Mijn rol als HR directeur en GDPR

Overal in onze organisatie staan privacygevoelige gegevens van onze medewerkers, maar vooral bij de HR-afdeling. Daarom neem ik het voortouw op weg naar compliancy richtlijnen die verbonden zijn aan de General Data Proctection Regulation (GDPR).

Het is je vast niet ontgaan dat op 25 mei 2018 de strengere privacywet is ingegaan. GDPR regelt hoe organisaties met persoonlijke data het best omgaan . Wij merken dat veel bedrijven denken dat ze compliant worden door met IT-oplossingen data van hun klanten beter te beschermen. Het gaat echter ook om de informatie van je eigen medewerkers. Een grote taak is daarom weggelegd voor de HR-afdeling.

Veel soorten data zijn privacygevoelig

De persoonsgegevens die beter beschermd moeten worden, zijn alle vormen van informatie die naar een persoon kunnen leiden. Zoals NAW-gegevens (naam, adres en woonplaats), maar ook de digitale gebruikersnamen en IP-adressen. Bij alle informatie die je verwerkt, moet je je dus afvragen of de data herleidbaar zijn naar een individueel persoon. Dit soort informatie moet bijvoorbeeld na een sollicitatieprocedure of uitdiensttreding worden vernietigd.

Processen opnieuw tegen het licht

Dit betekent dat er behoorlijk wat werk aan de winkel is. Alle systemen moeten zo zijn ingericht dat digitale én papieren informatie ook echt verdwenen zijn. Iedereen heeft namelijk het recht om vergeten te worden en het recht om zijn gegevens in te zien, mee te nemen en te wijzigen. Dat is gemakkelijker gezegd dan gedaan omdat processen daar nog niet op zijn ingericht. Tegelijk zijn de meeste organisatie (nog) niet volledig digitaal, terwijl papieren en dossiers ook met terugwerkende kracht vernietigd moeten worden of worden omgezet in een digitale vorm. Als organisaties wel volledig papierloos werken, is het vernietigen van alle informatie niet gemakkelijk.

Veel data staat extern

Zo worden mails met sollicitatiebrieven rondgestuurd naar allerlei personen in de organisatie. Hoe zorg je ervoor dat deze mails verwijderd worden, wanneer de sollicitatieprocedure is geëindigd? Daarnaast zijn veel van dit soort processen uitbesteed en staat dit soort data niet intern. Onze payroll-organisatie staat bijvoorbeeld in Praag en de HR-helpdesk draait in India. Informatie uitwisseling tussen Microsoft en bijvoorbeeld pensioenfondsen, het UWV en arbo-organisaties betreffende onze medewerkers zijn meer dan een punt van aandacht.

Compliancy is vooral mensenwerk

Wij zien dat 30 procent van GDPR-compliance wordt opgelost met techniek, het overgrote deel is mensenwerk. Regelmatig zal de IT- met de HR-afdeling en de security specialist aan tafel moeten zitten om te analyseren of alles nog compliant verloopt. Daarnaast moeten medewerkers die in aanraking komen met tot personen herleidbare informatie getraind worden. Met één training ben je er niet. Hiervoor is een continu proces nodig, waardoor je huidige en nieuwe personeel up-to-date blijft met de wetgeving en de processen.

Wij helpen je op weg naar compliancy

Deze handige hupmiddelen kunnen jou ook sneller op weg helpen naar GDPR-compliancy. Zo is er een Assessment Tool. Daarmee kun je inzicht krijgen hoever de organisatie is met de voorbereiding op GDPR. Dat is goed nieuws voor de HR-afdeling, de organisatie en zeker niet in de laatste plaats voor je werknemers.