1 week GDPR - Welke impact heeft GDPR op jouw HR-beleid?

Latest news

Sinds 25 mei is er veel veranderd inzake het gebruik van onze persoonlijke gegevens als Europese burgers. Uit een enquête van HR-dienstverlener Acerta blijkt dat slechts 48% van de HR-departementen de nodige maatregelen heeft genomen om in overeenstemming te zijn met de strengere regels. De meerderheid heeft dus nog een hoop werk voor de boeg om helemaal in orde te zijn én te blijven. Met deze checklist brengen we je up-to-speed.

Stap 1: Breng je data in kaart

Vanaf 25 mei moet je als bedrijf een register bijhouden van de persoonsgegevens die je bewaart. Binnen Human Resources denken we hierbij vooral aan gegevens over personeelsleden, sollicitanten of leveranciers. Stel jezelf de volgende vragen om zicht te krijgen op je data-instroom:

  • Van wie hou je persoonsgegevens bij? 
  • Welke categorieën van persoonsgegevens hou je bij?
  • Vanwaar komen deze persoonsgegevens?
  • Waar sla je deze persoonsgegevens op? 
  • Wie heeft er toegang tot deze databank? 
  • Worden deze persoonsgegevens gedeeld of overgedragen aan een andere onderneming (binnen of buiten de EU)?
  • Waarom hou je de gegevens bij?

De GDPR-regels stellen dat je enkel persoonsgegevens mag bijhouden zolang je ze nodig hebt. Een goed voorbeeld hierbij zijn de cv’s van niet weerhouden sollicitanten. Hierop staan persoonlijke gegevens die na de rekruteringsprocedure niet meer noodzakelijk zijn voor je bedrijf en dus dienen te worden gewist .

Stap 2: Bepaal een wettelijke grondslag voor het verwerken van persoonsgegevens

‘Zonder bepaalde persoonlijke data kan ik toch geen lonen uitbetalen of de sociale zekerheid in orde brengen?’ Geen paniek, GDPR maakt het mogelijk voor ondernemingen om gegevens te verwerken als dat nodig is, bijvoorbeeld in het kader van een arbeidsovereenkomst. Ga daarom na welke types van gegevensverwerking je uitvoert en op basis van welke wettelijke grondslag je persoonsgegevens verwerkt:

  • bv. indien een klant iets bestelt en u moet dit leveren, dan mag u uiteraard het adres van die persoon verwerken.
  • bv. indien een klant online betaalt, dan mag u uiteraard de kredietkaartgegevens verwerken om betaling te bekomen.

Stap 3: Vraag je op een correcte manier toestemming?

Toestemming vragen is een cruciale voorwaarde bij GDPR. Bedrijven mogen immers enkel persoonsgegevens gebruiken voor de reden waarvoor ze werden opgevraagd. In HR-termen betekent dit dat werknemers er expliciet mee moeten instemmen dat hun werkgever hun persoonlijke data gebruikt.. De toestemming moet volgens de GDPR-regels ‘specifiek, geïnformeerd en ondubbelzinnig’ zijn. 

Check dit hier voor je onderneming:

  • Ik voorzie bij de toestemming een vrijwillige keuze; waarbij de betrokkene uitdrukkelijk kan instemmen (een ‘opt-in’).
  • Ik licht de betrokkene duidelijk in voor wat en voor welke doeleinden toestemming wordt
    gegeven (cfr. recht op informatie).
  • Ik leid geen toestemming af uit een stilzwijgen, een vooraf aangevinkt vakje of uit een ‘niet handelen.
  • Ik voorzie de mogelijkheid dat de betrokkene ten allen tijde zijn toestemming kan
    intrekken. Het intrekken van de toestemming is even eenvoudig als het geven van de
    toestemming, bv. duidelijk weergeven van uitschrijfmogelijkheden.

Belangrijk is ook dat de toestemming steeds controleerbaar moet zijn. Dat wil zeggen dat je moet kunnen aantonen wie, wanneer en hoe er toestemming werd gegeven. Voor toestemmingen uit het verleden hoef je geen nieuwe toestemming te vragen wanneer ze voldoen aan de nieuwe eisen. Zoniet, moet je opnieuw op correcte wijze toestemming vragen.

Stap 4: Rapporteer je datalekken

Een van de grootste redenen waarom GDPR is ingevoerd is zonder twijfel de grote toename van hacking en cyber-aanvallen. Beleidsmakers willen zich er namelijk van verzekeren dat bedrijven genoeg moeite doen om hun eigen data en dat van hun werknemers te beschermen. 

Daarom vraagt GDPR om bijvoorbeeld je kleine datalekken (vb. geopende laptop onbewaakt achterlaten) te noteren in een datalek-register. Bij een groot datalek (vb. Diefstal van bankgegevens) moet je de Privacycommissie en de getroffen medewerkers binnen 72u te verwittigen. 

Stap 5: Heb je een Data Protection Officer (DPO) nodig?

Het aanstellen van een DPO is volledig nieuw. Sommige ondernemingen zullen een DPO, een soort preventieadviseur voor privacy, moeten aanstellen. Het is een persoon met zowel deskundige als praktische kennis inzake privacy, die de onderneming dient bij te staan bij het toezicht op de interne naleving van de GDPR.

Wanneer moet je een DPO aanstellen?
Dit is afhankelijk van de situatie. Er zijn twee situaties waarin de GDPR de aanstelling van een DPO verplicht aan ondernemingen:

  • Je bent hoofdzakelijk belast met het verwerken van gevoelige gegevens (vb. ras, politiek opvatting, religie, geaardheid en gezondheid).
  • Je bent hoofdzakelijk belast met het verwerken van persoonsgegevens die regelmatige en stelselmatige observatie op grote schaal eisen. In de HR- sector is dit vaak van toepassing.

Wie stel je aan als DPO?

  • Een bestaande werknemer met voldoende kennis inzake privacy. De professionele taken van de werknemer moeten combineerbaar zijn met de taken van een DPO.
  • Een externe DPO, bv. een consultant, die deze taak enkele uren per week / maand uitvoert.

Stap 6: Controleer je partners en leveranciers

Gegevens blijven niet binnen de muren van je onderneming. Je slaat ze op in de cloud en verstuurt ze naar leveranciers. Breng daarom ook in kaart met wie je samenwerkt en in welke mate zij toegang hebben tot jouw data. Zorg bovendien dat de contracten die je met partners afsluit de correcte voorwaarden bevatten omtrent gegevensbescherming.

Stap 7: Laat je niet afschrikken

De boetes die je kan krijgen wanneer je de GDPR-regels niet respecteert zijn torenhoog: maximaal 20 miljoen euro of vier procent van je wereldwijde omzet. Toch ziet het er niet naar uit dat er vanaf 25 mei direct strenge controles zullen komen - zo blijkt ook uit uitspraken van de voorzitter van de privacycommissie. Zolang je deze tips volgt heb je als bedrijf weinig te vrezen.

Philippe Demeyer

Met meer dan 25 jaar ervaring in zowel HR als marketing, is Philippe gespecialiseerd in Brand Experience. Daarin maakt hij de combinatie tussen customer en employee experience. Hij gelooft sterkt in digitale innovatie en big data en streeft ernaar om de emotionele ervaring en technologie samen te brengen. Als brand experience partner neemt Philippe de strategische uitdaging aan om het talent bij Comma Group tot zijn volle potentieel te brengen en tegelijk de business te boosten.