Waar je je op internet ook begeeft, iedereen heeft het over de Algemene Verordening Gegevensbescherming (GDPR). Je inbox zit vol met e-mails van bedrijven die toestemming vragen om je nieuwsbrieven te mogen blijven sturen, het onderwerp is in diverse vergaderingen besproken en nieuwssites besteden er aandacht aan: GDPR is overal.
Hoe goed ben je voorbereid?
GDPR is van kracht. De verordening bouwt voort op bestaande regelgeving voor gegevens-bescherming en legt strengere regels op aan bedrijven.
Vanaf dit moment, is de HR-afdeling verantwoordelijk voor alle persoonlijke gegevens die van sollicitanten en werknemers worden verzameld.
Organisaties die niet aan GDPR voldoen, lopen het risico flinke boetes opgelegd te krijgen (al zal dat vlak na de invoering waarschijnlijk nog meevallen). De positieve kant van GDPR is dat het ervoor zorgt dat je alleen data opslaat die je nodig hebt en mag bewaren. Bedrijven worden daardoor gedwongen om op een verantwoorde manier met hun data om te gaan. Ik geef graag een aantal tips voor HR-professionals om last-minute de organisatie GDPR compliant te maken.
1. Voer een data audit uit
Beoordeel de processen en de gegevens die worden verzameld en kijk goed hoe met alle gegevens wordt omgegaan. Een van de belangrijkste elementen op weg naar GDPR-compliance is hoe persoonlijke gegevens via e-mail worden gedeeld en opgeslagen. Een CV bevat bijvoorbeeld iemands persoonlijke gegevens, wordt vaak met meerdere werknemers gedeeld en na afloop van een sollicitatieprocedure worden deze gegevens niet altijd verwijderd. Er is in dit geval niet op de juiste manier omgegaan met de persoonlijke informatie van een kandidaat.
Kijk ook kritisch naar alle gegevens die automatisch worden verzameld. HR is verantwoordelijk voor geautomatiseerde processen en de daaruit voortvloeiende acties.
2. Check je partners
Als er gegevens worden opgeslagen en verwerkt door partners, controleer dan of deze GDPR-compatibel zijn. De meeste datalekken zijn immers te wijten aan een zwakte in het ecosysteem van partners van de organisatie.
3. Zet GDPR op je checklist
Zet bij ieder nieuw procesontwerp GDPR op de checklist. Begin met de gegevens, niet het proces, en bepaal of het verzamelen en bewaren van de gegevens gerechtvaardigd is. Bekijk vervolgens welke processen gebruikmaken van rechtvaardig opgeslagen gegevens en neem de privacy-vereisten en de gebruikersrechten op in die processen.
4. Wees transparant
Bedrijven moeten volledig transparant zijn over waar werknemersgegevens worden opgeslagen en hoe deze worden verwerkt, zodat duidelijk is wie toegang heeft tot welke gegevens. Zodra de datasets zijn opgeschoond en de processen beoordeeld en aangepast moet je compliance bewezen worden. Dit is het aansprakelijkheidsbeginsel en uit zich in zowel het documenteren van alle gegevens (en hoe ze voldoen aan het principe van gegevens-minimalisatie), als het documenteren van de processen (en hoe privacy-voorwaarden zijn geïmplementeerd en gebruikers gebruik kunnen maken van hun rechten).
GDPR en compliance
GDPR heeft veel mensen laten schrikken, het is een complexe regelgeving en voor bedrijven die met heel veel data werken vereist compliance de nodige voorbereiding. Maar het is nooit te laat om te beginnen. Omring je met experts en laat ze je uitleggen wat de impact van de GDPR zal zijn. Compliance is een proces van gegevensbescherming, een cultuur; eenmaal op zijn plaats is het een zeer krachtige en effectieve tool.
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>