De meeste HR-afdelingen kunnen de overvloed aan sollicitaties en wisselende personeelsdossiers niet aan zo blijkt uit onderzoek van Iron Mountain. Dat is een groot bedrijfsrisico, want deze dossiers bevatten Persoonlijk Herleidbare Informatie (PHI). En met PHI wordt makkelijk inbreuk gemaakt op het ´recht om vergeten te worden´, als het beheer ervan niet volledig op orde is.

Afgestudeerden wisselen steeds vaker van baan: op 32-jarige leeftijd, heeft de gemiddelde millennial al vier banen gehad1. Daar is een veelvoud aan sollicitaties aan vooraf gegaan en HR moet evenzovele persoonlijke dossiers aanmaken, opslaan, beveiligen, beheren en tijdig veilig vernietigen.

Het onderzoek toont aan dat:

  • De helft (50 procent) van de onderzochte MKB-bedrijven werkt met processen en systemen die de huidige eisen helemaal niet aankunnen.
  • Een derde (31 procent) bewaart de HR-dossiers van (mogelijke) medewerkers langer dan wettelijk is toegestaan.
  • Een kwart (25 procent) weet niet wat de toepasselijke wet- en regelgeving is.

Steeds sneller

Het tempo waarmee we jobhoppen neemt nog steeds toe. Het is de trend; de economische golven zijn snel wisselend en dynamisch; mensen hebben oproepcontracten bij meerdere werkgevers; en populaire contractvormen zoals het ZZP-erschap, zorgen zelfs voor voortdurend wisselende opdrachtgevers. Daarmee nemen de informatierisico´s en neemt de kans op overtredingen toe.

IT is de heilige graal

In Nederland en België ziet Iron Mountain de gebruikelijke reflex dat het management naar de IT-systemen kijkt die de beheerproblemen moeten oplossen”, zegt Jeroen Strik, directeur van Iron Mountain België en Nederland. ”Maar uit ons onderzoek blijkt dat de HRM-processen van 65 procent van de onderzochte MKB-bedrijven gewoon via e-mail en papier verlopen en er helemaal geen IT-oplossingen worden gebruikt die de complexe werkelijkheid kunnen bedwingen.”

Sue Trombley, Europees kennismanager bij Iron Mountain: ”Jophoppers laten een spoor aan Persoonlijk Herleidbare Informatie (PHI) achter zich. Ze hebben daar geen idee van; ze hebben er geen invloed op; en ze doen dat bij bedrijven die het ontbreekt aan beleid, processen en systemen om de PHI te beschermen en tijdig veilig te vernietigen. En dat in een tijd waarin we slordiger met elkaars privacy omgaan, en waarin een informatielek juist tot zeer snelle verspreiding van
gevoeligheden kan leiden.” ”Het gaat erom dat je weet welke PHI je waar beheert, hoe je die moet beheren, en wanneer en hoe je die veilig moet vernietigen. Dat vraagt, ook bij HRM, om professioneel informatiemanagement”, zegt Trombley.

´Event-based retention´

Strik: ”De wettelijke bewaartermijnen maken het ook bij personeelsdossiers noodzakelijk om te bepalen wanneer de klok begint te tikken en wanneer de wekker afgaat. Bij Iron Mountain noemen we het ´event-based retention´, wanneer er een gebeurtenis is die bepaalt dat een CV en motivatiebrief na een jaar moeten zijn vernietigd, maar dat de loonbelasting-verklaring pas vijf jaar na vertrek mag worden opgeruimd. Alleen al op de HRM-afdeling van een MKB-bedrijf, tikken zomaar honderden wekkers, waarvan er wekelijks tientallen afgaan. Je zit dus zomaar aan de verkeerde kant van de streep, met alle risico´s van dien. Je moét dus een professionele informatiemanagementfunctie invullen om risico´s te elimineren en schade te voorkomen.”

Ondersteuning

Om beheerders van gevoelige informatie tegemoet te komen, heeft Iron Mountain gratis hulpmiddelen ontwikkeld die helpen de complexiteit van ´event-based retention´ te beheersen. Deze Engelstalige hulpmiddelen zijn beschikbaar op: ironmountain.co.uk/eventbasedrecords.