Voorkom boetes met de HR checklist AVG/GDPR

De AVG/GDPR is echt

De AVG, Algemene Verordening Gegevensbescherming, wat de Nederlandse vertaling is van GDPR, General Data Protection Regulation, wordt sinds mei 2018 'gehandhaafd'. De uitdaging voor een overheid met wetten en regels is precies dat, de handhaving, en dat wordt voor de GDPR dus wél gedaan. Tot nu toe leverde dat in Nederland 3 boetes, voor Uber (€600.000), de Nationale Politie (€40.000) en Theodoor Gilissen Bankiers (€48.000) op. Hier een actueel overzicht van rechtszaken en boetes in Nederland, België, Frankrijk en Groot-Brittanië. 

GDPR geld ook voor individuen!

Het lijstje met boetes in dat overzicht is interessant omdat blijkt dat de regels niet alleen op organisatie niveau worden gehandhaafd, maar ook op individueel niveau. Zo kregen een verpleegster, die onterecht medische dossiers inkeek, en een schooldirecteur, die een lijst met student contactgegevens meenam naar zijn nieuwe school, ook boetes.

Dit soort voorbeelden maken zo'n GDPR heel persoonlijk. Meenemen van klantgegevens van de oude werkgever door een verkoper naar een nieuwe werkgever kan dus door de oude werkgever OF die klanten nog meer dan vroeger worden aangepakt. Als je zeker wilt zijn dat je op orde bent lees dan deze, niet uitputtende, checklist met GDPR acties voor HR en intermediairs om af te vinken.

Voorbeeld van bewustwording campagne bij VRT

Rollen, vastlegging en communicatie

1. Voor de GDPR is er geen onderscheid tussen vast en flex. Dus dit stuk gaat niet alleen over de interne medewerkers, maar ook alle vormen van flexwerkers die bij jullie organisatie werken en waar in enige vorm gegevens van verwerkt worden. We spreken hierin verder over werkenden.
2. Wie bewaakt intern de handhaving van de GDPR?
   • Op organisatie niveau is er een FG, Functionaris voor de Gegevensbescherming (of DPO, Data Protection Officer).
     • Dit is alleen nodig bij grootschalige gegevensverwerking waarbij het opslaan en bewerken van persoonsgegevens tot de kernactiviteiten behoort, zoals in een ziekenhuis.
   • Bij HR, is er een rol als ‘HR functionaris voor de gegevensverwerking’ als aanspreekpunt binnen HR.
3. Is er een DPIA (Data Protection Impact Assessment) uitgevoerd en vastgelegd?
   • Voor een B2B organisatie is dit normaal gesproken niet nodig voor de medewerkers kant, want de verplichting zit primair bij het verwerken particuliere klantgegevens in B2C. Tenzij bijvoorbeeld structureel camerabeelden van/met medewerkers worden opgeslagen.
   • Lukt het niet om risico’s uit de DPIA weg te poetsen middels IT- of procedurele maatregelen dan is melding bij de AP (Autoriteit Persoonsgegevens) verplicht. Is dat gebeurd?
4. Is er een ‘Privacy beleid en uitvoering’ document opgesteld,waarin alle acties worden gedocumenteerd voor eigen gebruik en voor bewijsvoering naar controlerende instanties
   • Inclusief een ‘Verwerkingsregister’ (bij >250 werkenden) met uitleg over gegevens verwerking
5. Is er een Privacy statement bijgewerkt met alle relevante uitgangspunten en rechten van de persoon, inclusief naam en e-mail adres van de FG plus namen van onderliggende data processors.
6. Heb je een HR lijst met “bij te houden persoonsgegevens” opgesteld, zodat voor iedereen intern helder is wat er bij jullie organisatie wel en niet onder valt en hoe HR met persoonsgegevens omgaat. Dit is alleen een praktisch, niet verplicht, onderscheid wat de bewustwording helpt.
   • Ga uit van ‘privacy by default’ wat inhoudt dat je in iedere applicatie met werkenden gegevens alleen de minimum persoonsgegevens opslaat en bewerkt. Gebruik het volgende onderscheid daarbij;
   • Onderscheid in ‘vertrouwelijk’ en ‘strikt vertrouwelijk’, bijvoorbeeld leeftijd versus geboortedatum, werk contactgegevens versus privé contactgegevens, personeelsnummer versus BSN. 
7. Vijf procedures opstellen/aanpassen voor vaste medewerkers, uitzendkrachten en andere flexwerkers van eigen persoonsgegevens uit alle relevante systemen;
   • Voor het opvragen en wijzigen van de gegevens,
   • Voor het overzetten van die gegevens naar een andere organisatie (beschikbaar maken in een standaard formaat bestand dat andere organisaties kunnen gebruiken en versturen via een beveiligd kanaal) of persoon (download van eigen data mag)
   • Voor het volledig verwijderen van die gegevens
     • Op verzoek van de (enig echte juiste) persoon
     • Na wettelijke verjaringstermijnen, meestal 2 of 7 jaren
   • Voor datalekken, wat als het fout gaat bij de eigen organisatie of een van de leveranciers
8. Hebben jullie een standaard eis/requirement voor inkooptrajecten voor nieuwe leveranciers die persoonsgegevens opslaan/verwerken met de GDPR uitgangspunten en eis daarin ‘privacy by design’ van alle relevante software leveranciers.
9. Heb je alle relevante informatie over beleid en procedures transparant (in Jip en Janneke taal) op intranet, de externe website en de jobsite gepubliceerd?

Recruitment specifieke processen

1. Heb je aan het sollicitatieproces / inschrijvingsproces een akkoord toegevoegd voor opslaan en verwerking (gebruik uitsplitsen per activiteit, bijvoorbeeld solliciteren versus opnemen in talentpool versus doorsturen (van intermediair naar opdrachtgever) van persoonsgegevens)
2. Is er een (geautomatiseerde) controle procedure om minimaal tweejaarlijks (max bewaartermijn bij niet werkenden) opnieuw te vragen of men nog steeds akkoord gaat met opslag en verwerking, bijvoorbeeld bij het gebruik van talentpools
3. Een lijstje met do’s en don’ts voor recruiters (niet zonder goedkeuring gegevens van LinkedIn of openbare cv’s overnemen in je talentpool bijvoorbeeld)

Het bewijs ligt in de HRTech; een GDPR audit

Lijstjes maken, procedures opstellen en mensen verantwoordelijkheden geven is de theoretische helft van het verhaal. De andere helft is hoe alles in de praktijk gebeurd. Het harde bewijs is te vinden in de HRTech in je organisatie. Helaas is het woord 'audit' voor niet veel mensen een energiegevend woord, maar het werkt wel. In samenwerking met de DPO is 2019 de laatste kans om nog proactief met die GDPR aan de gang te gaan. In 2020 ben je echt te laat.

1. In welke interne applicaties (en papieren dossiers) zijn persoonsgegevens opgeslagen. Niet alleen HR applicaties, maar bijvoorbeeld ook intranet applicaties, het basis IT systeem (vaak de Active Directory), online telefoonboek (of Excel contacten lijstjes), de financiële administratie (facturen met bijlagen van freelancers en intermediairs), etc.
2. In welke externe applicaties van klanten/leveranciers zijn persoonsgegevens van mensen die bij jouw organisatie werken opgeslagen. Bijvoorbeeld bij intermediairs (uitzendbureaus, MSP, payroll, brokers), salarisverwerkers, opleidingsinstituten/websites, evenement organisaties, medewerker onderzoeksbureaus, etc
3. Per applicatie;
   • Voor eigen applicaties; zijn alle eerder genoemde acties doorgevoerd?
   • Voor applicaties van derden, extern, zijn zogenaamde ‘bewerkersovereenkomsten’ gemaakt en al eens gecontroleerd of die afspraken worden nageleefd? 

GDPR is mensenwerk

Na alle bovenstaande maatregelen genomen te hebben blijft er nog één factoor over die roet in het eten kan gooien, de mens. Iemand bij een bij een kinderhulp organisatie in het VK stuurde een enquête naar alle bij hen bekende misbruikslachtoffers via Reply-All. Een snel gemaakt 'foutje' van 200.000 pond en vooral een inbreuk op de vertrouwensband. 

Bewustzijn over GDPR moet in de genen van de mensen gaan zitten die, in deze Facebook tijd waarin privé zaken vrijwillig op straat worden gegooid, de grootste uitdaging van de GDPR is. Bewustwordingscampagnes zoals hiervoor het voorbeeld van VRT zijn essentieel om binnen te komen bij de werkenden in je organisatie. Ook dit zou je mee kunnen nemen in de audit of door bijvoorbeeld via interne surveys via de assessment tools in onze aanbiedersgids , hier vragen over te stellen. 

Dit artikel is een bijgewerkte versie van de checklist die in februari vorig jaar op ZiPconomy verscheen en daar het op twee na best gelezen artikel van 2018 werd.