Over trends in de wereld van de office ondersteuner en HR.

De Algemene Verordening Gegevensbescherming (AVG) komt eraan en bezorgt menig HR-afdeling hoofdpijn. Vanaf 25 mei 2018 moet alles wat binnen organisaties raakt aan het verzamelen en verwerken van persoonsgegevens AVG-proof zijn. Deze datum komt snel naderbij.

In een tijd waarin meer dan ooit op grote schaal persoonsgegevens kunnen worden gedeeld, verwerkt en geanalyseerd, waarin geautomatiseerde gegevensbestanden de norm zijn binnen HR en het een drukte van belang is op social media en in de Cloud, is de privacyregelgeving wel aan een update toe. De oudere regelgeving speelt nog niet genoeg in op de nieuwste ontwikkelingen op data gebied en wordt nog niet op grote schaal nageleefd. De nieuwe Europese Verordening (in het Nederlands afgekort als “AVG”, in internationaal verband “GDPR” genoemd) is bedoeld om in alle Europese lidstaten duidelijkheid te scheppen over de rechten en plichten met betrekking tot opslag, gebruik en verwerking van persoonsgegevens. Ook in de huidige digitale datakluwen.

Onder de AVG moeten organisaties kunnen aantonen op basis van welke wettelijke grondslag gegevens worden verwerkt en wie (met welk doel) toegang hebben tot deze gegevens. Er moet worden vastgelegd wat de waarborgen zijn die zorgvuldigheid en veiligheid garanderen, ook waar het gaat om cloudservers en hostingproviders. Er moet expliciet worden aangetoond dat de factor privacy zit ingebakken in alle processen, structuren en werkwijzen. De rechten van de betrokkene, der persoon van wie de gegevens worden verwerkt, moeten actief worden beschermd. Gebeurt dit niet, dan voorziet de nieuwe regelgeving in pittige sancties.

Hoog tijd om dit brede onderwerp vanuit HR-perspectief nog eens goed onder de loep te nemen.

onder de loep

De Masterclass: de AVG vanuit HR perspectief
Wij vonden Babise de Laive Paasman, advocaat bij Heere Advocaten, bereid de wijzigingen in de wet voor ons ‘onder de loep nemen’. Op 5 en op 26 oktober a.s. verzorgt zij de Espaz Masterclass met als thema: “Nieuwe privacywetgeving op komst, wat zijn de gevolgen?”.

Babise werkte jaren als advocaat met aanvankelijk een focus op internationaal handelsrecht, maar raakte gaandeweg steeds meer gericht op het arbeidsrecht, waarbij zij geregeld impliciet of expliciet te maken kreeg met het onderwerp persoonsgegevens en privacy.

De vraag aan haar: wat is de belangrijkste ophanden zijnde verandering?

Babise: “Het zijn niet zozeer de inhoudelijke veranderingen in de AVG ten opzichte van de huidige situatie die ophef veroorzaken. De juridische verplichtingen worden wel uitgebreider, maar het is vooral de handhavingskant die zorgt voor een  groeiend bewustzijn binnen organisaties. Ik weet uit de praktijk dat de huidige regelgeving vaak niet wordt nageleefd, omdat er nog niet zo intensief werd gehandhaafd, maar dat lijkt nu te gaan veranderen. De boetes in de Verordening zijn bovendien zo hoog dat de meeste organisaties daar geen risico’s mee willen nemen.

De AVG gaat voor alle organisaties gelden, maar voor partijen met meer dan 250 werknemers zijn de administratieve verplichtingen nog een stuk uitgebreider dan voor de wat kleinere clubs. Ook de kleintjes moeten de impact van de verplichtingen echter niet onderschatten.  

Wat eigenlijk iedere organisatie nog vóór mei 2018 moet gaan doen, is onderzoeken welke persoonsgegevens zij eigenlijk verwerken. Je moet daarbij bedenken dat het begrip ‘persoonsgegeven’ ruim is: elk gegeven dat kan worden herleid naar een levend mens is een persoonsgegeven. Naast gegevens als namen, adressen en dergelijke, vallen nu ook IP-adressen, MAC-adressen en cookies definitief onder de wet. Die persoonsgegevens kunnen (particuliere) klanten en bijvoorbeeld leerlingen betreffen, maar zeker ook de werknemers.

Waar gewerkt wordt met persoonsgegevens, moet vervolgens gekeken worden hoe de gegevens worden verwerkt. Telkens als er een gegeven wordt genoteerd, opgenomen in een bestand of gedeeld, is er sprake van verwerking. Ongemerkt blijken er in bijna elke organisatie al talloze gegevensstromen te lopen. Denk alleen al aan het bijhouden van de personeelsdossiers en het verwerken van gegevens voor de salarisadministratie. 

Zulke processen moeten in kaart worden gebracht: waar en hoe worden die gegevens opgeslagen, met welk doel, wie hebben er toegang toe en aan wie worden ze doorgespeeld? Vervolgens moet voor elke bewerking kritisch bekeken worden in hoeverre het noodzakelijk is om al die gegevens te verwerken. Vaak kan ook met minder gegevens worden volstaan. Ook moet onderzocht worden of in elke stap van het proces voldoende waarborgen zijn ingebouwd om te voorkomen dat onbevoegden toegang hebben tot de gegevens. Als organisatie moet je kunnen laten zien dat er goed is nagedacht over de privacy en dat er beleid is. Dat beleid moet ook nog eens worden gehandhaafd. Om te kunnen bewijzen dat je als organisatie de verplichtingen naleeft, zal je al deze stappen  in meerder of mindere mate moeten documenteren.

Voor bepaalde categorieën persoonsgegevens gelden verhoogde eisen. Gegevens over zaken als godsdienst, strafrechtelijk verleden of gezondheid mogen alleen bij uitzondering worden verwerkt en moeten met extra waarborgen omgeven zijn. Organisaties die dat soort gegevens verwerken of die op grote schaal persoonsgegevens verwerken, zullen een privacy officer moeten aanstellen die zorgt dat de praktijk voldoet  aan de regelgeving.

De AVG-verplichtingen zijn niet statisch. Ook nadat de organisatie is doorgelicht en AVG-proof is gemaakt, zal telkens bij het invoeren van nieuwe technieken of processen waarmee data verzameld worden opnieuw moeten worden gekeken naar de privacy impact. Dat gebeurt in een zogenaamd “Privacy Impact Assessment” (PIA). Daarbij moet ook een afweging worden gemaakt tussen de belangen van de organisatie bij het verwerken van de gegevens enerzijds en de privacybelangen van de betrokkene anderzijds.

De uitwerking van de AVG in de praktijk lijkt in eerste instantie misschien een beetje bureaucratisch. De indruk ontstaat dat je met lijstjes moet werken waarop acties kunnen worden afgevinkt. Feitelijk is het een manier om te toetsen hoe je met privacygevoelige processen omgaat en om organisaties te dwingen om privacyoverwegingen te laten meewegen in alle processen in de organisatie. In de praktijk kan dat er natuurlijk wel toe leiden dat men geneigd is om allerlei formele procedures in te bouwen. Puur om zich in te dekken. Het zou echter een gemiste kans zijn als toepassing van de wet alleen tot administratieve ingrepen leidt uit angst voor boetes.

boetes

Overigens verwacht ik niet dat er meteen vreselijke boetes zullen worden opgelegd aan kleine organisaties die te goeder trouw waren. Als er stommiteiten worden begaan of als er structurele missers in je processen zitten, loop je echter zeker wel risico op boetes. En de Autoriteit Persoonsgegevens zal ook voorbeelden moeten stellen om te tonen dat het met de AVG ernst is.

In de praktijk zullen we zien dat er waarschijnlijk vaker om toestemming zal worden gevraagd als we gegevens moeten verstrekken. Anders dan nu het geval is, mag aan toestemming geen ellenlange disclaimer met onleesbare teksten vooraf gaan. Het idee is dat heel helder is waarvoor de toestemming wordt verleend.

Op HR-terrein is daarnaast ook heel belangrijk dat er bewustwording wordt gerealiseerd bij medewerkers die vaak helemaal niet bezig zijn met privacy. Een kopietje van het paspoort dat blijft liggen op het kopieerapparaat (in sommige gevallen mag er überhaupt geen kopietje in een dossier worden opgeslagen) of het automatisch invullen van opgeslagen wachtwoorden op laptops en telefoons van het werk, zijn voorbeelden die iedereen kent. Die bewustwording kan worden vergroot door het opnemen van een beding in de arbeidsovereenkomst waarin staat dat medewerkers zich moeten houden aan de beveiligingsmaatregelen. Als het dan misgaat kan de verantwoordelijke worden aangesproken of een boete krijgen. Dit gaat niet om het afschuiven van verantwoordelijkheid, maar om ervoor te zorgen dat mensen zich ook echt aan de regels houden.

Voor recruiters biedt alle informatie die online te vinden is grenzeloze mogelijkheden. Het is een beetje de kat op het spek binden, want hoewel sommige informatie gewoon te vinden is in openbare profielen op social media, mag die vaak niet in het screeningsproces worden betrokken. Dit mag alleen als het noodzakelijk is voor de specifieke functie waarop wordt gesolliciteerd. Bovendien zal de sollicitant deugdelijk geïnformeerd moeten zijn over de mogelijkheid dat er een screening van social media zal plaatsvinden.

Waar recruiters verder goed op moeten letten, is dat zij de gegevens van kandidaten niet langer mogen bewaren dan nodig is. In de regel zal het dossier vernietigd moeten worden zodra duidelijk is dat er geen match tot stand komt. Wil een recruiter de gegevens van de kandidaat behouden voor eventuele toekomstige aanbiedingen, dan moet de kandidaat hiervoor expliciet toestemming geven."

Kortom; de actualisering van de privacywetgeving is met alle nieuwe technieken wel nodig. Naleving van de AVG zal echter nog een stevige uitdaging worden. Voor alle organisaties zijn duidelijkheid en transparantie over het eigen ‘privacy gedrag’ een must.

Babise de Laive-Paasman

Babise de Laive-Paasman

Hoe dit alles zich vertaalt naar uw eigen dagelijkse praktijk roept misschien vragen op. Wilt u deze stellen? U bent van harte welkom op 26 oktober aanstaande!

 

Aanmelden voor nieuwsbrief

Naam(*)
Ongeldige invoer

E-mail(*)
Ongeldige invoer

Abboneer mij
Ongeldige invoer

Meest gelezen artikel

AVG toestemming

Jouw gegevens en privacy zijn belangrijk voor ons. Daarom hebben wij conform de Algemene Verordening Gegevensbescherming (AVG) in Europa ons...

Een vraag aan ons?

E-mail(*)
Ongeldige invoer

Vraag(*)
Ongeldige invoer