De EU-verordening (Europese Unie) Verordening 2016/679, ook bekend als de Algemene verordening gegevensbescherming (AVG)), trad op 25mei in werking 2018 na een overgangsperiode van twee jaar. De regelgeving verplicht alle bedrijven die in de Europese Unie opereren om nieuwe beleidslijnen, processen en praktijken te hanteren terwijl ze de persoonlijke gegevens van hun klanten, gebruikers, leveranciers en werknemers beheren.

De AVG heeft een enorme impact op HR-afdelingen, aangezien zij hun processen moeten aanpassen om aan de eisen van deze verordening te voldoen.

Het doel van de AVG is de rechten van de Europese ingezetenen met betrekking tot hun persoonsgegevens te standaardiseren en te versterken. Dit betekent dat elke organisatie die met de persoonsgegevens van EU-ingezetenen omgaat, moet voldoen aan de nieuwe normen inzake transparantie, veiligheid en verantwoordingsplicht.

Welke gevolgen heeft de AVG voor human resources?

Algemene verordening gegevensbescherming (AVG) vereist dat bedrijven alleen essentiële, nauwkeurige en actuele werknemergegevens opslaan. Ook moeten bedrijven duidelijk communiceren hoe, waar en hoe lang de persoonlijke informatie van een werknemer wordt opgeslagen. Op dezelfde manier kunnen medewerkers hun informatie op elk moment gebruiken, een kopie van de opgeslagen gegevens aanvragen en opdracht geven tot verwijdering.

HR-teams moeten het risico en de verantwoordelijkheid begrijpen die gepaard gaan met het omgaan met werknemer-informatie om sancties te vermijden, aangezien niet-naleving kan leiden tot boetes tot EUR20 miljoen, oftewel 4 procent van het jaarlijkse omzet.

Belangrijkste factoren van de AVG voor Human Resources

Om aan de AVG te voldoen, moeten HR-teams hun personeelsbeheerprocessen aanpassen en verbeteren om de rechten van werknemers te waarborgen en de richtlijnen inzake gegevensbescherming te volgen.

Dit zijn de meest belangrijke factoren waarmee human resources rekening moet houden:

1. Verzameling persoonsgegevens

Het verzamelen en verwerken van persoonsgegevens is legitiem en beperkt tot relevante informatie voor de uitvoering van de arbeidsovereenkomst (bijv. tijdregistratiesystemen), of informatie die nodig is om te voldoen aan een wettelijke verplichting (bijv. salarisadministratie).

Toestemming is noodzakelijk wanneer er geen andere rechtsgrond is die de verwerking van gegevens ratificeert (bijv. een persoonlijke e-mailaccount).

2. Recht van werknemers om te worden geïnformeerd

Bedrijven zijn verplicht de werknemers te informeren over het doel en de rechtsgrond van de gegevensverwerking en over de periode waarin de persoonsgegevens worden bewaard. Deze informatie moet worden verstrekt op het tijdstip waarop de persoonsgegevens van de werknemer worden verkregen.

3. Nieuwe rechten voor werknemers

Algemene verordening gegevensbescherming (AVG) introduceerde nieuwe werknemerrechten, zoals het recht op gegevensoverdraagbaarheid, waarmee werknemers hun persoonsgegevens kunnen verkrijgen en hergebruiken voor eigen doeleinden binnen verschillende diensten. Het regelt ook specifieke rechten, zoals het recht om vergeten te worden, waardoor werknemers de verwijdering van hun persoonsgegevens kunnen aanvragen, en het recht op correctie, dat werknemers het recht geeft om correctie van onjuiste persoonsgegevens te verkrijgen.

Het recht om profileringsactiviteiten te bestrijden , verhindert dat bedrijven beslissingen nemen die uitsluitend op basis van geautomatiseerde verwerking zijn gebaseerd, wat een belangrijke impact zal hebben op de implementatie van kunstmatige intelligentie-software op het gebied van personeelszaken.

4. Functionaris voor gegevensbescherming

Bedrijven moeten een Data Protection Officer (DPO) aanstellen die zelfstandig handelt en de benodigde middelen heeft om zijn of haar taken uit te voeren. De DPO is verantwoordelijk voor het toezicht op het gegevensbeschermingsbeleid van het bedrijf en de uitvoering daarvan om compliance te waarborgen met Algemene verordening gegevensbescherming (AVG).

5. Impactbeoordelingen en inbreuken op de beveiliging

Bedrijven moeten effectrapportages uitvoeren om operaties te identificeren die een aanzienlijk risico vormen voor de rechten van werknemers of een beveiligingsinbreuk. In het geval van een datalek moeten bedrijven de autoriteiten uiterlijk 72 uur na identificatie hiervan op de hoogte stellen.

6. Telematica en gedragscodes

Om zich aan te passen aan de nieuwe gegevensbeschermingsvereisten, moeten bedrijven hun interne beleidsregels en gedragscodes met betrekking tot het gebruik van telematica onderzoeken. Ook moeten bedrijven hun inhoud aanpassen aan het oordeel van het Europees Hof voor de Rechten van de Mens (EHRM), evenals aan de impact van nieuwe technologieën op de werkplek.

7. Videobewaking

Bedrijven moeten ook hun procedure voor de installatie en het gebruik van videobewaking herzien. Het EVRM bepaalt dat voor de installatie van vaste camera's de werknemers vooraf duidelijk moeten worden geïnformeerd over het doel ervan, overeenkomstig de bepalingen van de verordeningen inzake gegevensbescherming.

8. Internationale overdracht van gegevens buiten de EU

Het overdragen van persoonsgegevens van werknemers aan landen buiten de EU vormt een groot risico, omdat er geen garantie op bescherming is. Algemene verordening gegevensbescherming (AVG) heeft bepaalde beperkingen opgelegd om de mogelijkheid van een bedrijf om dergelijke gegevens over te dragen te beperken en om de rechten van werknemers af te dwingen.

9. Contracten met externe aanbieders

Contracten met leveranciers of zzp'ers die toegang hebben tot de persoonsgegevens van het bedrijf moeten worden bijgewerkt om ervoor te zorgen dat aan de vereisten van de AVG wordt voldaan. Dit omvat contracten met leveranciers van salarisadministratie- en wervingsdiensten.

Door de hoeveelheid persoonsgegevens die een bedrijf tijdens al zijn processen beheert, is de bijdrage voor de naleving van de AVG van de HR-afdeling van cruciaal belang. Het is daarom van essentieel belang dat alle elementen van de AVG in aanmerking worden genomen om een doeltreffend actieplan uit te voeren.

Infographic van de belangrijkste factoren van de AVG voor HR

Wat kunnen HR-teams doen om aan de AVG te voldoen?

De AVG vereist dat bedrijven op een proactieve en verantwoordelijke manier omgaan met de uitvoering van technische en organisatorische maatregelen die de verwerking van klachtgegevens waarborgen.

Bedrijven moeten analyseren welk soort gegevens zij verwerken, wat het doel ervan is en hoe zij dat doen. Hier zijn enkele tips om HR-teams te helpen aan de AVG te voldoen:

1. Huur een Data Protection Officer (DPO) in

Zoals bepaald in Artikel 37 van de Algemene verordening gegevensbescherming (AVG) is het aanstellen van een DPO cruciaal. Een DPO is verantwoordelijk voor het toezicht op de gegevensbeschermingsstrategieën van bedrijven en zorgt voor compliance met de vereisten van Algemene verordening gegevensbescherming (AVG).

2. Zorg voor een inventaris van de verwerking van persoonsgegevens.

Een inventaris van belangrijke gegevens maakt het traceren en verwerken ervan gemakkelijker en helpt bij het controleren van de naleving. Hier volgen enkele belangrijke overwegingen bij het traceren van de informatie van uw bedrijf:

  • Identificeer persoonsgegevens en gevoelige data, alsook bestaande verwerkingsactiviteiten, en controleer de naleving ervan.
  • Ga na wie (werknemers, zzp'ers of leveranciers) er toegang hebben tot de gegevens en waarom.
  • Houd toezicht op werknemers, zzp'ers en leveranciers die met de gegevens van het bedrijf werken en contracten beoordelen.
  • Controleer of de gegevensverwerking door zzp'ers en leveranciers in overeenstemming is met de AVG.
  • Analyseer de archiveringspraktijken en bewaartermijn van persoonsgegevens van HR.
  • Zorg ervoor dat, indien van toepassing, HR-oplossingen en uw Human Resources Information System (HRIS) in overeenstemming zijn met de AVG.

3. Neem actie

Zodra u een inventaris hebt opgemaakt en hebt vastgesteld welke correcties nodig zijn, is het belangrijk een actieplan op te stellen en uit te voeren waarin u de te volgen stappen vastlegt.

Zorg ervoor dat u:

  •  de gegevens controleert;
  • impactbeoordelingen uitvoert;
  • uw beschermings- en veiligheidsmaatregelen beoordeelt;
  • uw processen en procedures beoordeelt.

4. Voer een communicatieplan uit

Het is belangrijk een intern communicatieplan op te zetten zodat alle werknemers weten hoe ze toegang kunnen krijgen tot hun informatie en wat ze moeten doen bij een verandering in dit proces. Onderdeel van de nieuwe verordening is dat bedrijven duidelijk moeten communiceren hoe, waar en hoe lang de persoonsgegevens van een werknemer worden opgeslagen.

5. Zorg ervoor dat de opgeslagen gegevens juist zijn

Bedrijven moeten ervoor zorgen dat alleen gecorrigeerde en bijgewerkte gegevens worden bewaard. Zij moeten ook nagaan welke gegevens zij moeten bewaren en welke er moeten worden gewist. Hoe minder gegevens u hebt, hoe gemakkelijker het zal zijn om aan de AVG te voldoen.

6. Beoordeling van privacybeleid

Bedrijven moeten transparant zijn over de gegevens die zij behandelen. De beoordeling van privacyovereenkomsten zorgt voor transparantie en schept vertrouwen. Actualiseer de beleidslijnen en procedures inzake gegevensbeveiliging in duidelijke en eenvoudige bewoordingen, en zorg ervoor dat deze beleidslijnen gemakkelijk toegankelijk zijn.

7. Handhaving van de rechten van werknemers

Zoals we al zeiden, geeft de AVG nieuwe rechten aan werknemers. Het is van cruciaal belang ervoor te zorgen dat deze rechten worden gehandhaafd om sancties te voorkomen.

8. De AVG opnemen als onderdeel van de bedrijfscultuur

Het is belangrijk dat bedrijven de voorschriften in de hele organisatie bekendmaken. Door ze in de bedrijfscultuur te integreren, zorgt u ervoor dat alle werknemers ze kennen en begrijpen.

9. Verbetering van de veiligheid

Zorg ervoor dat de gegevens veilig zijn en voorkom inbreuken. In geval van een inbreuk op de gegevens moeten de getroffen partijen binnen 72 uur worden ingelicht. Om inbreuken te voorkomen moet u betrouwbare diensten voor gegevensopslag inhuren en een geactualiseerd beveiligingsbeleid vaststellen.

10. Toestemming van werknemers verkrijgen

Het is van essentieel belang dat u uw werknemers informeert over de maatregelen en procedures die worden ingevoerd, en dat u hun toestemming voor de verwerking en overdracht van hun gegevens verkrijgt. De toestemming moet een vrije, geïnformeerde en duidelijke uiting van instemming zijn.

Infographic over wat HR-teams kunnen doen om te voldoen aan de AVG

Naast de verplichting die het vertegenwoordigt, kan de AVG ook bijdragen aan het verbeteren van de prestaties van uw bedrijf en het vertrouwen en het welzijn van werknemers. Dit is echter alleen het geval als uw gegevens en beveiliging, hulpmiddelen, methoden en processen zijn gestroomlijnd.

Deze nieuwe uitdagingen geven HR-afdelingen de kans om de drijvende kracht te zijn achter de internationalisering van hun bedrijf, en de kwaliteit van hun samenwerking met hun leveranciers en zzp'ers te versterken. Een duidelijk beleid inzake het beheer van persoonsgegevens verbetert ook de reputatie van bedrijven en maakt hen aantrekkelijk als werkgever.