Op 25 mei wordt de nieuwe Europese privacywet ingevoerd. Onder de noemer Algemene Verordening Gegevensbescherming komen er strengere richtlijnen voor het verkrijgen, opslaan, gebruiken, beheren en bewaren van persoonlijke gegevens. En dat geldt niet alleen voor gegevens van klanten, maar ook voor die van medewerkers. Werk aan de winkel dus voor HR. Want privacy speelt in alle HR-processen een rol, tot het smoelenboek aan toe.
BBKwadraat-partner Nico Buijs licht graag wat stappen toe die HR kan nemen om goed voorbereid te zijn:
“Door deze nieuwe wetgeving zal de HR-afdeling, de afdeling Recruitment, maar ook het lijnmanagement hun huidige manier van werken goed onder de loep moeten nemen. Stap 1 is dan ook het in kaart brengen van de bestaande situatie en die naast de toekomstige wetgeving leggen. Maak een overzicht van welke data je voor welk doel gebruikt en hoe je gegevens van werknemers verwerkt.”
Welke gegevens sla je waar op en waarom?
“Het is in de nieuwe wetgeving niet per se zo dat het opslaan van gegevens niet meer mag, maar je moet straks als bedrijf wel kunnen aantonen hoe je de gegevens bewaart, met welk doel en waar. Het is dus vooral een kwestie van zorgvuldiger werken. Je moet kunnen onderbouwen waarom je gegevens nodig hebt, hoe lang je ze bewaart en dat de plek waar je ze bewaart veilig is. Weet jij bijvoorbeeld waar een sollicitatiebrief terechtkomt na 1 keer delen via e-mail en hoe lang hij daar bewaard blijft?
Data waar het om gaat zijn zaken als sollicitaties, contracten, salaris, onkosten, verzuim, verlof, training, urenoverzichten, beoordelingsgesprekken, detachering en vertrek. Zet alle data die door HR worden opgeslagen op een rij en leg vast:
– waar de gegevens zijn opgeslagen (ook offline)
– wie toegang hebben tot de data (denk ook aan de sollicitatiebrief die niet alleen in het archief zit, maar wellicht ook jaren in meerdere inboxen rondzwerft)
– hoe de gegevens beveiligd zijn (denk ook aan openstaande archiefkasten!)
– welke gegevens voor langere tijd bewaard worden en waarom, je moet kunnen aantonen dat het bewaren noodzakelijk is
– hoe je omgaat met verzoeken van werknemers om gegevens te verwijderen
De AVG dwingt je dus om je bedrijfsprocessen te veranderen en niet alleen je privacyverklaring. De inrichting van bepaalde systemen en structuren binnen je bedrijf zal wellicht op de schop moeten. Ook is gedragsverandering belangrijk. Gedachteloos back-ups 10 jaar lang bewaren of een sollicitatiebrief met iedereen delen kan niet langer. Die gedragsverandering geldt trouwens niet alleen voor de HR-afdeling, maar voor iedereen binnen de organisatie.”
LinkedIn en de nieuwe privacy wetgeving
“De nieuwe wet geldt niet alleen voor je eigen medewerkers, maar je kunt als bedrijf ook niet meer zomaar cv’s opslaan en downloaden of mensen benaderen op LinkedIn. Community’s zoals LinkedIn zullen daarom hun leden de optie moeten geven om goedkeuring te geven voor het delen van gegevens met derden. Als bedrijf moet je akkoord vragen aan mensen om gegevens op te slaan en dit moet je ook kunnen aantonen.
Het wordt daarom moeilijker om mensen zomaar te benaderen en gegevens op te slaan, wat met name in de werving en selectie een belangrijk aandachtspunt zal zijn. Het is ook belangrijk om interne audits te houden op dit gebied, zowel binnen HR als recruitment en het lijnmanagement. We weten namelijk allemaal dat lijnmanagers separaat gegevens van medewerkers en sollicitanten bewaren. Lijnmanagers dienen daarom ook goed geïnformeerd te worden. Volg bijvoorbeeld met de afdeling of een aantal managers een training of een webinar over de AVG en deel de belangrijkste lessen met iedereen.”
In het kader van ‘practice what you preach’: we werken er zelf ondertussen ook hard aan om op tijd helemaal privacy proof te zijn, volgens de richtlijnen van de AVG.