Logo
  • Nieuws
  • 15 mei 2018

AVG: 5 prangende vragen voor HR (én de antwoorden)

Wat is de impact van de AVG op persoonsgegevens in het e-mailverkeer binnen een organisatie? Heeft de AVG nog gevolgen voor de inrichting van HR Analytics? Op deze en drie andere prangende vragen krijgt u antwoord in dit artikel.

Beeld AVG: 5 prangende vragen voor HR (én de antwoorden)

De antwoorden komen van Robbert Woltering, Business Development Manager Digital Solutions Benelux bij Iron Mountain, specialist op het gebied van document- en informatiebeheer. Woltering is Certified International Privacy Manager, waardoor hij kan beoordelen of organisaties privacy compliant zijn.

Wat zijn in een notendop de belangrijkste veranderingen op privacygebied ten opzichte van de huidige regelgeving?
Echte veranderingen ten opzichte van de bestaande Wet bescherming persoonsgegevens zijn de volgende vijf:
1. Verplichte databeveiliging en meldplicht datalekken (nieuw)
2. Actieve toestemming van personen, in ‘Jip & Janneke taal’ (veel strenger)
3. Het recht om vergeten te worden, te weigeren, inzage en portabiliteit en bijvoorbeeld onderscheid van automated decision making (deels nieuw)
4. Doel en grondslag verzamelen gegevens (strenger)
5. Bedrijfskritische boetes; 20 miljoen of 4% van de globale omzet (veel strenger)

Waar moeten HR-professionals in de eerste plaats op letten om te kunnen voldoen aan de AVG?
In principe moet men vooral in controle zijn over informatie. Die controle moet je kunnen demonstreren, je moet zogenaamd organisatorisch en technisch aantonen dat je over controle beschikt. Inhoudelijk heeft dat betrekking op allerlei aspecten van informatie in beheer: hoeveel informatie bewaar je hoelang, weet waarom je iets verzamelt, bewaar het niet onnodig lang maar vernietig ook niet zomaar wat je hebt.

En welke risico’s loop je als organisatie wanneer je dit niet tijdig op orde hebt?
Dat is niet nog niet helemaal helder. Consensus heerst over het feit dat als je bezig bent en een plan hebt, je milder zal worden behandeld. Feit is ook dat de Autoriteit Persoonsgegevens niet genoeg mensen heeft om proactief te gaan controleren, maar ook dat biedt geen zekerheid. Je loopt wel echt een risico als je een data-lek gaat krijgen na 25 mei en je geen plan kan presenteren waarmee je in controle bent of zou komen. De verwachting is dat er in 2018 wel boetes uitgedeeld gaan worden, al is het maar om voorbeelden te stellen. Kortom, zorg dat de directie achter je staat met woord en daad, zorg dat je tenminste een plan hebt en dat hebt laten beoordelen, en zorg dat dat plan in uitvoer is op 25 mei.

Heeft de AVG nog gevolgen voor processen en beleid op het terrein van HR Analytics?
Ja, je moet specifieke toestemming hebben van de werknemer en een Data Protection Impact Assessment (DPIA) uitvoeren, omdat bij HR Analytics vaak automatische beslissingen worden genomen op basis van digitale persoonsgegevens. Pas ook op voor speciale of gevoelige gegevens.

Hoe moet je omgaan met persoonsgegevens die in je e-mail staan zoals cv’s, arbeidscontracten, screeningsrapporten et cetera?
Zorg dat je e-mails en aanhangsels met daarin persoonsgegevens opslaat in een daarvoor ingerichte digitale omgeving zoals een documentmanagementsysteem. En spreek een procedure af met je IT-ondersteuning dat deze mails in je mailbox na een afgesproken tijd worden vernietigd.

Iron Mountain (NYSE: IRM) is wereldleider op het gebied van informatiebeheer en archiefopslag. De diensten die Iron Mountain biedt op het gebied van papieren en digitale informatiestromen, doen de kosten, risico´s en inefficiënties van klanten drastisch dalen.

Producttips