Kleine kans dat je nog niet hebt gehoord van de General Data Protection Regulation, kortweg GDPR. Op 25 mei 2018 wordt deze nieuwe regelgeving van kracht. Kort gezegd betekent dat dat de Europese privacyregels strenger worden. En dat heeft gevolgen voor élk bedrijf, dus ook voor jou als werkgever. Want ook jij beheert persoonsgegevens, zowel van eigen werknemers als van kandidaten die bij je solliciteren. Denk alleen al aan bankrekeningnummers, salarissen en cv’s met NAW-gegevens. Overtreed je de nieuwe privacyregels, dan staat je een forse boete te wachten, die kan oplopen tot wel vier procent van de wereldwijde omzet van je bedrijf. Maar wat wordt er dan precies van jou als werkgever verwacht? Met welke veranderingen moet je rekening houden?
Benieuwd naar meer tips?
De GDPR: wat achtergrondinformatie
De GDPR is uiteraard niet zomaar in het leven geroepen. In de huidige digitale economie weten bedrijven meer over hun werknemers en klanten dan ooit. Met data-analyse vergaren ze nuttige informatie, die ze vervolgens bijvoorbeeld inzetten om de customer experience te verbeteren en om heel gericht en efficiënt aan targeting of product placement te doen. De meeste consumenten zijn zich er wel van bewust dat bedrijven die ze kennen hun gegevens gebruiken, maar beseffen vaak niet dat bedrijven die ze niet kennen, dat net zo goed (kunnen) doen. Doel van de GDPR is dus om de data van deze mensen te beschermen.
Wat zijn de gevolgen van de GDPR voor werkgevers?
Voor jou als werkgever heeft de GDPR twee belangrijke gevolgen. Om te beginnen word je gedwongen om je werknemers en eventuele sollicitanten het vertrouwen te geven dat hun gegevens in goede handen zijn. Formuleer daarom een transparant privacybeleid en verstrek consequent informatie over databescherming. Net als voorheen moeten werknemers en sollicitanten toestemming geven om hun gegevens te bewaren. Nu moet dat echter expliciet zijn vastgelegd. Bovendien moet iedereen te allen tijde de kans hebben om zijn of haar toestemming weer in te trekken. Ga dus na in je contracten of er misschien iets aangepast moet worden.
In de tweede plaats zien we dat de grens van wat juridisch gezien onder ‘persoonlijke data’ valt, verschuift met de komst van de GDPR. Neem je huidige manier van dataverwerking dus nu al zorgvuldig onder de loep en controleer hoe jij ervoor staat. Klinkt misschien eenvoudig, is het meestal niet. Want denk maar eens aan de inhoud van contracten (kun je die delen met dienstverleners of niet?), camerabewaking op kantoor, monitoring (van onder meer sociale media), toegangs- en uitgangscontroles, en nog veel meer. Overigens mogen persoonlijke gegevens niet langer voor onbepaalde tijd worden opgeslagen. Je mag data alleen bewaren voor de periode waarin dat voor het werk nodig is en ook alleen gebruiken voor het beoogde doel.
Wat je als werkgever kunt doen
Nu is dus de tijd om je huidige data- en securitybeleid nader te bekijken en je privacybeleid waar nodig aan te passen. Verder is het cruciaal om nu al maatregelen te treffen tegen cyberaanvallen, want op tijd reageren is een must: de GDPR schrijft voor dat je zulke aanvallen binnen 72 uur na het ontdekken ervan rapporteert aan de autoriteiten. Daarnaast moeten alle persoonlijke gegevens versleuteld worden. Dat geldt niet alleen voor de traditionele HR-data als NAW-gegevens, maar ook voor bijvoorbeeld e-mails van en naar sollicitanten. Als je nu al om de tafel gaat met een deskundige security-partij, weet je zeker dat dit aspect in ieder geval geregeld is op het moment dat de GDPR van kracht wordt.
