GDPR: 7 tips voor HR om de deadline te halen.

GDPR? Dat is de nieuwe Europese privacywetgeving die op 25 mei 2018 van kracht wordt. De General Data Protection Regulation vervangt de Belgische privacy-wetgeving. En hoewel we misschien in eerste instantie aan IT of marketing denken, heeft ook HR werk voor de boeg om helemaal in orde te zijn. Deze zeven tips zetten u op weg.

 

1 - stel een volledige gegevensinventaris op

GDPR verplicht ondernemingen om een inventaris op te stellen van de persoonsgegevens die ze bijhouden. U moet schriftelijk bijhouden met welk doel u gegevens verzamelt en hoe en waar die zijn bewaard. Voor HR denken we uiteraard aan gegevens over (voormalige) personeelsleden, maar denk ook aan kandidaten, leveranciers, studenten, stagiairs,... .

 

2 – u mag nog altijd gegevens verwerken

U moet lonen uitbetalen en sociale zekerheid in orde brengen. Zonder persoonlijke data lukt dat niet. Moet u telkens opnieuw expliciet toestemming vragen om die gegevens te mogen gebruiken? Neen, GDPR maakt het mogelijk voor ondernemingen om gegevens te verwerken als dat nodig is, bijvoorbeeld in het kader van een arbeidsovereenkomst.

 

3 – zorg dat u kan verantwoorden wat u doet

GDPR introduceert het verantwoordingsprincipe: u moet steeds kunnen verantwoorden hoe u met persoonsgegevens omgaat. Kan u, als iemand er om vraagt, op een aanvaardbare manier uitleggen wat u doet met de verzamelde persoonsgegevens en waarom?

U kan de vraag heel concreet maken. Kan ik verantwoorden waarom ik gegevens van sollicitanten blijf bewaren? Kan ik argumenteren dat salarisgegevens voldoende beveiligd zijn? Als morgen een laptop van een van mijn medewerkers op de trein blijft liggen, kan ik dan verantwoorden dat resultaten van de jaarlijkse evaluatie niet versleuteld zijn?

 

4 – leid uw medewerkers op

Maak medewerkers attent op het belang van een goed paswoordbeheer, leer hen te denken aan de privacy van personen van wie ze gegevens verwerken. Stel een procedure op die u kan volgen wanneer het toch verkeerd loopt. Denk als HR-verantwoordelijke ook aan de opleiding van medewerkers in andere diensten die met gevoelige informatie aan de slag gaan.

 

5 – spreek uw partners en leveranciers aan

Gegevens blijven niet binnen de muren van uw onderneming. U slaat ze in de cloud op en verstuurt ze naar dienstenleveranciers. Breng in kaart met wie u samenwerkt – selectiekantoren, sociale secretariaten, externe opleidingskantoren,... – en in welke mate zij toegang hebben tot gegevens. Zorg dat de contracten die u met die partners hebt afgesloten de gepaste bepalingen bevatten omtrent gegevensbescherming.

 

6 – stel een verantwoordelijke aan

Het aanstellen van een data protection officer is voor de meeste ondernemingen niet verplicht. Toch is het aan te raden iemand verantwoordelijk te maken voor gegevensbescherming. Die persoon houdt het register up-to-date, volgt de wetgeving op en spoort anderen aan zich te houden aan de gemaakte afspraken. Is dat een voltijdse functie? Zeker niet in alle ondernemingen.

 

7 – laat u niet afschrikken

De mogelijke boetes die aan de GDPR vasthangen, zijn niet van de poes: 20 miljoen euro of vier procent van de wereldwijde omzet. Dat is voldoende om elke onderneming koude rillingen te bezorgen. Nochtans ziet het er niet naar uit dat er op 25 mei meteen strenge controles zullen komen, zo blijkt ook uit uitspraken van de huidige voorzitter van de privacycommissie.

 

Of u dan heel die GDPR aan u voorbij kan laten gaan? Zeker niet. Elke ondernemer kan er maar beter rekening mee houden dat geëngageerde burgers GDPR zullen gebruiken om hun recht op privacy af te dwingen.

 

Wenst u meer details? Lees ook de gedetailleerde artikels in onze reeks over de strengere Europese privacywet.

1. het doel en toepassing van de strengere privacyregels

2. ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

3. moet ik een data protection officer aanstellen?

4. beheer(s) uw dataleveranciers en -verwerkers

5. hoge boetes bij gegevenslek of privacyinbreuk

6. wat als u data doorstuurt buiten de EU?