Winkelmand

Geen producten in je winkelwagen.

HR-afdelingen weten niet wat ze aan moeten met nieuwe privacyregels

Vanaf 25 mei moeten bedrijven voldoen aan de nieuwe, strengere Europese privacywetgeving. HR-afdelingen zijn er nog lang niet altijd op voorbereid, ziet Dik van Leeuwerden, bij ADP Nederland verantwoordelijk voor alle kennis rondom wet- en regelgeving.

De nieuwe regels geven consumenten een veel betere bescherming van hun eigen data. Zo moeten bedrijven expliciet toegang vragen tot data van personen of om derde partijen toegang te geven tot deze data. Bovendien hebben mensen ‘het recht vergeten te worden’, oftewel, ze mogen eisen dat al hun persoonlijke gegevens uit de bestanden – en back-ups! – van een bedrijf worden gewist. Uit onderzoek van security-organisatie ESET blijkt dat 61 procent van de bedrijven de impact van de nieuwe wet- en regelgeving niet kan inschatten. En dan hebben we het nog niet eens over de impact op netwerkorganisaties, organisaties die vaak gegevens met elkaar delen. Wat moet je regelen en wie is er aansprakelijk op het moment dat er onverhoopt toch gevoelige data gelekt wordt? Mensen, processen en technologie Harm van Koppen is Distribution Channel Manager bij security-leverancier Sophos. Om het complexe vraagstuk van de GDPR behapbaar te maken, richt hij zich op drie thema’s: mensen, processen en technologie. ‘De veiligheid van gegevens valt of staat met de mensen die ermee bezig zijn. Het is belangrijk dat zij zich bewust zijn van de consequenties op het moment dat ze onverschillig met gevoelige data omgaan. Bewustwording is dus een heel belangrijk onderdeel in het proces om je netwerkorganisatie ‘GDPR-proof’ te maken. Je kunt met technologie veel afdekken, maar je voorkomt er niet mee dat een werknemer een foto maakt van een beeldscherm waarop privacygevoelige informatie staat.’ Netwerkbedrijven doen er goed aan om hun processen kritisch te bekijken en te definiëren waar de beveiliging strakker moet en waar het minder noodzakelijk is. Met een voorbeeld van een woningbouworganisatie legt Harm van Koppen de processen uit. ‘Een aanvraag voor een nieuwe keuken is een proces waar weinig privacygevoelige gegevens aan te pas komen. Maar bij de aanvraag voor huursubsidie zijn persoonlijke en financiële gegevens gemoeid. Classificeer de verschillende processen en de verschillende soorten informatie om zo de juiste processen te beveiligen.’ Risico’s van de cloud Netwerkorganisaties werken graag samen in de cloud. Hoe veilig is dat? Van Koppen: ‘Leveranciers van clouddiensten zijn zich steeds meer bewust dat de security op orde moet zijn, maar ik vermoed dat veel gebruikers dat besef nog niet hebben. Beveiliging wordt nog te vaak gezien als sluitpost. Organisaties kiezen voor de cloud vanwege bepaalde bedrijfsprocessen en security werkt in hun beleving dan vertragend en verstorend, maar de nieuwe Europese wetgeving heeft daar heel andere ideeën over.’ Op het moment dat twee organisaties samenwerken in de cloud en het ene bedrijf gevoelige data zonder toestemming van de eigenaar op een Dropbox-account of andere clouddienst zet waar de andere onderneming toegang tot heeft, is dat bedrijf na 25 mei 2018 – het moment dat de GDPR in werking treedt – aansprakelijk voor het lekken van informatie. De gevolgen kunnen fors zijn; de boetes onder de nieuwe wetgeving kunnen oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Complex en verstrekkend Om te voorkomen dat het na inwerkingtreding van de GDPR volgend jaar fout gaat, moeten netwerkbedrijven nu al nadenken over hoe ze hun medewerkers bewustmaken van de manier waarop ze met privacygevoelige gegevens moeten omgaan. Bovendien moet kritisch worden bekeken welke processen extra beveiligd moeten worden en welke technologie daarvoor beschikbaar is. ‘Het is een complexe wetgeving met verstrekkende gevolgen’, stelt Van Koppen. ‘Er zitten veel haken en ogen aan, dus ik adviseer ieder management team om zich zo snel mogelijk te verdiepen in wat het voor jouw bedrijf betekent.’ Om snel te kunnen zien of bedrijven voldoen aan de nieuwe Europese richtlijnen zijn er verschillende ‘GDPR compliance checks’ beschikbaar. Zoals bijvoorbeeld die van Sophos: https://www.sophos.com/en-us/lp/compliancecheck.aspx en die van ESET: https://www.eset.com/nl/zakelijk/gdpr-compliance-checker/.
Getty Images
Je leest nu: HR-afdelingen weten niet wat ze aan moeten met nieuwe privacyregels

Op 25 mei is hij van kracht: de General Data Protection Regulation (GDPR), of in het Nederlands Algemene verordening gegevensbescherming (AVG). In het kort is het Europese regelgeving die bepaalt hoe bedrijven met persoonsgegevens mogen en moeten omgaan.

De afgelopen maanden gaf Dik van Leeuwerden bij HR- en salarisdienstverlener ADP verschillende kennissessies over GDPR voor HR-managers en HR-experts. Stuk voor stuk zaten ze volgeboekt. Enkele weken voordat de wet ingaat heeft het merendeel nog geen idee over hoe ze moeten omgaan met de GDPR.

Eerst maar even de basis over GDPR. ‘Er zijn twee belangrijke verschillen met de huidige wet bescherming persoonsgegevens’, zegt Van Leeuwerden. ‘Per 25 mei hebben bedrijven vóóraf een informatieplicht, en een documentatieplicht. Vooraf moeten ze de zogenoemde betrokkene informeren welk gegevens worden verwerkt, waarom, op welke grondslag, hoe lang ze worden bewaard. Daar heeft betrokkene recht op.’ Ter illustratie: nieuwe medewerkers worden bij indiensttreding doorgaans standaard gevraagd om NAW-gegevens. Vanaf 25 mei moet een werkgever vooraf motiveren met welk doel hij die vraagt en met wie hij ze deelt.

‘Het tweede dat verandert is dat de autoriteit persoonsgegevens niet meer alleen kan waarschuwen, maar de juridische mogelijkheid heeft om overtredingen te beboeten. Die boete kan oplopen tot maximaal 20 miljoen of 4% van de wereldwijde jaaromzet. Voor veel bedrijven, zeker internationaal opererende, is dat zeker een trigger om de wet serieus te nemen’, voegt hij eraan toe.

Implicaties

‘Het sleutelwoord voor bedrijven is bewustwording’, zegt Van Leeuwerden. ‘HR-afdelingen moeten zich bewust zijn van de informatieplicht en goed inventariseren: wat hebben we, hebben we er recht op, bewaren we het niet te lang enzovoort.’ Een arbeidsintensieve klus. ‘In seminars adviseer ik bedrijven dat dit niet specifiek een aangelegenheid is voor HR of finance; je moet dit in het hele bedrijf oppakken. Het gaat om werknemers, klanten, prospects, leveranciers.’

Waar HR-afdelingen volgens hem tegenaan lopen is dat niet alle maatregelen om privacy te beschermen concreet worden beschreven in de regelgeving. ‘HR-, en zeker salarismensen, willen graag concrete richtlijnen en termijnen, bijvoorbeeld dat je iets zeven jaar moet bewaren voor de belastingdienst. De GDPR zegt: je mag de gegevens ‘niet langer bewaren dan nodig voor beoogd doel’. Wat betekent dat? En wat doe je bijvoorbeeld met verslagen van beoordelings- en functioneringsgesprekken?’

Een ander knelpunt in de wetgeving is het verbod op het verwerken van gegevens omtrent gezondheid, tegenover de re-integratieverplichting die de werkgever ook heeft.

Smoelenboeken

Verder heeft de GDPR effect op heel praktische zaken die je makkelijk over het hoofd ziet. Van Leeuwerden somt op: ‘Smoelenboeken, afbeeldingen op websites, foto’s op beeldschermen in het bedrijf, data op verjaardagskalenders, allemaal van dat soort dingen.

Ik stel in kennissessies wel eens de vraag: ben je vandaag al met privacyonderwerpen in aanraking geweest? Dan antwoorden ze van niet, maar drie minuten ervoor hebben ze een presentielijst getekend, ze hebben op weg naar de sessie toe ingecheckt voor het ov of reden langs camera’s boven de rijksweg, ze browsen op hun telefoon waar data met providers wordt gedeeld. Daarom zei ik: bewustwording is een sleutelwoord.’

Burgers hebben met de GDPR het ‘recht om vergeten te worden’. Als de burger zijn toestemming intrekt, moet de verwerker daaraan meewerken en de gegevens verwijderen. Voor bedrijven onderling heeft dat recht om vergeten te worden met een omweg nog een consequentie.

‘Als een bedrijf zijn contract bij een ander bedrijf opzegt, moeten alle gerelateerde gegevens na een bepaalde tijd verwijderd worden, tenzij ze er een aparte overeenkomst voor ondertekenen. Het ‘beoogde doel’ is immers voorbij. Dat betekent dus ook dat die data verdwenen zijn als het bedrijf dat klant was die later nog nodig heeft, of bijvoorbeeld opnieuw klant wordt.’

Voorbereiden

Bedrijven moeten zich in aanloop naar 25 mei gaan voorbereiden, zegt Van Leeuwerden, en een projectgroep gaan vormen. ‘Denk na over: wat voor gegevens zijn er, wat mogen we verzamelen, hoe gaan we ermee om qua bewaartermijn en beveiliging. Neem in het arbeidsregelement een hoofdstukje privacy of persoonsbescherming op.

En erg belangrijk: laat vast weten in je organisatie dat je ermee bezig bent. Op het moment dat de overheid meer gaat communiceren naar burgers dat ze meer rechten inzake hun privacy krijgen, komen er al mensen naar je toe met vragen of verzoek om hun gegevens te verwijderen, dat is altijd zo. HR-professionals weten vaak zelf al wel welke werknemers dan als eerste aan hun bureau staan om duidelijkheid over hun rechten te vragen. Communiceer intern zo vroeg mogelijk, zodat medewerkers voorbereid zijn en weten dat je ermee bezig bent. En bedrijfsbreed dus, niet alleen HR.’