[vc_row css_animation=”” row_type=”row” use_row_as_full_screen_section=”no” type=”full_width” angled_section=”no” text_align=”left” background_image_as_pattern=”without_pattern”][vc_column][vc_column_text]Nog enkele weken en 25 mei is daar… De dag waarop de GDPR, ook wel de ‘General Data Protection Regulation’, officieel in werking treedt.
Tegen die datum moet elk bedrijf dat persoonsgegevens verzamelt, de nodige aanpassingen doorvoeren om de bestaande privacyreglementering te harmoniseren met het huidige digitale tijdperk en zich te wapenen tegen een mogelijke data-breach.
Maar wat betekenen deze ‘nodige’ aanpassingen concreet en hoe vertaalt dit zich voor de HR-sector?
GDPR in een notendop
Zoals reeds aangegeven, gaat de GDPR over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers.
Hierbij is het uitgangspunt dat je geen persoonsgegevens meer mag bewaren, behalve:
- Wanneer dit nodig is voor de uitvoering van een opdracht, dienst of job, én
- Je hiervoor uitdrukkelijk een schriftelijke goedkeuring hebt gekregen.
Met persoonsgegevens wordt trouwens alle informatie bedoeld waarmee iemand geïdentificeerd kan worden: een naam, adres, telefoonnummer, e-mailadres, foto, enzovoort.
De vier pijlers van de GDPR
Daarnaast gaat de GDPR nóg verder dan enkel en alleen deze bovenstaande zaken. Naast de uitdrukkelijke toestemming, zijn ook volgende vier pijlers vanaf 25 mei 2018 belangrijk indien je binnen jouw bedrijf persoonsgegevens verzamelt:
- The right to be forgotten: Bedrijven zijn verplicht om persoonsgegevens te wissen van zodra de persoon in kwestie hierachter vraagt–ook als de data inmiddels gedeeld is met derde partijen. Cruciale informatie, zoals facturatiedata, zijn een uitzondering op de regel en mogen wel bijgehouden worden.
- Transparantie: Je bent als bedrijf verplicht om je bezoekers en klanten te informeren over hoe je data verzamelt en verwerkt. Dit moet op een begrijpelijke manier gebeuren.
- Accountability: Elk bedrijf dient correct om te gaan met persoonsgegevens. Je dient dus voldoende maatregelen te nemen tegen het onrechtmatig verkrijgen van data of een data-breach.
- Data breach: Indien er zich toch een data-breach voordoet (bv. diefstal van laptop of data), dien je de privacycommissie binnen de 72 uur in te lichten en de slachtoffers persoonlijk te verwittigen.
GDPR vertaald naar HR-sector
Natuurlijk zijn deze pijlers zeer abstract wanneer je tot actie wil overgaan binnen jouw HR-departement.
Heb je dus geen idee waar te beginnen en heb je nood aan een aantal concrete voorbeelden uit de HR-sector? Gebruik dan onderstaande vragenlijst:
- Wat is je beleid om CV’s en portfolio’s vast te leggen en te beheren?
- Hoe toon je aan dat een kandidaat je toestemming heeft gegeven om bijvoorbeeld foto’s en een ID-bewijs bij te houden?
- Als je een kandidaat afwijst, hoe lang bewaar je dan zijn gegevens?
- Als je een kandidaat afwijst, doe je dan een overdracht van gegevens van recruitment naar HR, of bewaar je de data op beide plekken?
- Kun je voldoen aan een verzoek om salarisgegevens te verwijderen?
- Bent je in staat om gegevens te anonimiseren of van encryptie te voorzien?
- Heb je vertrouwelijke gegevens, zoals medische gegevens en kostenvergoedingen, beveiligd met (bijvoorbeeld) een persoonlijk wachtwoord zodat niemand anders deze gegevens kan bekomen?
- Heb je op je website een privacy-statement staan of op het werk een dossier liggen met een uitleg voor uw medewerkers en sollicitanten waar het doel en de wettelijke basis van de verwerking van deze persoonlijke gegevens wordt uitgelegd?
Let wel op: deze vragenlijst is niet limitatief. Bekijk dus met jouw HR-team of er naast deze vragen nog bijkomende zaken zijn die je GDPR-compliant moet maken.
Alvast veel succes gewenst![/vc_column_text][/vc_column][/vc_row]