– wisselende bewaartermijnen brengen privacy in het geding –
Jobhoppen is het nieuwe normaal. Vraag het een begin-dertiger en de kans is groot dat zij of hij sinds de studie aan de vierde baan of meer bezig is . Dat betékent iets, voor zowel werknemers als hun werkgevers. Ten aanzien van het informatie- en dossierbeheer betekent het een explosie aan bewaartermijnen die moeten worden opgevolgd. De nieuwe AVG-privacywetgeving is daarbij de hete adem in de nek: deze gaat veel verder dan de oude wetgeving en geeft burgers bijvoorbeeld ´het recht om vergeten te worden´ – het is allemaal makkelijker gezegd dan gedaan… Maar wat is er werkelijk aan de hand? En hoe krijgen we weer greep op de problematiek?
Jobhoppers zelf staan voor de uitdaging hun financiën, verzekeringen en pensioenen goed te regelen, en in korte tijd collegiale netwerken op te bouwen met waardevolle relaties, voor nu en voor later. Werkgevers zijn een lieve som kwijt aan de werving en opleiding van telkens nieuwe medewerkers, en het vasthouden en overdragen van kennis. Het verlies aan kennis, ervaring en relaties in de markt, betekent feitelijk een verlies aan bedrijfsinformatie. Aan de andere kant brengt jobhoppen ook enorme, zwaar onderschatte informatierisico´s met zich mee.
De laatste jaren is er amper aandacht geweest voor het feit dat we, als we de deur achter ons sluiten en op weg gaan naar een nieuwe uitdaging, een spoor aan gevoelige persoonlijke informatie achterlaten, niet alleen wat persoonlijke (adres-)gegevens, maar ook cv’s, kopieën van paspoorten, identiteitsbewijzen en rijbewijzen, bankrekening- en kredietkaartgegevens, salaris- en bonusinformatie, (kritische?) beoordelingen, alimentatiekwesties, medische en keuringsdossiers, re integratieplannen na ziekte, en familiaire en andere persoonlijke kwesties.
Wbp wordt AVG / GDPR
De wet vereist dat werkgevers dergelijke persoonlijke en gevoelige informatie bepaalde perioden moéten bewaren en op zekere termijnen juist veilig moeten hebben vernietigd, waarbij die termijnen wisselen, afhankelijk welke soort informatie het betreft.
Nu is dat nog geregeld in de Wet bescherming persoonsgegevens (Wbp), maar per 25 mei 2018 is er één Europese wet toepasselijk in alle lidstaten: de véél strengere Algemene Verordening Gegevensbescherming (AVG, in het Engels bekend als de GDPR), met zijn meldplicht voor datalekken, met het ´recht om vergeten te worden´, en met zijn geweldig hoge boetes – en de bijkomende reputatieschade.
Het fenomeen van de jobhoppende millennial, die naar verwachting zestien (16!) banen zal hebben gedurende zijn of haar loopbaan , maakt het voor medewerkers onmogelijk om bij te houden welke informatie zich waar nog bevindt, en of die informatie tijdig veilig is vernietigd. Voormalige werkgevers hebben zelden onze interesse zelden, en de meerderheid der jobhoppers staat hier dus amper bij stil. We gaan er vanuit dat het met de bescherming van onze persoonlijke gegevens wel goed zit, en dat (voormalige) werkgevers er volgens de wettelijke regels mee omgaan.
Dat is bijna nooit het geval. Denk niet in de eerste plaats aan kwade opzet. Denk aan de combinatie van relativering, of nonchalance, en een boel goedbedoeld onvermogen. Juridisch heet dat overigens wel onbehoorlijk bestuur en nalatigheid. En we hebben er gewoon recht op dat voormalige werkgevers zich aan de wet houden en ons ´recht om vergeten te worden´ respecteren (ook al is dat pas lang nadat we uit elkaar zijn gegaan).
Tikkende Wekkers
Informatiemanagers en dossierbeheerders plaatst dit wel voor een grote uitdaging. Die zit hem er met name in dat wanneer er een medewerkers vertrekt, er een klok begint te tikken. Informatie en documenten moeten wisselende, wettelijk bepaalde perioden worden bewaard. Na om en nabij de vijf, of zes jaar, maar soms ook later, moét die informatie veilig worden vernietigd. Deze op een bepaalde gebeurtenis gebaseerde bewaar- en vernietigingstermijnen, zijn heel lastig volgens de wettelijke vereisten op te volgen.
Als het beeld van de klok werkelijkheid zou zijn, verbeeld je dan eens hoeveel wekkers er staan te tikken en hoe vaak die af gaan. Bedenk eens hoeveel wekkers er dagelijks of wekelijks moeten worden gezet en hoeveel moeite het kost geen digitale of papieren kopieën over het hoofd te zien. Bedenk hoe complex de situatie is geworden met het enorme personeelsverloop van tegenwoordig, en de strenge Europese AVG-privacywetgeving die volgend jaar mei van kracht wordt. Dan is het duidelijk dat bedrijven in het algemeen en personeelszaken / HRM in het bijzonder een taaie klus voor de boeg hebben, wanneer een vertrekkende medewerker het pand heeft verlaten.
Uit de Tijd
Iron Mountain heeft er recent onderzoek naar gedaan en daaruit blijkt dat 50% van de Europese en Amerikaanse middelgrote bedrijven (250-2.500 medewerkers) amper zijn toegerust om aan de vereisten voor op gebeurtenissen gebaseerde bewaartermijnen te voldoen. In merendeel beheren zij hun HR-dossiers en personeelsbestanden met gedateerde werkprocessen die een risico vormen voor gevoelige persoonlijke informatie. Het onderzoek laat ook zien dat een derde van de onderzochte middelgrote bedrijven (31%) persoonlijke medewerkersdossiers langer bewaart dan wettelijk is toegestaan. Liefst een kwart (25%) is zich zelfs volledige onbewust van het bestaan van wettelijke vereisten.
Voor bedrijven die de ontkenningsfase voorbij zijn, is het een regelrecht hoofdpijndossier, waarvan ze de complexiteit graag zouden reduceren. De ´2013-2014 Information Governance Benchmarking Survey’ van Cohasset Associates, ARMA International en AIIM liet drie jaar geleden al zien dat 67% van de onderzochte organisaties vond dat hun informatie- en dossierbeheerprogramma´s gebaat zouden zijn bij minder op gebeurtenissen gebaseerde bewaartermijnen. Dat is geen verrassing en onverminderd van kracht, want de situatie is de laatste jaren alleen maar complexer geworden. Wellicht ten overvloede: personeels- of HR-dossiers vormen de top van de ijsberg. Bedrijven die overeenkomstig de wet- en regelgeving handelen, zien zich ook geconfronteerd met hun overige gevoelige dossiers, zoals contracten en financiële bestanden.
Adviezen
Het omgaan met de complexiteit van op gebeurtenissen gebaseerde bewaartermijnen binnen de jobhoptrend is een thema dat personeelsmanagers onder de knie moeten krijgen. Vier praktische adviezen kunnen daarbij waardevol zijn. Wie de geschetste aanpak te veel op de kwaliteiten van individuele medewerkers vindt leunen, kan overwegen een centraal ´gebeurtenissenregister´ in te richten van waaruit de bewaartermijnen kunnen worden gevolgd en beheerd vanaf het moment dat de gebeurtenis zich voordoet.
1. Regelmatige inventarisering van relevante informatie en dossiers
Richt een beheersysteem in met verwijzingen naar relevante dossiers en informatie waarin, bijvoorbeeld na contractbeëindiging, de klok begint af te tikken richting het einde van de maximale bewaartermijn. Inventariseer regelmatig wat er nog op de plank ligt of op de schijf staat, en zorg voor beveiligde vernietiging van wat er niet langer mag worden bewaard.
2. Definieer de terminologie
Zorg dat het bedrijf één terminologie hanteert voor op gebeurtenissen gebaseerde evenementen die de klok in werking zetten, en dat duidelijk is op welke informatie het bewaarbeleid wordt toegepast. De toepasselijke start- en einddatum volgens de een, mag niet verschillen van de ander. Dit borgt dat de ene persoon hetzelfde verstaat onder ´datum gebeurtenis´ als de ander, en dat het iedereen duidelijk is welke informatie wordt beheerd en wat de restricties op die informatie zijn.
3. Gebruik van werkstromen maakt het beheer makkelijker
Een gebeurtenis wordt in gang gezet op een bepaalt punt in de werkstroom of in het bedrijfsproces – zoals wanneer een contract wordt afgesloten, of een project wordt afgerond. De inzet van de juiste (automatiserings-)technologie zorgt dat een dossier, document, of bestand kan worden gelabeld wanneer het zich binnen de werkstroom verplaatst, en het kan eenvoudig uit de stroom of de processen worden verwijderd wanneer het inactief is geworden.
4. Stap over op vaste datums
Pas de bewaartermijnen toe die toepasselijk zijn op de verschillende soorten persoonlijke informatie, en voorzie informatie van vaste vervaldatums. Zo is het iedereen, en bijvoorbeeld niet alleen HR, gelijk duidelijk wanneer de houdbaarheidsdatum van informatie is verstreken en het tijd is voor veilige vernietiging.
Reageren?
Je moet inloggen om een reactie te kunnen plaatsen.