Zoals we al eerder geschreven hebben zal de nieuwe Europese AVG (GDPR) wetgeving vanaf 25 mei 2018 van kracht zijn. Deze wetgeving moet ervoor zorgen dat in elk van de lidstaten van de Europese Unie de beveiliging van persoonsgegevens versterkt en verenigd wordt. Hierdoor zal iedereen uiteindelijk van de nieuwe wetgeving kunnen profiteren.
Voor veel organisaties is er echter nog behoorlijk wat werk aan de winkel om ervoor te zorgen dat zij de nieuwe wetgeving volledig kunnen naleven. Doordat er zware boetes staan op het niet volledig voldoen aan de AVG is het absoluut noodzakelijk om hier de nodige aandacht aan te besteden. Zeker voor kleinere bedrijven kan dit anders behoorlijk veel schade opleveren.
Natuurlijk is het ook zonder de dreiging van hoge boetes van belang om organisaties goed voor te bereiden op de aankomende veranderingen. Bedrijven die over up-to-date HR informatie beschikken en deze op het juiste moment aan de juiste personen beschikbaar kunnen stellen worden daar door het instituut voor beloond.
AVG vanuit een individueel oogpunt
In het kort eist de AVG wetgeving dat iedereen (werknemers, partners en klanten) het recht heeft op toegang tot hun eigen persoonlijke data en dat deze in een voor hen begrijpelijk formaat aangeboden kan worden. Verder heeft iedereen het recht om hun eigen persoonlijke data volledig en permanent vernietigd te laten worden, deze data naar een ander systeem overgeplaatst te laten worden, en om op de hoogte gesteld te worden van eventuele schendingen rondom de beveiliging van deze data.
Het voldoen aan deze wetgeving komt eigenlijk neer op de integriteit en beschikbaarheid van systemen waarin de HR data opgeslagen wordt. Elke organisatie zou moeten kunnen garanderen dat de persoonsgegevens opgeslagen zijn in een systeem dat vlekkeloos met andere systemen verbonden is. Deze gegevens moeten te allen tijde up-to-date zijn en slechts beschikbaar zijn voor de juiste mensen. Tot slot moeten alle organisaties kunnen voorzien in exports van deze data op het moment dat hiernaar wordt gevraagd.
De meeste payroll en HR systemen kunnen de veranderende eisen rondom HR data echter niet aan, en hebben zelfs moeite met het uitwisselen van data tussen verschillende systemen. Door een tekort aan veelzijdigheid in systemen creëren veel werknemers en organisaties steeds nieuwe documenten, of gebruiken zij meerdere systemen voor het opslaan van hun persoonsgegevens. Een tekort aan connectiviteit zorgt er tegelijkertijd voor dat er veel oude data op verschillende plaatsen opgeslagen blijft. In zulke gevallen is het praktische gezien bijna onmogelijk om individuen te voorzien van een overzicht van al hun persoonlijke informatie.
AVG vanuit een bedrijfsoogpunt
De AVG verdeelt de verantwoordelijkheid rondom databeheer tussen een controller (over het algemeen HR) en een processor (bijvoorbeeld een softwareleverancier). De controller is verantwoordelijk voor de toezichthouding op leveranciers en voorziet deze leveranciers daarnaast van gedocumenteerde instructies over de beste manieren om data te beheren.
De leverancier moet altijd kunnen garanderen dat data gecodeerd en veilig is wanneer deze verplaatst of opgeslagen wordt. Daarnaast is het van belang dat organisaties altijd een administratie bijhouden rondom het verwerken van data. Tot slot moeten organisaties een Data Protection Officer (DPO) benoemen die de naleving van de wetgeving monitort een aanstuurt. Doordat de lijst met eisen voor leveranciers echter vrij lang is, hebben veel bedrijven toch moeite met het naleven van de strikte veiligheidsprotocols en –maatregelen.
Wat is de volgende stap voor HR?
In mijn vorige blog post zinspeelde ik vooral op de positieve kanten van ADP: Organisaties zullen opnieuw moeten bekijken hoe data opgeslagen wordt en hoe deze veilig en soepel uitgewisseld kan worden tussen talrijke systemen. Het is een welkome verandering die hopelijk zal resulteren in het veiliger opslaan van persoonsgegevens in een verkleind aantal systemen. Naast een betere beveiliging zullen deze veranderingen hoogstwaarschijnlijk ook nog eens zorgen voor een vermindering in onderhoudswerk voor de HR.
Bekijk onze AVG-checklist voor advies op het gebied van HR
De eerste stap is natuurlijk het identificeren van alle locaties waarop data is opgeslagen, wat uiteraard makkelijker gezegd dan gedaan is. Dat is nou precies de reden is dat wij deze handige AVG-checklist in het leven hebben geroepen. Met deze checklist kunt u door middel van simpele vragen bekijken hoe de zaken er binnen uw HR afdeling voor staan.
Vervolgens is het van groot belang om ervan verzekerd te worden dat alle leveranciers de AVG wetgeving volledig naleven. Begin met het opsporen van alle partijen en ga met hen in gesprek over de aankomende veranderingen. Onderzoeken of deze leveranciers ISO gecertificeerd zijn is een goede manier om erachter te komen hoe goed zij zich voorbereid hebben op de toekomst.
Tot slot moet ervoor worden gezorgd dat de manieren waarop data beheerd wordt op de juiste manier gedefinieerd worden. Ook hierbij raad ik sterk aan onze AVG-checklist te raadplegen voor advies.
Dit is de tweede post in onze blogserie rondom de AVG waarin we de aankomende nieuwe wetgeving bespreken. Je kunt de volledige serie hier teruglezen.
