De nieuwe Europese privacywetgeving, de General Data Protection Regulation (GDPR), gaat in op 25 mei 2018. In ons land betekent dit dat de Algemene Verordening Gegevensbescherming dan van kracht wordt. Werk aan de winkel dus voor HR.

Het privacybewustzijn van HR is de laatste tijd gelukkig wel flink toegenomen, zegt Lieke van den Eijnden van De Voort Advocaten Mediators. Maar er is volgens haar nog een hoop te doen. “Privacy speelt in alle HR-processen. Zelfs bij zoiets simpels als het smoelenboek.” Vier vragen over de nieuwe privacywet. En als toegift somt  Van den Eijnden een handig lijstje op met vier actiepunten.

Al twee jaar is het bekend dat de nieuwe verordening eraan komt. Heeft HR zijn zaakjes op het gebied van privacy op orde? 

“Het bewustzijn is gelukkig flink toegenomen de laatste maanden. Maar het is inderdaad zo dat het al heel lang bekend is dat de nieuwe privacywet eraan komt en dat de voorbereidingen binnen organisaties nu pas op gang komen. Ook HR lijkt pas de laatste maanden actie te ondernemen. Er wordt flink informatie ingewonnen. Dat alle alarmbellen nu gaan rinkelen bij bedrijven is overigens wel logisch: de Autoriteit Persoonsgegevens kan namelijk flinke boetes uit gaan delen. De maximale boete is 20 mln of 4 procent van de wereldwijde omzet. Dat is niet mis. Door de hogere boetes wordt iedereen natuurlijk nu wel getriggerd, maar het voorkomen daarvan, moet  geen doel op zich zijn. Je moet het op orde hebben, of er nu hoge boetes op staan of niet.”

Personeelsdossiers, verzuimgegevens, salarisadministratie: het zijn nogal wat punten waar HR rekening mee moet houden.

“Het is inderdaad een hele klus, want het privacy-aspect loopt werkelijk overal doorheen. Door het hele bedrijf maar ook door alle HR-processen. Neem alleen al iets simpels als het smoelenboek op het intranet, daar sta je niet zo snel bij stil. Maar ook dan gaat het om de verwerking van persoonsgegevens. En wat te denken van recruitment? Als je een sollicitant alleen al  googelt of screent op LinkedIn, ben je al bezig met de verwerking van persoonsgegevens.

Zo ook bij het screenen van zieke werknemers op social media. Of dit is toegestaan, dient te blijken uit een belangenafweging die HR in elke individueel geval dient te maken.  Weegt het belang van HR bij verkrijgen van deze gegevens zwaarder dan het privacyaspect van de werknemer?”

Tip! Download de gratis whitepaper De Europese privacywet

Stel, je moet je als HRM’er nu nog helemaal voorbereiden op de AVG. Ben je dan te laat?

“Heb je voor de huidige wet, de Wet bescherming persoonsgegevens, alles al op orde, dan ben je al een heel eind op weg.  Maar met de Algemene Verordening Gegevensbescherming (AVG) gelden er voor organisaties straks   meer verplichtingen. Levert de verwerking van de persoonsgegevens in jouw organisatie bijvoorbeeld  waarschijnlijk een hoog privacyrisico op, dan ben je verplicht om een DPIA uit te voeren: een data protection impact assessment.  (DPIA). Een andere verplichting kan zijn dat je een functionaris voor de gegevensbescherming aan moet stellen. Dat geldt in ieder geval voor overheidsinstanties. Maar ook voor bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld voor het maken van risico-inschattingen of het monitoren van iemands gezondheid via wearables.  Een functionaris voor de gegevensbescherming is ook verplicht voor organisaties die stelselmatig met de verwerking van bijzondere persoonsgegeven bezig zijn. Denk aan een verzekeraar of meer HR-gerelateerd: een arbodienst.”

Dus grote bedrijven hoeven niet per se een privacyfunctionaris aan te nemen?

“Nee, als je niet onder één van de bovengenoemde categorieën valt, is er geen verplichting tot het instellen van een functionaris voor de gegevensbescherming. Wel raad ik aan om binnen het bedrijf één persoon aan te wijzen, die zich in de privacyzaken verdiept en het aanspreekpunt is. Je hoeft er dus niet speciaal iemand voor vrij te maken, maar  als het maar duidelijk is waar men intern bijvoorbeeld een datalek moet melden.”

Vier actiepunten voor HR

HR moet nu aan de bak dus. Maar waar begin je? Van den Eijnden heeft vier actiepunten voor HR, een stappenplan om alles klaar te stomen voor de AVG. En we zouden het in deze digitale tijd bijna vergeten: maar denk ook aan de offline kant, tipt Van den Eijnden.

1.  Vergaar kennis. Lees je goed in, volg een webinar, bezoek een congres; zorg dat je op de hoogte bent. Welke verplichtingen gelden voor jouw organisatie? Zorg ook dat deze bewustwording er bij de rest van de organisatie komt.  Betrek ook de ondernemingsraad erbij; de OR heeft belangrijke rechten op het gebied van privacy. Vaak zit  er veel kennis bij de OR en creëert het draagvlak voor een besluit,  maar dat wordt helaas nog wel eens  vergeten. En is er echt niet veel kennis op privacygebied in huis, schakel dan gewoon extern hulp in.
2. Breng de verwerking van persoonsgegevens in de hele organisatie in kaart, zodat je goed weet waar je op moet letten.
3. Ontwikkel een reglement (of reglementen) waarin per verwerking wordt opgenomen voor welk doel de gegevens worden verwerkt en op basis van welke verwerkingsgrondslag.
4.  Zorg dat je de beveiliging van de persoonsgegevens op orde hebt aan (onder andere) de ICT-kant. Wie kan er allemaal bij de gegevens? Maar denk ook aan de offline kant,  in deze digitale tijd. Kasten op HR-afdelingen met alle personeelsdossiers staan soms gewoon wagenwijd open.