Zes gevolgen van de nieuwe datawet

Het zal niemand ontgaan zijn dat er een nieuwe, strengere Europese datawet in werking zal treden. Wat moet HR doen?

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking ter vervanging van de Wet Bescherming Persoonsgegevens. Dit betekent een grote verandering in hoe organisaties persoonsgegevens en persoonlijke informatie mogen opslaan en gebruiken. En vanzelfsprekend heeft dit ook zijn weerslag op het HR-beleid van bedrijven. José Alberto Rodríguez Ruiz, Privacy Officer bij Cornerstone OnDemand, zet de zes belangrijkste gevolgen van de nieuwe wet voor HR op een rij.

Bewaren mag niet meer

Organisaties mogen persoonsgegevens onder de nieuwe regelgeving niet langer bewaren dan nodig. Bij een sollicitatieprocedure betekent dit bijvoorbeeld dat de gegevens van kandidaten die niet in dienst worden genomen, na het sluiten van de procedure verwijderd moeten worden – tenzij er toestemming is gegeven om ze te bewaren. Ook de gegevens van werknemers die afscheid nemen van een bedrijf (door ontslag of omdat ze een andere baan hebben gevonden) mogen nog maar een korte tijd na hun uitdiensttreding bewaard worden. Dit heeft gevolgen voor de offboarding-procedures binnen bedrijven. Het afvinklijstje met ‘inleveren werktelefoon’, ‘opzeggen lease-abonnement’ en ‘afgeven sleutel’ moet worden aangevuld met ‘werknemersdata verwijderen’.

Informatie moet doelgericht zijn

Werkgevers mogen (potentiële) werknemers alleen gegevens vragen die logischerwijs nodig zijn. Voor alle andere vormen van gegevensverzameling moet expliciet toestemming gevraagd worden. Een kritische blik op de huidige sollicitatieprocedure is daarom nodig; wordt er bijvoorbeeld om informatie gevraagd die niet per se nodig is om een goede afweging te maken? Maar ook de gegevens van huidige werknemers moeten met een duidelijk doel opgeslagen zijn. Bedrijven zijn gewend om generieke data van hun werknemers te vragen zoals burgerlijke status, aantal kinderen, bezit van rijbewijs, etc. Onder de nieuwe regelgeving zal het lastiger worden om te rechtvaardigheden waarom bepaalde data wordt gevraagd als deze niet direct nodig is om de carrière van de werknemer te begeleiden. Vanaf het moment dat wetten in werking treden, gelden de nieuwe regels – dus niet voor processen die in het verleden hebben plaatsgevonden. Maar voordat HR deze eerder opgeslagen data kan gebruiken moet de werknemer wel toestemming hebben gegeven. De nieuwe datawet heeft dus ook gevolgen voor de huidige opgeslagen gegevens. Bedrijven die al standaard om toestemming vroegen voor het bewaren of gebruik van gegevens, hebben daar nu voordeel van.

Transparantie bieden

Vanaf 25 mei 2018 zijn bedrijven eveneens verplicht om inzicht te kunnen geven in hoe en waar gegevens opgeslagen en verwerkt worden. Bij informatie waar toestemming van medewerkers voor is vereist, moet ook worden bijgehouden wanneer deze is gegeven. Deze toestemming is niet voor eeuwig, werknemers hebben het recht om hun toestemming in te trekken. Ook moet duidelijk zijn wie er toegang heeft tot welke gegevens. Om deze transparantie mogelijk te maken, moeten bedrijven hun huidige architectuur van opgeslagen gegevens kritisch onder de loep nemen. Voldoet de huidige manier van archiveren aan de strengere eisen, of moeten er processen veranderen? In het bijzonder zullen bedrijven documentatie en bewijs opbouwen van hoe ze aan de nieuwe regelgeving voldoen.

Data alleen gebruiken voor beoogde doel

HR-afdelingen worden niet alleen beperkt in de hoeveelheid gegevens die ze van werknemers of sollicitanten mogen vragen (zie het tweede punt), ze mogen deze informatie ook alleen maar gebruiken voor het doel waarvoor het opgevraagd is. Mits daar expliciet toestemming voor is gegeven. Dit heeft gevolgen voor het bijhouden van een talentpool of het bewaren van informatie van sollicitanten die tijdens een sollicitatieronde net buiten de boot zijn gevallen. Het zonder toestemming opslaan van persoonlijke contactgegevens voor mogelijk contact in de toekomst is met de nieuwe datawet niet langer toegestaan.

Gegevens bijhouden

Ook de verplichting om persoonlijke gegevens up-to-date te houden heeft gevolgen voor HR. Natuurlijk worden gegevenswijzigingen van personeel (verhuizingen, andere rekeningnummer, functiewijziging, et cetera) nu ook al bijgehouden. Maar hoe zit het bijvoorbeeld met functioneringsbeoordelingen? Worden er functioneringsgesprekken gehouden en zijn de verslagen hiervan centraal opgeslagen, of wordt er op een andere manier beoordeeld? Welke vorm er ook wordt gebruikt, HR moet ervoor zorgen dat de juiste tools beschikbaar zijn om de gegevens op een eenvoudige en inzichtelijke manier bij te houden.

Gegevensbescherming

Eén van de belangrijkste doelen van de nieuwe Europese datawet – het woord Protection zegt het al – is de bescherming van persoonsgegevens. Dit betekent dat data veilig moet worden opgeslagen, zodat cyberaanvallen of datalekken geen kans maken. Ook intern moet databeveiliging goed geregeld zijn: niet iedereen hoeft toegang te hebben tot allerlei vertrouwelijke informatie. Waardevolle bedrijfsgegevens hoeven niet automatisch even belangrijk te zijn voor werknemers. Ook hierin dient dus onderscheid te worden aangebracht. Een nauwe samenwerking met IT is noodzakelijk om de juiste balans te vinden tussen het intern beschikbaar maken van gegevens en tegelijkertijd het optimaal te beschermen tegen bedreigingen van buitenaf. Wanneer data extern wordt opgeslagen, bijvoorbeeld in de cloud, moeten ook deze externe partners voldoen aan de strengere eisen. Het kan zijn dat bedrijven hun huidige ecosysteem van aanbieders en hun garanties en contracten hierdoor moeten herzien.

Kom naar vele kennis- en netwerkeventen voor financials. Deel kennis en ervaringen, laat je bijpraten over de laatste ontwikkelingen en ontmoet vakgenoten.