GDPR & HR: wat moet er gedaan worden om aan de nieuwe verordening te voldoen?

Posted by media on 24-apr-2018 9:00:00

 hr_afdeling_voorbereiden_op_gdpr.png

De Algemene Verordening Gegevensbescherming (AVG, beter bekend als GDPR) introduceert grote veranderingen voor de manier waarop organisaties de persoonsgegevens van gebruikers of klanten beheren. Daarnaast heeft het echter ook een impact op HR-afdelingen. Vanaf het moment dat een sollicitant voor het eerst op gesprek komt tot de dag dat die het bedrijf verlaat, worden er veel gegevens over deze persoon verzameld.

In deze post geven we inzicht in hoe de GDPR invloed zal hebben op HR-professionals.

Deze post is ook beschikbaar in het Engels.

 

Wat is de GDPR?

De GDPR is onderdeel van de Europese Verordening Gegevensbescherming die de huidige richtlijn op dit gebied zal vervangen. Het doel van de nieuwe verordening is om de rechten van Europese burgers met betrekking tot hun gegevens te standaardiseren en te versterken. Dit betekent dat elke organisatie die de persoonsgegevens van EU-inwoners verwerkt moet voldoen aan de nieuwe normen voor transparantie, beveiliging en bovenal verantwoordelijkheid.


GDPR & BREXIT

De GDPR zal op 25 mei 2018 volledig worden ingevoerd in de Europese Unie. De Britse regering heeft bevestigd dat het ook in hun staat zal worden toegepast.  


GDPR: alle HR-afdelingen verwerken persoonsgegevens

De Algemene Verordening Gegevensbescherming (GDPR) is het meest recente Europese initiatief om meer rechten aan mensen te bieden en de organisatorische verplichtingen van de bedrijven die toegang hebben tot persoonsgegevens te vergroten.

Veel bedrijven spannen zich in om te voldoen aan de nieuwe vereisten door hun processen en systemen te herzien om ervoor te zorgen dat ze alle principes, rechten en plichten dekken. We moeten er echter rekening mee houden dat de nieuwe wetgeving ook invloed heeft op de gegevens die bedrijven hebben over hun werknemers.

Denk aan de hoeveelheid informatie die HR-afdelingen dagelijks verwerken: namen, achternamen, geboortedata, bankrekeningen, cv's, adressen, telefoonnummers, foto's, e-mailadressen enz. Maar de toegang tot deze grote hoeveelheid waardevolle persoonsgegevens brengt ook de verantwoordelijkheid met zich mee om te garanderen dat deze op een veilige en wettige manier worden behandeld.

Dit is een verantwoordelijkheid die van zowel de werkgevers (data controllers) als de HR-professionals (verwerkers) wordt geëist.

GDPR_HR_persoonsgegevens.jpg

 

De grootste twijfels van HR-professionals over de GDPR


Moet ik toestemming van een medewerker krijgen om persoonsgegevens te bewaren?

In de 40e overweging van de GDPR wordt vastgesteld dat wanneer de behandeling van persoonsgegevens als wettig moet worden beschouwd, dit met de toestemming van de betrokkene of op een andere wettelijke basis moet gebeuren die is vastgesteld in overeenstemming met de wet.

Voor persoonsgegevens van werknemers die essentieel zijn voor een contractuele relatie voor HR zoals naam, CV, bankrekening enz., zou de verwerking gebaseerd kunnen worden op wettelijke grond of omdat ze genoodzaakt zijn om te voldoen aan specifieke wettelijke verplichtingen op de werkvloer.

Maar in andere gevallen, zoals de omgang met gevoeligere of vertrouwelijkere gegevens, is de uitdrukkelijke toestemming van de werknemer nodig als juridische reden voor de verwerking namens het bedrijf.

Niet te vergeten bepaalt de GDPR ook dat betrokkenen het recht hebben om de toestemming op ieder gewenst moment in te trekken met de enige beperking dat het bedrijf wettelijke eisen moet vervullen die de eliminatie van de toestemming belemmeren.


Meer informatie > Infographic GDPR: gegevensbescherming voor het digitale tjidperk in Europa

 


 

Welke verantwoordelijkheden met betrekking tot veiligheid moet HR vervullen?

Volgens de GDPR moet elke inbreuk op gegevens binnen 72 uur aan de betreffende autoriteit voor gegevensbescherming worden gemeld.

Dit betekent dat de huidige mechanismen voor het rapporteren van gegevensinbreuk moeten worden herzien. De betrokken werknemers die door een inbreuk schade kunnen ondervinden moeten ook "zonder onredelijke vertraging" op de hoogte worden gesteld.

Het is daarom belangrijk om de beveiligingsvoorzieningen te herzien en mogelijke problemen te voorkomen die zouden kunnen ontstaan als gevolg van de manier waarop gegevens worden opgeslagen.

Afhankelijk van het soort gegevens en het volume dat wordt verwerkt kan het ook verplicht zijn om een functionaris voor gegevensbescherming aan te stellen die onder andere toezicht houdt op gegevensverwerkingsactiviteiten binnen de organisatie.

 

                                                            Download GDPR Gids

 

Wat zijn de rechten van mijn werknemers onder de GDPR?

De werknemers kunnen achterhalen welke persoonsgegevens in verband met HR binnen het bedrijf worden verwerkt, waarom die worden verwerkt en waar dat gebeurt. De HR-afdeling moet werknemers op verzoek ook een gratis exemplaar bezorgen van alle gegevens die zij bezitten. Het bedrijf moet daar een systeem voor hebben waarmee deze informatie gemakkelijk kan worden gevonden.

Uiteindelijk is de nieuwe wetgeving ontworpen om mensen het recht te geven op toegang, correctie en vergetelheid van de informatie die hen aangaat. Daarom hebben uw werknemers recht op meer transparantie met betrekking tot hun persoonlijke gegevens en de redenen dat deze bewaard worden.

Welke basisstappen moet ik ondernemen?

  1. Herzie de processen en procedures voor gegevensbescherming en stel eventuele problemen vast. Het inventariseren van alle persoonlijke gegevens die je bezit en het beoordelen van de redenen achter de bewaring ervan zijn onderdeel van dit proces.
  1. Breng het team op de hoogte van de nieuwe regels en hun rechten. Dit maakt het gemakkelijk om de toestemming te verkrijgen die je nodig hebt voor de omgang met bepaalde gegevens.
  1. Zorg ervoor dat er volledige transparantie is over de aard van de verwerking van gebruikte gegevens door HR, de doeleinden waarvoor het wordt gebruikt en waar het wordt verwerkt.
  1. Wanneer er toestemming gebruikt wordt om de gegevensverwerking van HR te legitimeren moet je zeker weten dat het goed vastgelegd is om dat te kunnen bewijzen wanneer dat nodig is.
  1. Wanneer er dingen worden uitbesteed (bijvoorbeeld in de cloud) moeten bedrijven een leverancier/provider kiezen met de juiste garanties met betrekking tot gegevensbeveiliging.

rechten_werknemers_in_gdpr.jpg

 

Wat gebeurt er als ik deze nieuwe voorschriften niet nakom?

Organisaties die hun verplichtingen niet nakomen worden geconfronteerd met zware sancties. Uw bedrijf zou een boete van maximaal 4% van de totale jaaromzet of €20 miljoen kunnen krijgen voor ernstige inbreuken zoals het niet verkrijgen van de uitdrukkelijke toestemming van betrokkenen voor de verwerking van hun gegevens wanneer dit wel nodig was.

Een straf van 2% zal worden toegepast voor kleine overtredingen zoals het niet op orde houden van de administratie, het niet melden van een inbreuk op de beveiliging of het niet uitvoeren van effectbeoordelingen.

 

Zullen alle lidstaten personeelsgegevens op dezelfde manier behandelen?

Ondanks het feit dat de GDPR overeenkomst tussen alle landen nastreeft, biedt het bepaalde vrijheden voor interpretatie of de interne aanpassing van bepaalde onderwerpen. Bijvoorbeeld met betrekking tot de omgang met gegevens van minderjarigen en artikel 88 "Verwerking in het kader van de arbeidsverhouding".

Dit artikel erkent dat nationale wetten in de lidstaten of collectieve overeenkomsten bepalen hoe deze persoonlijke gegevens van werknemers moeten worden verwerkt met specifieke regels, maar niet hoe ze moeten worden beschermd.

We zullen zien in hoeverre de lidstaten ervoor kiezen om deze bevoegdheden te gebruiken om hun huidige praktijken te weerspiegelen of om de bescherming van werknemersgegevens te verbeteren.

 

Conclusie

Er blijft niet veel tijd meer over tot 25 mei en het is belangrijk dat bedrijven rekening houden met de verwerking van persoonsgegevens van werknemers die wordt gedaan vanuit HR. Er moet een veilig systeem ontwikkeld worden dat het mogelijk maakt om een transparante en rechtsgeldige aanpak te hanteren.

U kunt hieronder ook de gratis gids downloaden waarin we onze diensten in detail uitleggen, of neem voor meer informatie contact met ons op per e-mail: info@signaturit.com of bel ons op +31 208 086 203

Deze post is ook beschikbaar in het Engels.


Basisgids Algemene Verordening Gegevensbescherming (GDPR)

Topics: GDPR

Blog Inschrijving

Recente Posts