Deze website maakt gebruik van cookies. Meer informatie Melding niet meer tonen
Deel deze pagina

De nieuwe Algemene verordening gegevensbescherming: wat je moet weten

Carerix is ook actief in de Duitse markt en werkt nauw samen met industrie journalisten om de trends in deze markt te duiden. Dit artikel is een vertaling van: Neue Datenschutz-Grundverordnung: Das müssen Sie wissen (Duits)

Vanaf 25 mei 2018 is de nieuwe Europese Algemene verordening gegevensbescherming (AVG) van toepassing. Daarin wordt de omgang met persoonsgegevens op een nieuwe manier geregeld. Hoewel veel dingen in de AVG vergelijkbaar zijn met de huidige Nederlandse wetten, weten personeelsverantwoordelijken, -dienstverleners en -bemiddelaars vaak nog niet goed, hoe ze zich op de nieuwe wetgeving kunnen voorbereiden. Wat je over de nieuwe Algemene verordening gegevensbescherming moet weten.

Op het gebied van personeelszaken bestaat momenteel veel onzekerheid over de aankomende nieuwe verordening voor gegevensbescherming. Vragen als “Mogen we de gegevens van sollicitanten straks nog wel opslaan? En zo ja – hoe lang?” worden vaak gesteld.

De nieuwe Algemene verordening gegevensbescherming is lastig te lezen

Als personeelsverantwoordelijke heb je vaak een bedrijfseconomische of vergelijkbare achtergrond en ben je gewend aan het lezen van vakteksten. Toch kun je bij het lezen van wetteksten al snel vastlopen, want de specifieke juristentaal is voor niet-juristen lastig te volgen.

Maar de complexiteit en ontoegankelijkheid van wetteksten mogen nooit redenen zijn om als organisatie je kop in het zand te steken en te doen alsof er niets verandert.

De Algemene verordening gegevensbescherming: de belangrijkste veranderingen in het kort

Toch doen veel bedrijven dat juist, zo bleek bijna een half jaar geleden uit een onderzoek van Veritas. Volgens deze studie is meer dan de helft van de bedrijven (54 procent) niet voorbereid op de nieuwe Algemene verordening gegevensbescherming. Dat is alarmerend! Bedrijven die niet aan de eisen uit de AVG voldoen, kunnen namelijk aanzienlijke juridische problemen verwachten. Dat geldt vooral voor human resources, want daar wordt met gevoelige persoonsgegevens gewerkt. Daarom vind je hieronder een handig overzicht van de belangrijkste veranderingen.

Vanaf mei 2018 moeten werkgevers er bijvoorbeeld voor zorgen, dat talenten bij een sollicitatie hun persoonlijke gegevens via een versleutelde verbinding kunnen versturen. Dat is nodig omdat bij onbeveiligde verzending veel gevoelige informatie over een sollicitant in verkeerde handen kan komen. Als cybercriminelen zulke gegevens in handen krijgen, kunnen ze de sollicitant nogal wat schade toebrengen.

Zij kunnen bijvoorbeeld het e-mailaccount van de sollicitant hacken, geld van zijn of haar persoonlijke rekening stelen, of reputatieschade veroorzaken. Als je een applicant tracking systeem gebruikt, moet je in ieder geval nog eens bij de leverancier daarvan navragen, of de gegevensoverdracht voor recruiting bijvoorbeeld via een SSL-versleuteling verloopt, en of die up-to-date is.

Verplicht informatie geven over gegevensverzameling

Verder bepaalt de AVG dat organisaties per direct verplicht zijn om kandidaten na ontvangst van hun sollicitatie inhoudelijk te informeren over het verzamelen van hun gegevens.

Je moet bijvoorbeeld aangeven met welk doel de informatie verwerkt wordt, en hoe lang deze wordt bewaard. Veel bedrijven doen dit al, door kandidaten een automatische ontvangstbevestiging te sturen. Maar kijk, nu de nieuwe verordening eraan komt, nog eens goed naar de sjabloon voor die mail. Bevat die werkelijk alle noodzakelijke informatie?

Gegevensbescherming: hoe lang mogen persoonsgegevens bewaard worden?

We komen nu bij een vervolgvraag, die hrm’ers vaak stellen: “Hoe lang mogen we persoonsgegevens bewaren?” Op dit punt verandert er niets. Nu al mogen de gegevens slechts tot het einde van de sollicitatieprocedure bewaard worden. Dat is in het vervolg ook zo.

Maar elke wet kent natuurlijk uitzonderingen: theoretisch kan er bijvoorbeeld een tijd na het vervullen van een vacature nog een juridische procedure ontstaan met een afgewezen sollicitant. Daarom mogen organisaties de gegevens in hun systemen houden zolang ze nog bericht van een advocaat van een talent verwachten.

Er bestaat echter geen eenduidige juridische uitspraak over de maximaal toelaatbare bewaartermijn. Experts op dit gebied bevelen aan om in het algemeen de gegevens niet langer dan zes maanden op te slaan. Voor elke langere bewaartermijn kun je het beste voor een toestemmingsverklaring van de kandidaat zorgen.

Doel van de gegevensopslag

Dan nu over artikel 15. Daar staat in, dat sollicitanten vanaf mei 2018 op elk moment kunnen navragen, voor welk doel hun profielinformatie wordt gebruikt. Daarom is uitgebreid documenteren noodzakelijk. Denk er altijd aan dat je in het sollicitatiesysteem in een toelichting vastlegt, waarom de gegevens bewaard worden.

Dat is natuurlijk vervelend om te doen, maar het is wel aan te raden. Als het gaat om de beveiliging van sollicitantengegevens ligt de bewijslast namelijk altijd bij de werkgever, dan wel bij de personeelsdienstverlener of -bemiddelaar. Bij een juridisch conflict moeten die dus kunnen bewijzen dat ze al het mogelijke gedaan hebben om de persoonlijke gegevens van kandidaten naar behoren te beschermen.

Wat kan gebeuren bij overtreding van de regels voor gegevensbescherming?

Lukt dit niet, dan kunnen fikse boetes volgen. In de Europese Algemene verordening gegevensbescherming wordt dit nog eens aangescherpt. Concreet hebben we het hier over boetes tot wel 20 miljoen euro of vier procent van de totale omzet, die bij overtredingen neergeteld moeten worden.

Denk als organisatie dus niet te licht over de veranderingen, waar je rond gegevensbescherming mee te maken krijgt. Besteed hier aandacht aan, want overtreding van de regels voor gegevensbescherming kan straks het voortbestaan van de organisatie die daar verantwoordelijk voor is, in gevaar brengen!

Wat bedrijven nu moeten doen…

“Wat moeten we nu doen…?” Bedrijven die de gegevens van sollicitanten op interne servers beheren, moeten nauwkeurig controleren of die servers aan alle beveiligingsvoorschriften voldoen. Indien nodig moeten voor mei 2018 nieuwe processen en standaards ingevoerd worden.

En wat moeten gebruikers van cloudsoftware doen? Moeten die de gegevens voor de zekerheid na gebruik wissen? Nee, dat hoeft niet. De verantwoordelijkheid voor de beveiliging van de cloud ligt bij de exploitant, en de meeste exploitanten gaan zorgvuldig met deze verantwoordelijkheid om. Er zijn natuurlijk wel zwarte schapen. Daarom moeten gebruikers, als ze vragen hebben, in ieder geval direct contact opnemen met de aanbieder van de cloudoplossing. Zeker is zeker.

En hoe zit het bij cloudsystemen?

Die zouden vragen over kritieke thema’s rond gegevensbescherming niet uit de weg mogen gaan. Het is bijvoorbeeld belangrijk dat de aanbieder van jullie cloudoplossing niet met verouderde versies van software werkt, want die bieden onvoldoende bescherming. Dat is nalatig en maakt het voor criminelen veel te gemakkelijk, gevoelige gegevens te stelen of bedrijfsprocessen te manipuleren.

Maar geen paniek: normaal gesproken zijn de datacenters van de exploitanten wat gegevensbescherming betreft helemaal up-to-date. Ten eerste draait daar de nieuwste firewall en beveiligingssoftware.

Maar ook worden de processen in datacenters van serieuze cloudaanbieders door een externe partij gecontroleerd en gecertificeerd. Potentiële softwaregebruikers moeten bij de keuze voor een aanbieder bijvoorbeeld letten op certificaten als het ISAE 3000-rapport. Ook hr-oplossingsaanbieder Carerix is in het bezit van dit certificaat. Maar nogmaals: extra navragen kost geen geld, en kan bij twijfel hoge boetes voorkomen!

Lees meer nieuws