In 5 stappen voldoen aan de data-privacywet

Als u niet zorgvuldig met persoonsgegevens omgaat, riskeert u binnenkort strenge boetes met de nieuwe privacywet. In vijf stappen kunt u eraan voldoen.

Aanstaande 25 mei gaat de General Data Protection Regulation (GDPR) in heel Europa van kracht. Hoewel dit al twee jaar bekend is, hebben nog steeds een hele hoop organisaties hun processen niet op orde. Met deze vijf stappen (de vijf P's) heeft u rondom medewerkersgegevens de basis voor elkaar. 

1 – Protocol

Bewustwording van het belang van dataveiligheid begint aan de bestuurstafel. Overtuig de directie van de noodzaak de huidige manier van werken tegen het licht te houden. De consequenties van het overtreden van de regels kunnen helpen om een sense of urgency op te roepen: eventuele boetes kunnen oplopen tot 20 miljoen euro.

Houd een eerste inventarisatie met alle betrokken partijen, op initiatief van de directie of het MT. Weten we welke persoonsgegevens er beheerd worden? Is de noodzaak daarvan duidelijk? Zijn we bijvoorbeeld juridisch verplicht om deze informatie te verzamelen?

De persoonlijke data mogen ook alleen gebruikt worden voor specifieke doelen, en niet voor andere zaken. En het verzamelen van data moet evenredig zijn: er mag niet méér informatie worden verzameld dan nodig is voor de originele doeleinden.

Ontwikkel vervolgens, in een interne dialoog, een algemene richtlijn en filosofie over de manier waarop uw organisatie met persoonsgegevens omgaat. Zet daar dan een algemeen protocol over op papier. Wat voor organisatie zijn wij, hoe bewaken we technisch en organisatorisch de veiligheid van de IT in het algemeen en die van persoonsgegevens in het bijzonder?

Véronique Bourée, director customer success: “Tot welk niveau je aansprakelijk bent hangt ervan af of je een bewerker bent of een verantwoordelijke. Als je in HR of Talentmanagement werkt, ben je juridisch gezien meestal één van de twee. Een werkgever die gegevens van medewerkers via een HR-systeem beheert, is bijvoorbeeld de verantwoordelijke van die gegevens.”

2 – Personeel

Zoals bij elke nieuwe uitdaging hangt het succes af van de mensen die hun schouders er onder zetten. Identificeer de belangrijkste taken en de bijbehorende aanjagers binnen uw organisatie. Volgens de GDPR zijn sommige organisaties, afhankelijk bijvoorbeeld van de gevoeligheid van de gebruikte persoonsgegevens, ook verplicht om een Data Privacy Officer aan te wijzen. Dit moet in elk geval iemand zijn met een juridische achtergrond.

Het kan handig zijn om een ‘privacyraad’ samen te stellen waarin de belangrijkste afdelingen vertegenwoordigd zijn die met persoonsgegevens omgaan. Zoals IT, HR, R&D en Marketing & Communicatie. Met zo’n raad zorgt u ervoor dat iedereen dezelfde termen gebruikt, dat iedereen weet waarom veiligheid van persoonsgegevens belangrijk is en dat iedereen dezelfde aanpak volgt.
 

Wat is de GDPR-wet?
De General Data Protection Regulation (GDPR) is de Engelse naam voor wat in Nederland de Algemene Verordening Gegevensbescherming (AVG) heet. De GDPR is vanaf 25 mei in heel Europa van toepassing. Dit betekent dat er vanaf deze datum in de hele Europese Unie dezelfde privacywetgeving van kracht is. De oude Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De GDPR zorgt onder andere voor versterking en uitbreiding van de privacyrechten van individuen. Ook worden organisaties verplicht om zeer zorgvuldig met persoonsgegevens om te gaan. Het sanctiebeleid voor organisaties die op dit gebied in gebreke blijven, is aangescherpt. Persoonsgegevens zijn, tenslotte, alle data die aan een bepaald persoon kunnen worden gekoppeld. Van naam, foto, mailadres en IP-adres tot medische gegevens en een eventueel strafblad.

Véronique Bourée, director customer success bij Talentsoft:“Hoe persoonlijker de informatie, hoe gevoeliger, en hoe meer verantwoordelijkheid en restricties erbij komen kijken. De beste oplossing is zo min mogelijk persoonlijke gegevens gebruiken, maar in een Talentmanagement- en HR-omgeving is dat een behoorlijke uitdaging. Dataprivacy gaat alle medewerkers aan, niet alleen IT of HR. Een doorlopend bewustwordingsprogramma voor het hele bedrijf is sterk aan te raden.”

 

3 – Proces

Maak een helder overzicht van de verschillende soorten data die in de organisatie omgaan. Waar komen ze vandaan, waar zijn ze voor bedoeld en met wie worden deze gegevens gedeeld? Stel vervolgens een proces met procedures op. Wat kan er mis gaan met deze persoonsdata? En áls er iets mis gaat, wat doen we dan? Een duidelijk proces zorgt ervoor dat iedereen het hoofd koel houdt en als een team handelt. Het voorkomt paniek.

4 – Product

Als u het verwerken van persoonsdata aan externe partijen uitbesteedt, zoals softwarebedrijven, moet u een databewerkingsovereenkomst met ze sluiten. Als die er al is, moet u checken of deze overeenkomst voldoet aan de nieuwe eisen. Geef de voorkeur aan gecertificeerde bedrijven (ISO 27001 JSAE) en zorg voor dataportabiliteit.

5 – Programma

Zet een doorlopend programma op voor opleiden, oefenen en  het verbeteren van de dataveiligheid binnen uw organisatie. Dit onderwerp gaat alle medewerkers aan, niet alleen IT of HR. Iedereen in de organisatie moet weten over welk soort informatie hij of zij beschikt, en tot op welke hoogte hij persoonlijk verantwoordelijk is bij het gebruik van privacygevoelige gegevens.

Het programma waarborgt de continuïteit van de dataveiligheid. In het ideale geval krijgt de directie ook een periodiek verslag van de stand van zaken binnen dit programma.

Meer weten over de voorbereidingen die HR moet treffen om aan de GDPR te voldoen? Download hier de gratis GDPR-whitepaper van Talentsoft.