De EU-verordening (Europese Unie), 2016/679ook bekend als de Algemene Verordening Gegevensbescherming (AVG), is mei 25, 2018 na een overgangsperiode van twee jaar in werking getreden. De verordening verplicht alle bedrijven die in de Europese Unie actief zijn, nieuwe beleidslijnen, processen en praktijken vast te stellen voor het beheer van de persoonsgegevens van hun klanten, gebruikers, leveranciers en werknemers.

De AVG heeft een enorme impact op HR-afdelingen, aangezien zij hun processen moeten aanpassen om aan de eisen van deze verordening te voldoen.

Het doel van de AVG is de rechten van de Europese ingezetenen met betrekking tot hun persoonsgegevens te standaardiseren en te versterken. Dit betekent dat elke organisatie die met de persoonsgegevens van EU-ingezetenen omgaat, moet voldoen aan de nieuwe normen inzake transparantie, veiligheid en verantwoordingsplicht.

Welke invloed heeft de  AVG  op human resources?

De AVG vereist dat bedrijven alleen essentiële, nauwkeurige en actuele personeelsgegevens bewaren. Ook moeten bedrijven duidelijk communiceren hoe, waar en hoe lang de persoonsgegevens van een werknemer worden opgeslagen. Op dezelfde manier kunnen werknemers te allen tijde gebruik maken van hun informatie, een kopie van de opgeslagen gegevens opvragen en de verwijdering ervan verzoeken.

HR-teams moeten het risico en de verantwoordelijkheid begrijpen die gepaard gaan met het omgaan met werknemersinformatie om sancties te vermijden, omdat niet-naleving kan leiden tot boetes tot €20 miljoen, of 4 procent van de jaarlijkse omzet.

Belangrijkste  factoren  van de  AVG  in  Human  Resources

Om aan de AVG te voldoen, moeten HR-teams hun personeelsbeheerprocessen aanpassen en verbeteren om de rechten van werknemers te waarborgen en de richtlijnen inzake gegevensbescherming te volgen.

Dit zijn de meest belangrijke factoren waarmee human resources rekening moet houden:

1. Verzameling van persoonsgegevens

Het verzamelen en verwerken van persoonsgegevens is legitiem en beperkt tot relevante informatie voor de uitvoering van de arbeidsovereenkomst (bijv. tijdregistratiesystemen), of informatie die nodig is om te voldoen aan een wettelijke verplichting (bijv. salarisadministratie).

Toestemming is noodzakelijk wanneer er geen andere rechtsgrond is die de verwerking van gegevens ratificeert (bijv. een persoonlijke e-mailaccount).

2.Het recht van  werknemers om geïnformeerd te worden

Bedrijven zijn verplicht de werknemers te informeren over het doel en de rechtsgrond van de gegevensverwerking en over de periode waarin de persoonsgegevens worden bewaard. Deze informatie moet worden verstrekt op het tijdstip waarop de persoonsgegevens van de werknemer worden verkregen.

3. Nieuwe rechten voor werknemers

De AVG introduceerde nieuwe rechten voor werknemers, zoals het recht op gegevensoverdraagbaarheid, waardoor werknemers hun persoonsgegevens voor eigen doeleinden kunnen verkrijgen en hergebruiken binnen verschillende diensten. Het reguleert ook specifieke rechten, zoals het recht om te worden vergeten, waardoor werknemers kunnen verzoeken om verwijdering van hun persoonsgegevens, en het recht op rectificatie, waardoor werknemers het recht hebben om de rectificatie van onjuiste persoonsgegevens te verkrijgen.

Het recht om zich te verzetten tegen activiteiten op het gebied van profilering voorkomt dat bedrijven beslissingen nemen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, wat een belangrijke impact zal hebben op de toepassing van software voor kunstmatige intelligentie op het gebied van personeelszaken.

4. Functionaris voor gegevensbescherming

Bedrijven moeten een functionaris voor gegevensbescherming (Data Protection Officer, DPO) aanwijzen die onafhankelijk optreedt en over de nodige middelen beschikt om zijn of haar taken uit te voeren. De DPO is verantwoordelijk voor het toezicht op het beleid inzake gegevensbescherming van het bedrijf en de uitvoering ervan om de naleving van de AVG te waarborgen.

5. Impactbeoordelingen en inbreuken op de beveiliging

Bedrijven moeten impactbeoordelingen uitvoeren om vast te stellen welke activiteiten een aanzienlijk risico voor de rechten van werknemers of een inbreuk op de veiligheid vormen. In het geval van een inbreuk op persoonsgegevens moeten bedrijven de autoriteiten uiterlijk 72 uur na de vaststelling ervan in kennis stellen.

6. Telematica  en  gedragscodes

Om zich aan de nieuwe vereisten inzake gegevensbescherming aan te passen, moeten bedrijven hun interne beleidslijnen en gedragscodes met betrekking tot het gebruik van telematica onder de loep nemen. Ook moeten bedrijven hun inhoud aanpassen aan het arrest van het Europees Hof voor de Rechten van de Mens (EHRM), en aan de impact van nieuwe technologieën op de werkplek.

7. Videobewaking

Bedrijven moeten ook hun procedure voor de installatie en het gebruik van videobewaking herzien. Het EVRM bepaalt dat voor de installatie van vaste camera's de werknemers vooraf duidelijk moeten worden geïnformeerd over het doel ervan, overeenkomstig de bepalingen van de verordeningen inzake gegevensbescherming.

8. Internationale overdracht van gegevens buiten de EU

De overdracht van persoonsgegevens van werknemers naar landen buiten de EU houdt een enorm risico in, aangezien er geen enkele garantie op bescherming bestaat. De AVG heeft bepaalde beperkingen opgelegd om de mogelijkheden van een bedrijf om dergelijke gegevens over te dragen te beperken, en de rechten van werknemers te handhaven.

9. Externe leverancierscontracten

Contracten met leveranciers of zzp'ers die toegang hebben tot de persoonsgegevens van het bedrijf moeten worden bijgewerkt om ervoor te zorgen dat aan de vereisten van de AVG wordt voldaan. Dit omvat contracten met leveranciers van salarisadministratie- en wervingsdiensten.

Door de hoeveelheid persoonsgegevens die een bedrijf tijdens al zijn processen beheert, is de bijdrage voor de naleving van de AVG van de HR-afdeling van cruciaal belang. Het is daarom van essentieel belang dat alle elementen van de AVG in aanmerking worden genomen om een doeltreffend actieplan uit te voeren.

Infographic van de belangrijkste factoren van de AVG voor HR

Wat  kunnen HR-teams  doen om te voldoen  aan de  AVG?

De AVG vereist dat bedrijven op een proactieve en verantwoordelijke manier omgaan met de uitvoering van technische en organisatorische maatregelen die de verwerking van klachtgegevens waarborgen.

Bedrijven moeten analyseren welk soort gegevens zij verwerken, wat het doel ervan is en hoe zij dat doen. Hier zijn enkele tips om HR-teams te helpen aan de AVG te voldoen:

1. Een functionaris voor  gegevensbescherming (Data Protection Officer, DPO) inhuren

Zoals bepaald in artikel 37 van de AVG is het inhuren van een DPO van cruciaal belang. Een DPO is verantwoordelijk voor het toezicht op de gegevensbeschermingsstrategieën van bedrijven en zorgt ervoor dat de AVG-vereisten worden nageleefd.

2. Zorg voor een inventaris van de verwerking van persoonsgegevens.

Een inventaris van belangrijke gegevens maakt het traceren en verwerken ervan gemakkelijker en helpt bij het controleren van de naleving. Hier volgen enkele belangrijke overwegingen bij het traceren van de informatie van uw bedrijf:

  • Identificeer persoonsgegevens en gevoelige data, alsook bestaande verwerkingsactiviteiten, en controleer de naleving ervan.
  • Ga na wie (werknemers, zzp'ers of leveranciers) er toegang hebben tot de gegevens en waarom.
  • Houd toezicht op werknemers, zzp'ers en leveranciers die met de gegevens van het bedrijf werken en contracten beoordelen.
  • Controleer of de gegevensverwerking door zzp'ers en leveranciers in overeenstemming is met de AVG.
  • Analyseer de archiveringspraktijken en bewaartermijn van persoonsgegevens van HR.
  • Zorg ervoor dat, indien van toepassing, HR-oplossingen en uw Human Resources Information System (HRIS) in overeenstemming zijn met de AVG.

3. Neem actie

Zodra u een inventaris hebt opgemaakt en hebt vastgesteld welke correcties nodig zijn, is het belangrijk een actieplan op te stellen en uit te voeren waarin u de te volgen stappen vastlegt.

Zorg ervoor dat u:

  •  Controleer de gegevens
  • impactbeoordelingen uitvoert;
  • uw beschermings- en veiligheidsmaatregelen beoordeelt;
  • uw processen en procedures beoordeelt.

4.Een communicatieplan implementeren

Het is belangrijk een intern communicatieplan op te zetten zodat alle werknemers weten hoe ze toegang kunnen krijgen tot hun informatie en wat ze moeten doen bij een verandering in dit proces. Onderdeel van de nieuwe verordening is dat bedrijven duidelijk moeten communiceren hoe, waar en hoe lang de persoonsgegevens van een werknemer worden opgeslagen.

5. Zorg ervoor dat de opgeslagen gegevens juist zijn

Bedrijven moeten ervoor zorgen dat alleen gecorrigeerde en bijgewerkte gegevens worden bewaard. Zij moeten ook nagaan welke gegevens zij moeten bewaren en welke er moeten worden gewist. Hoe minder gegevens u hebt, hoe gemakkelijker het zal zijn om aan de AVG te voldoen.

6. Beoordeling van privacybeleid

Bedrijven moeten transparant zijn over de gegevens die zij behandelen. De beoordeling van privacyovereenkomsten zorgt voor transparantie en schept vertrouwen. Actualiseer de beleidslijnen en procedures inzake gegevensbeveiliging in duidelijke en eenvoudige bewoordingen, en zorg ervoor dat deze beleidslijnen gemakkelijk toegankelijk zijn.

7. Rechten van werknemers  afdwingen

Zoals we al zeiden, geeft de AVG nieuwe rechten aan werknemers. Het is van cruciaal belang ervoor te zorgen dat deze rechten worden gehandhaafd om sancties te voorkomen.

8. De AVG opnemen als onderdeel van de bedrijfscultuur

Het is belangrijk dat bedrijven de voorschriften in de hele organisatie bekendmaken. Door ze in de bedrijfscultuur te integreren, zorgt u ervoor dat alle werknemers ze kennen en begrijpen.

9. Verbetering van de veiligheid

Zorg ervoor dat de gegevens veilig zijn en voorkom inbreuken. In geval van een inbreuk op de gegevens moeten de getroffen partijen binnen 72 uur worden ingelicht. Om inbreuken te voorkomen moet u betrouwbare diensten voor gegevensopslag inhuren en een geactualiseerd beveiligingsbeleid vaststellen.

10. Toestemming van werknemers verkrijgen

Het is van essentieel belang dat u uw werknemers informeert over de maatregelen en procedures die worden ingevoerd, en dat u hun toestemming voor de verwerking en overdracht van hun gegevens verkrijgt. De toestemming moet een vrije, geïnformeerde en duidelijke uiting van instemming zijn.

Infographic over wat HR-teams kunnen doen om te voldoen aan de AVG

Naast de verplichting die het vertegenwoordigt, kan de AVG ook bijdragen aan het verbeteren van de prestaties van uw bedrijf en het vertrouwen en het welzijn van werknemers. Dit is echter alleen het geval als uw gegevens en beveiliging, hulpmiddelen, methoden en processen zijn gestroomlijnd.

Deze nieuwe uitdagingen geven HR-afdelingen de kans om de drijvende kracht te zijn achter de internationalisering van hun bedrijf, en de kwaliteit van hun samenwerking met hun leveranciers en zzp'ers te versterken. Een duidelijk beleid inzake het beheer van persoonsgegevens verbetert ook de reputatie van bedrijven en maakt hen aantrekkelijk als werkgever.

Veel leesplezier?
Neem contact met ons op