De invoering van de AVG
Eind mei stond je inbox er ongetwijfeld mee vol: mailtjes van bedrijven die hun privacybeleid hadden aangepast. Het kan je daarom moeilijk zijn ontgaan dat afgelopen 25 mei de nieuwe Europese privacywetgeving is ingegaan, de Algemene Verordening Gegevensbescherming (AVG).

De oude wetgeving, de Wet Bescherming Persoonsgegevens (WBP), sloot niet meer aan op de snelle veranderingen in de digitale wereld en kwam hiermee te vervallen. De AVG moet zorgen voor uitbreiding en versterking van de privacyrechten van de burger en legt organisaties wat dit betreft meer verantwoordelijkheden op. Het beheer en de verwerking van persoonsgegevens is natuurlijk een van de kerntaken van de HR-afdeling. Bovendien wordt hiervoor in toenemende mate digitale technologie gebruikt. De invoering van deze nieuwe wet heeft voor de HR-sector dan ook de nodige consequenties. We vroegen Mark Assema, oprichter van HR-kennisplatform #HRTech Review, ons hier meer over te vertellen.

Waarom deze wet?

De AVG, of General Data Protection Regulation (GDPR), zoals de wet internationaal bekend staat, is ingevoerd om de privacy van zowel medewerkers als klanten van organisaties beter te beschermen.“Enerzijds was dit nodig om de razendsnelle ontwikkeling van de digitale technologie met wetgeving bij te benen en anderzijds omdat er in Europa geen gelijkheid was op dit gebied”, vertelt Assema. In Nederland hadden we wel al wetgeving, met de Autoriteit Persoonsgegevens als vrij effectieve privacywaakhond. Deze zorgde ervoor dat persoonsgegevens netjes werden bewaard en dat grote organisaties zich aan de regels hielden. Maar dit was allemaal lokaal en landelijk geregeld, zoals andere Europese landen dat ook lokaal regelden. Nieuwe omstandigheden, mede ontstaan door de grensoverstijgende digitale technologie, vereisen nieuwe wetgeving. “De AVG moet zorgen voor een harmonisering van de wetgeving binnen de verschillende EU-lidstaten”, aldus Assema.

“Het beheer en de verwerking van persoonsgegevens is een van de kerntaken van de HR-afdeling”

Wat zal er veranderen voor de HR-afdeling?

De veranderingen voor de HR-afdeling zullen zich op verschillende terreinen voordoen. In de eerste plaats zullen HR-afdelingen de technologische middelen en diensten die ze gewend zijn te gebruiken, moeten herevalueren en grondig moeten toetsen aan de nieuwe wetgeving. “Zijn onze software tools in overeenstemming met de GDPR? Dit is een vraag die HR-managers zich nadrukkelijk moeten stellen”, stelt Assema. Soms zal de conclusie zijn dat dit niet zo is. Dan zal men zich moeten aanpassen en naar alternatieven moeten zoeken om compliant te blijven. “In het verlengde hiervan ligt de noodzaak om met al die partijen, zeker met het intensieve gebruik van cloud software tegenwoordig, afspraken te maken over dataverwerking”, aldus Assema. Daarnaast zal men in verband met de nieuwe verantwoordingsplicht zelf een verwerkingsregister moeten opstellen. Hierin moet o.a. staan in welke systemen men persoonsgegevens opslaat en hoe deze worden verwerkt. De nieuwe wetgeving verplicht organisaties om hun data strenger te beveiligen en geeft de overheid de bevoegdheid om sneller hoge boetes op te leggen in geval van datalekken. Dit geldt voor persoonsgegevens van bestaande medewerkers, maar in belangrijke mate ook voor kandidaatsgegevens.

“De AVG is ingevoerd om de privacy van medewerkers en klanten van organisaties beter te beschermen”

Recruitment

Want aan de voorkant van de HR-praktijk, de instroom – of recruitment kant, zijn de regels zo mogelijk nog strenger geworden, geeft Assema aan. Zo wordt er vanaf 25 mei strikt op toegezien dat de sollicitant een privacy statement krijgt voorgelegd, met daarin informatie over hoe zijn gegevens worden behandeld. Wil een werkgever ‘AVG recruitment proof’ zijn, dan zullen kandidaten expliciet hun akkoord moeten kunnen geven op bijvoorbeeld de bewaartermijn en verspreiding van hun CV. Dit geldt ook per terugwerkende kracht, wat betekent dat talloze werkgevers hun opgeslagen CV’s zullen moeten verwijderen uit hun systeem. “Bedrijven moeten databases met kandidaats gegevens veel actiever gaan beheren en updaten”, aldus Assema.