Op 25 mei 2018 loopt de aanloopperiode van de nieuwe Europese privacywetgeving (GDPR) af en treedt de handhaving in werking. De nieuwe regulering, die bedoeld is ter bescherming van persoonlijke informatie van EU-burgers, brengt uitdagingen met zich mee voor organisaties over de hele wereld. Met nog een klein jaar te gaan voor de deadline zijn veel werkgevers inclusief hun Human Resource-afdelingen niet volledig voorbereid op de veranderingen en hoe zij daar mee om moeten gaan.
Gezien het grote aantal werknemer gerelateerde bestanden, documenten en persoonlijke informatie waar HR-afdelingen mee werken, kan het effect van GDPR niet onderschat worden. Het is van cruciaal belang dat HR-teams zichzelf snel bijspijkeren over alle verplichtingen van de GDPR zodat hoge boetes voorkomen worden.
Hieronder staan acht vragen over de GDPR die HR-teams zich moeten stellen.
Inhoud
Wat is de GDPR?
De GDPR vervangt in wezen de gegevensbeschermingsrichtlijn van de EU, die in 1995 is aangenomen. In tegenstelling tot zijn voorganger is de GDPR een verordening, wat betekent dat het direct toepasselijk en afdwingbaar is in alle lidstaten op 25 mei 2018. In Nederland heet de wet de naam Algemene Verordening Gegevensbescherming, afgekort AVG.
De nieuwe verordening is bedoeld om EU-burgers een aantal voordelen te bieden. Daaronder valt een gemakkelijkere toegang tot hun persoonlijke informatie die een bedrijf bezit en deze informatie verzamelt. Plus details over de manier waarop het bedrijf hun gegevens gebruikt en met welk doel. Het geeft burgers ook recht op gegevensportabiliteit en het recht om hun gegevens te laten verwijderen. Bovendien geeft de GDPR alle EU-burgers het recht om te weten wanneer hun gegevens zijn gecompromitteerd (gehackt of een lek) door middel van een bepaling die bedrijven verplicht om de autoriteiten binnen 72 uur te waarschuwen voor inbreuken op persoonsgegevens.
Een belangrijk effect dat HR waarschijnlijk zeer direct zal voelen, is de nieuwe toestemming en toegangsrechten die in de GDPR zijn opgenomen. Organisaties moeten niet alleen kunnen aantonen dat zij toestemming hebben verkregen om gegevens van een individu op te slaan en te gebruiken, maar ook elektronische kopieën van privé-dossiers op verzoek kunnen verstrekken aan degenen die om deze details vragen of vragen waar hun gegevens worden opgeslagen en voor welk doel.
Om welke data gaat het bij GDPR?
Volgens de richtlijn vallen alle gegevens die kunnen worden gebruikt om een individu te identificeren, met inbegrip van maar niet beperkt tot zaken als genetische, mentale, culturele, economische of sociale informatie. Dit valt nu allemaal onder de paraplu van persoonlijk identificeerbare informatie (PII). Zelfs cookies en IP-adressen maken deel uit van de uitgebreide reikwijdte van wat beschermd moet worden.
Op wie heeft GDPR betrekking?
De GDPR-wetgeving is complex en verstrekkend. In tegenstelling tot de oude gegevensbeschermingsrichtlijn, is de GDPR niet alleen van toepassing op alle ondernemingen die in de huidige 28 EU-lidstaten actief zijn, maar ook op alle ondernemingen die persoonsgegevens van EU-burgers verwerken of informatie over EU-burgers verwerken. Zelfs als een bedrijf slechts één werknemer of sollicitant in de EU heeft en het bedrijf alleen persoonsgegevens van deze burger verwerkt (verzamelt, gebruikt, gebruikt, doorgeeft of elektronisch opslaat) zullen GDPR-richtlijnen van toepassing zijn.
Waarom is GDPR belangrijk voor Human Resources?
Niet-naleving van de GDPR kan tot zeer ernstige financiële gevolgen leiden. Regelgevers (bijvoorbeeld de Autoriteit Persoonsgegevens) zijn bevoegd om boetes op te leggen tot 20 miljoen euro of vier procent van de totale omzet van een onderneming, afhankelijk van wat het grootst is. Dat alleen al zou voldoende moeten zijn om een actieplan op te stellen.
Maar de realiteit is dat GDPR-naleving ook betekent dat HR-afdelingen de grote hoeveelheid en verscheidenheid aan informatie van medewerkers die ze beheren, die vaak zeer vertrouwelijk is, betrouwbaar kunnen volgen en samenvoegen. Dit zou voor veel HR-afdelingen een enorme opgave kunnen zijn, vooral wanneer persoonlijke gegevens over verschillende systemen, netwerkmappen, e-mails en apparaten verspreid zijn. HR-teams moeten bereid zijn om op verzoek elektronische kopieën van privédossiers te verstrekken aan degenen die om nadere informatie vragen over hun gegevens. Dit maakt het vinden van de juiste instrumenten om de GDPR-richtlijnen uit te voeren tot een strategische noodzaak.
Zijn er ook voordelen van de GDPR?
De GDPR biedt ook voordelen voor de bedrijven die eraan voldoen. Hoofdzakelijk belooft de wet de regels te vereenvoudigen waar bedrijven nu moeten voldoen. In plaats van verschillende regels voor gegevensbescherming per land, zal de GDPR één enkele wet zijn die van toepassing is op bedrijven in de hele EU. De Europese Commissie schat dat het bedrijven ongeveer 2,3 miljard euro per jaar zal besparen door “de huidige versnippering en dure administratieve lasten” weg te werken.
Hoe kunnen werkgevers zich voorbereiden?
Terwijl de GDPR in ondubbelzinnige bewoordingen aangeeft welk soort bescherming bedrijven moeten bieden voor privégegevens, vermeldt de wet niet welke technologieën of specifieke processen bedrijven moeten gebruiken om die bescherming te bieden. De samenvatting van de artikelen op de website van de GDPR bevat slechts algemene richtlijnen, zodat individuele bedrijven hun eigen plannen voor de naleving van de GDPR kunnen opstellen. Met andere woorden, hoe een organisatie omgaat met het naleven van de wet en welke techniek zij hiervoor toepast is volledig vrij.
Is er een praktisch startpunt?
Deskundigen zijn het erover eens dat een doeltreffend gebruik van technologie van cruciaal belang is voor organisaties om goed om te gaan met alle gevoelige gegevens van EU-burgers die zij in hun bezit hebben.. De enige categorie van oplossingen die veel organisaties al gebruiken om vooruit te lopen op het GDPR-mandaat is een enterprise information management (EIM) systeem, dat niet alleen persoonsgegevens automatisch kan identificeren, classificeren en beheren, maar ook strenge controles en beveiligingsmaatregelen kan toepassen om ervoor te zorgen dat informatie niet in verkeerde handen valt. HR-medewerkers kunnen bijvoorbeeld na een bepaalde tijd bepaalde informatie, zoals personeelsgegevens of sollicitatieformulieren, automatisch verwijderen of versleutelen om het risico op een mogelijke schending te verminderen. M-Files voor Human Resource biedt organisaties precies de juiste tool om conform GDPR met persoonlijke informatie om te gaan.
Is een functionaris voor gegevensbescherming verplicht?
Volgens artikel 37 van de GDPR moeten organisaties een functionaris voor gegevensbescherming (DPO) aanwijzen indien men aan een van de volgende voorwaarden voldoet:
- De verwerking van gegevens wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun gerechtelijke hoedanigheid optreden.
- De kernactiviteiten van de organisatie vereisen een regelmatige en systematische grootschalige monitoring van de data van de betrokkenen.
- De kernactiviteiten van de organisatie bestaan in het op grote schaal verwerken van speciale categorieën gegevens (zoals gegevens waaruit de raciale of etnische afkomst, godsdienstige overtuigingen, genetische gegevens, gezondheidsgegevens enz. blijken). Bijvoorbeeld persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
De wetgeving van de lokale lidstaten kan echter ook in andere situaties de aanwijzing van een functionaris voor gegevensbescherming voorschrijven. Organisaties moeten daarom in sommige gevallen overwegen om op vrijwillige basis een functionaris voor gegevensbescherming aan te wijzen. Het invullen van de rol van een DPO (Data Protection Officer) is niet alleen een “checkbox” oefening. Deze persoon moet deskundig zijn op het gebied van wetgeving en praktijken inzake gegevensbescherming en moet ervoor zorgen dat het bedrijf zich houdt aan de GDPR. Een bestaande medewerker kan als DPO fungeren mits hij/zij beschikt over de vereiste expertise en de rol niet in conflict komt met enige andere rol die hij/zij in de organisatie vervult.
Conclusie
Of het nu wordt gezien als een welkome remedie voor het verwarde web van nationale wetten voor persoonsgegevens of gewoon een andere lastige regelgeving die moet worden gevolgd, de GDPR zal binnenkort de wet van ieder land in de EU zijn en, zoals blijkt, ver daarbuiten. De nieuwe verordening wordt binnenkort van kracht, en voor iedereen binnen Human Resource die grote hoeveelheden persoonsgegevens verzamelen en verwerken, zal de impact aanzienlijk zijn. HR-managers zullen hun huidige processen en procedures zeer zorgvuldig moeten beoordelen om ervoor te zorgen dat ze zich aan de regels houden of komen oog in oog met flinke boetes. Wie nu proactief te werk gaat, plannen maakt en de juiste technieken kiest zal in mei onvermijdelijk beter voorbereid zijn. De kern van de GDPR draait immers om het beheren van content, in dit geval persoonlijke informatie over individuen.