checklist GDPR

De HR checklist voor de AVG/GDPR privacy richtlijnen

25 mei komt rap dichterbij. Mark van Assema heeft een handige afvinklijst met GDPR acties voor HR- en recruitment/inhuur professionals en intermediairs van (vast en flex) personeel.

GDPR acties

Er zijn al heel wat artikelen geschreven over wat de GDPR/AVG inhoudt en in grote lijnen betekent voor organisaties. Bij grotere organisaties is er ondertussen iemand in je organisatie benoemd tot ‘Functionaris voor de Gegevensbescherming’ (FG). Ook zijn er heel wat juristen en andere experts die je kunnen helpen in dit dossier. Wellicht dat dit onderwerp bij HR van kleinere organisatie nog wat achterloopt terwijl de regels over 6 maanden echt gehandhaafd gaan worden (de wet is in mei 2016 al van kracht geworden). Daarom deze, niet uitputtende, lijst met GDPR acties voor HR en intermediairs om af te vinken.

Algemeen

  1. Voor de GDPR is er geen onderscheid tussen vast en flex. Dus dit stuk gaat niet alleen over de interne medewerkers, maar ook alle vormen van flexwerkers die bij jullie organisatie werken en waar in enige vorm gegevens van verwerkt worden. We spreken hierin verder over werkenden.
  2. Op organisatie niveau; stel indien nodig iemand aan als functionaris voor de gegevensbescherming (of Data Protection Officer).
    • Dit is alleen nodig bij grootschalige gegevensverwerking waarbij het opslaan en bewerken van persoonsgegevens tot de kernactiviteiten behoort, zoals in een ziekenhuis.
  3. Start een HR project, met een projectmanager, een projectteam, een planning en een budget om onderstaande acties uit te voeren.
    • Overweg een rol als ‘HR functionaris voor de gegevensverwerking’ als aanspreekpunt binnen HR.
  4. Eerst indien nodig een DPIA (Data Protection Impact Assessment) uitvoeren.
    • Voor een B2B organisatie is dit normaal gesproken niet nodig voor de medewerkers kant, want de verplichting zit primair bij het verwerken particuliere klantgegevens in B2C. Tenzij bijvoorbeeld structureel camerabeelden van/met medewerkers worden opgeslagen.
    • Lukt het niet om risico’s uit de DPIA weg te poetsen middels IT- of procedurele maatregelen dan is melding bij de AP (Autoriteit Persoonsgegevens) verplicht.
  5. Een ‘Privacy beleid en uitvoering’ document opstellen waarin alle acties worden gedocumenteerd voor eigen gebruik en voor bewijsvoering naar controlerende instanties
  6. Een Privacy statement opstellen/updaten met alle relevante uitgangspunten en rechten van de persoon, inclusief naam en e-mail adres van de FG plus namen van onderliggende data processors.
  7. Een eigen relevante lijst met “persoonsgegevens bij [organisatienaam]” opstellen, zodat voor iedereen helder is wat er bij jullie organisatie wel en niet onder valt.
    • Ga uit van ‘privacy by default’ wat inhoudt dat je in iedere applicatie alleen de minimum persoonsgegevens opslaat en bewerkt. Gebruik het volgende onderscheid daarbij;
    • Onderscheid in ‘vertrouwelijk’ en ‘strikt vertrouwelijk’, bijvoorbeeld leeftijd versus geboortedatum, werk contactgegevens versus privé contactgegevens, personeelsnummer versus BSN (vaak BTW nummer bij zzp’ers). Dit is alleen een praktisch, niet verplicht, onderscheid wat de bewustwording helpt.
  8. Vijf procedures opstellen/aanpassen voor vaste medewerkers, uitzendkrachten en andere flexwerkers van eigen persoonsgegevens uit alle relevante systemen;
    • Voor het opvragen en wijzigen van de gegevens,
    • Voor het overzetten van die gegevens naar een andere organisatie (beschikbaar maken in een standaard formaat bestand dat andere organisaties kunnen gebruiken en versturen via een beveiligd kanaal) of persoon (download van eigen data mag)
    • Voor het volledig verwijderen van die gegevens
      • Op verzoek van de (enig echte juiste) persoon
      • Na wettelijke verjaringstermijnen, meestal 2 of 7 jaren
    • Voor datalekken, wat als het fout gaat bij de eigen organisatie of een van de leveranciers
  9. Maak een standaard eis/requirement voor inkooptrajecten voor nieuwe leveranciers die persoonsgegevens opslaan/verwerken met de GDPR uitgangspunten en eis daarin ‘privacy by design’ van alle relevante software leveranciers.
  10. Alle relevante informatie over beleid en procedures transparant (in Jip en Janneke taal) op intranet, de externe website en jobsite publiceren.

ZiP eMagazine AVG & inhuur externen banner

Recruitment specifieke processen

  1. Aan het sollicitatieproces / inschrijvingsproces een akkoord toevoegen voor opslaan en verwerking (gebruik uitsplitsen per activiteit, bijvoorbeeld solliciteren versus opnemen in talentpool versus doorsturen (van intermediair naar opdrachtgever) van persoonsgegevens)
  2. Een (geautomatiseerde) controle procedure maken om minimaal tweejaarlijks (max bewaartermijn bij niet werkenden) opnieuw te vragen of men nog steeds akkoord gaat met opslag en verwerking, bijvoorbeeld bij het gebruik van talentpools
  3. Een lijstje maken met do’s en don’ts voor recruiters (niet zonder goedkeuring gegevens van LinkedIn of openbare cv’s overnemen in je talentpool bijvoorbeeld)

Eenmalige acties, om de huidige situatie aan te sluiten

  1. Eerst inventariseren (aanvullend op DPIA):
    • In welke interne applicaties (en papieren dossiers) persoonsgegevens zijn opgeslagen. Niet alleen HR applicaties, maar bijvoorbeeld ook intranet applicaties, het basis IT systeem (vaak de Active Directory), online telefoonboek (of Excel contacten lijstjes), de financiële administratie (facturen met bijlagen van freelancers en intermediairs), etc.
    • In welke externe applicaties van klanten/leveranciers persoonsgegevens van mensen die bij jouw organisatie werken zijn opgeslagen. Bijvoorbeeld bij intermediairs (uitzendbureaus, MSP, payroll, brokers), salarisverwerkers, opleidingsinstituten/websites, evenement organisaties, medewerker onderzoeksbureaus, etc.
    • De invloed van de ePrivacy wetgeving, de oude telecom wetgeving, ook toevallig actief rond mei 2018. Hierin is o.m. vastgelegd het recht om niet gevolgd te worden.
    • De invloed van Privacy Shield certificering, bij Amerikaanse cloud hosting partijen, zelfs indien de locatie in Europa is.
  2. Dan aanpassen;
    • Voor alle applicaties onder verantwoordelijkheid van HR zorgen dat alle eerder genoemde acties zijn doorgevoerd
    • Voor alle interne applicaties van andere afdelingen afspraken maken en controleren over het doorvoeren van eerder genoemde acties.
    • Voor applicaties van derden, extern, zogenaamde ‘bewerkersovereenkomsten’ maken over doorvoering van die acties en regelmatig controleren of die afspraken worden nageleefd. Neem daarin ‘privacy by design’ en ‘security by design’ op.

Dit artikel is mede tot stand gekomen in overleg met de GDPR specialisten van Qhuba. Hoewel ik zo compleet en concreet mogelijk probeer te zijn zullen er acties missen. Aanvullingen via de reacties zijn welkom.

Mark is HR projectleider en adviseur voor het groeien naar Total Workforce Management. Hij staat daarin voor een gelijke behandeling van alle werkenden, door HR en de rest van de organisatie, los van hun contractvorm. Mark heeft een sterke IT achtergrond en kan hiermee een HR organisatie goed helpen om de vertaling te maken van wensen naar techniek. Hij zet graag innovatieve HR technologie in zodat alle werkenden zich kunnen ontwikkelen naar een volgende stap. In 2017 heeft hij HRTechReview.nl opgericht om objectief inzicht te geven in de HR Tech markt in Nederland. Bekijk alle berichten van Mark van Assema