek op het intranet, daar sta je niet zo snel bij stil. Maar ook dan gaat het om de verwerking van persoonsgegevens. En wat te denken van recruitment? Als je een sollicitant alleen al googelt of screent op LinkedIn, ben je al bezig met de verwerking van persoonsgegevens.
Zo ook bij het screenen van zieke werknemers op social media. Of dit is toegestaan, dient te blijken uit een belangenafweging die HR in elke individueel geval dient te maken. Weegt het belang van HR bij verkrijgen van deze gegevens zwaarder dan het privacyaspect van de werknemer?”
“Heb je voor de huidige wet, de Wet bescherming persoonsgegevens, alles al op orde, dan ben je al een heel eind op weg. Maar met de Algemene Verordening Gegevensbescherming (AVG) gelden er voor organisaties straks meer verplichtingen. Levert de verwerking van de persoonsgegevens in jouw organisatie bijvoorbeeld waarschijnlijk een hoog privacyrisico op, dan ben je verplicht om een DPIA uit te voeren: een data protection impact assessment. (DPIA). Een andere verplichting kan zijn dat je een functionaris voor de gegevensbescherming aan moet stellen. Dat geldt in ieder geval voor overheidsinstanties. Maar ook voor bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld voor het maken van risico-inschattingen of het monitoren van iemands gezondheid via wearables. Een functionaris voor de gegevensbescherming is ook verplicht voor organisaties die stelselmatig met de verwerking van bijzondere persoonsgegeven bezig zijn. Denk aan een verzekeraar of meer HR-gerelateerd: een arbodienst.”
“Nee, als je niet onder één van de bovengenoemde categorieën valt, is er geen verplichting tot het instellen van een functionaris voor de gegevensbescherming. Wel raad ik aan om binnen het bedrijf één persoon aan te wijzen, die zich in de privacyzaken verdiept en het aanspreekpunt is. Je hoeft er dus niet speciaal iemand voor vrij te maken, maar als het maar duidelijk is waar men intern bijvoorbeeld een datalek moet melden.”
HR moet nu aan de bak dus. Maar waar begin je? Van den Eijnden heeft vier actiepunten voor HR, een stappenplan om alles klaar te stomen voor de AVG. En we zouden het in deze digitale tijd bijna vergeten: maar denk ook aan de offline kant, tipt Van den Eijnden.
Bron: pwnet.nl