Bedrijven kunnen er niet meer omheen; uiterlijk 25 mei 2018 moet de dataopslag en –verwerking op orde zijn op straffe van torenhoge boetes. Dan treedt namelijk de General Data Protection Regulation (GDPR) in werking. Hoewel de regelgeving overweldigend kan lijken op het moment dat de eerste stappen naar compliance worden gezet, moeten bedrijven inmiddels druk bezig zijn met de voorbereiding om aan alle regels te voldoen. Doen ze dit niet, dan kunnen er boetes worden uitgedeeld die in de miljoenen lopen.
Hoewel de GDPR dreigend boven de bedrijven hangt, zijn er positieve punten van de GDPR te benoemen; het zorgt voor een zorgvuldige omgang met data en best practices voor databeheer. Het vermindert risico’s van bijvoorbeeld cyber-aanvallen en verbetert de kwaliteit van de data.
De GDPR is in het leven geroepen om persoonsgegevens te beschermen, waardoor bedrijven zich richten op het beschermen van de klantdata. Bedrijven moeten echter wel inzien dat dezelfde regels ook gelden voor medewerkers en sollicitanten.
Consequenties voor HR
Wat betekent dit dan voor de HR-afdeling? Met de inwerkingtreding van de GDPR kunnen bedrijven nog steeds data verzamelen van bijvoorbeeld sollicitanten, maar alleen data die noodzakelijk is voor het sollicitatieproces. Voor andere data moeten bedrijven expliciet toestemming vragen en deze alleen gebruiken voor de redenen waarom het is aangevraagd. Als de sollicitant niet wordt aangenomen, dan moet de data meteen worden gewist. Hetzelfde geldt voor data van medewerkers; dit moet relevant zijn voor het management en de rol van de medewerker. Bedrijven dienen medewerkers toestemming te vragen voor specifieke data en medewerkers kunnen die toestemming altijd intrekken. Als een medewerker het bedrijf verlaat, moet de data altijd worden verwijderd.
Bedrijven die enorme hoeveelheden data verwerken moeten zich dus goed voorbereiden om aan de eisen van de GDPR te voldoen. Er zijn echter drie simpele stappen om persoonlijke data binnen het bedrijf GDPR-compliant te maken. Bedrijven hoeven gelukkig niet bij het begin te beginnen; vaak draaien er al databeheerprocessen.
Stap 1: Privacy door ontwerp
Het concept van privacy door ontwerp gaat over het verwerken van databeschermingsvereisten bij het ontwerpen van systemen en processen. Om te voldoen aan de GDPR is het eenvoudiger om een nieuw proces of systeem te ontwikkelen met de regelgeving in het achterhoofd, dan later speciale features toe te moeten voegen.
Begin met de data, niet met het proces. Documenteer daarnaast waarom bepaalde data moet worden opgeslagen. Verschillende markten vereisen verschillende data, dus het is belangrijk om de eisen binnen die markt te begrijpen. In Duitsland is het bijvoorbeeld verplicht om als medewerker je religie aan te geven, omdat kerkgangers belasting voor de kerk betalen. De werkgever moet die belasting dan wel inhouden op het loon.
Evalueer vervolgens de processen voor belangrijke data en voeg privacy-vereisten en gebruikersrechten toe aan die processen. Het helpt als er een duidelijk beeld van alle data is. Het is namelijk efficiënter om een proces te bouwen rondom de benodigde data, dan bestaande processen aan te passen. Het is daarnaast een goede gelegenheid om de processen op te schonen.
Stap 2: Analyse van de impact van privacy
Privacy door ontwerp kan veel werk zijn, waardoor het belangrijk is om te weten wat prioriteit heeft. Inventariseer daarom welke data en processen de hoogste risico’s met zich meebrengen. Als er data wordt gestolen, welke dataset zou dan het schadelijkst zijn om te verliezen?
Kijk hierbij ook naar data die automatisch wordt verzameld. Bedrijven zijn net zo verantwoordelijk voor de activiteiten van een geautomatiseerd proces als van een handmatig proces. Een analyse van processen helpt bij het identificeren van zwakke plekken. Het is daarom verstandig om deze analyse regelmatig te doen; zo blijft de kwaliteit gewaarborgd en kunnen processen worden aangepast aan verdere regelgevingen.
Stap 3: Verantwoordelijkheid
Bedrijven moeten volledig inzicht bieden in de processen, waaronder de plek waarop data van medewerkers is opgeslagen, hoe het wordt verwerkt en duidelijk te maken wie toegang heeft. Op het moment dat de datasets schoon zijn en de processen zijn geëvalueerd en aangepast, moet het worden gedocumenteerd en worden bewezen dat het voldoet aan de regels van de GDPR. Dit is het verantwoordelijkheidsprincipe, wat in feite inhoudt dat datasets en processen moeten worden gedocumenteerd.
Step 3.5: Wie moet dit allemaal regelen?
Veel bedrijven stellen Data Protection Officers aan om nauw samen te werken met alle afdelingen, maar er is ook een belangrijke rol voor HR weggelegd. Het werkt in het voordeel van HR om een data privacy-specialist in huis te hebben, die samenwerkt met de Data Protection Officer. Dataprivacy vereist kennis van wetten en regelgeving, techniek en business. Een expert op dit gebied kan daarom veel expertise bieden over lokale wetten en de HR-processen binnen het bedrijf.
De GDPR is geen eenvoudige wetgeving en het is belangrijk voor HR-afdelingen om zich goed voor te bereiden. Processen moeten worden heroverwogen en de afhandeling van persoonlijke data en opslag moet worden geëvalueerd. Zelfs met deze drie stappen kan het intimiderend zijn om het proces te beginnen. Deze krachtsinspanning werpt echter wel vruchten af door betere kwaliteit van de data, efficiënte processen, minder kans op boetes, een beter imago en gemotiveerder personeel. Medewerkers moeten zich veilig voelen op het werk en zich kunnen focussen, daarom moeten hun persoonsgegevens veilig en beschermd zijn.
Compliance is een proces en databescherming een bedrijfscultuur. In werking is het een sterke en effectieve tool