Veel Europese landen en organisaties zitten nog steeds in een transitiefase. Er zijn voor zover bekend geen boetes uitgedeeld en dat is begrijpelijk. Bedrijven en instellingen beschikken over enorme hoeveelheden persoonsgegevens. Zeker als je vrij rigide systemen hebt, zijn aanpassingen complex en tijdrovend. De GDPR-compliance is bovendien vaak een inhaalslag: toen de bulk van de data werd ingevoerd waren de regels nog niet van kracht. De Europese Unie en de nationale toezichthouders zullen over het algemeen dan ook niet direct boetes opleggen. Ook na een jaar is er de nodige coulance en zullen er hooguit eerst waarschuwingen uitgedeeld worden.
De belangrijkste winst
De belangrijkste winst van de nieuwe privacyregels is vooral dat we ons beter bewust zijn van de data die we als bedrijf beheren en hoe we daarmee omgaan. De inwerkingtreding van GDPR en AVG was omgeven met veel negativiteit, vooral vanwege de extra regels, de noodzakelijke handelingen en omdat de enorme boetebedragen nogal prominent boven de markt hingen. Toch is de omslag in denken over de omgang met persoonsgegevens positief. Waar het op neer komt: je moet een goede reden hebben om data te verzamelen en te bewaren.
Voor HRM is dat een belangrijk punt. We moeten onszelf steeds de vraag stellen: hebben we de data die we verzamelen echt nodig en waarvoor precies? Veel organisaties – zeker de grotere – hebben dan ook een GDPR-specialist aangesteld die voortdurend de compliance monitort. Kunnen we uitleggen aan onze medewerkers en onszelf dat we deze informatie, op deze locatie, op dit moment en voor deze periode echt nodig hebben?
Fysieke beperking vastleggen?
In een recente podcast gaf Marcel Pieters van Deloitte een concreet voorbeeld. Hij legde uit dat je iemands fysieke beperking kunt vastleggen in het personeelsdossier. Maar als die beperking geen impact heeft op het functioneren, dan is er geen grondslag om die gegevens in je systeem vast te leggen. De medewerker heeft dan het recht om te weigeren die informatie te delen. Zo is er ook nog het recht om gegevens te veranderen of na een bepaalde periode te vergeten. Waar we vroeger bijna automatisch en autonoom gegevens vastlegden, moeten we nu beter nadenken over de grondslag en rekening houden met de rechten van medewerkers.
Nog niet alles perfect op orde
Nog steeds is dat een complexe klus. Met een HRM-systeem in de cloud heb je wel een voorsprong vergeleken met on-premises oplossingen. Je hebt dan meer flexibiliteit om bijvoorbeeld bepaalde datavelden per land wel of niet beschikbaar te maken, al naar gelang de situatie daar. On-premises systemen zijn gebouwd om data te bewaren en niet om te verwijderen. Bovendien zijn die gegevens vaak in zoveel verschillende applicaties verwerkt, dat het lastig is om ze er weer uit te krijgen.
De conclusie na een jaar GDPR is dat de meeste organisaties waarschijnlijk al goede stappen gezet hebben, maar dat nog niet alles perfect op orde is. Dat is geen levensdelict, maar het is wel goed om ermee bezig te blijven. Stop niet na de aanvankelijke sprint. En zorg ervoor dat de privacyregels intrinsiek onderdeel zijn van alle processen in HRM. Dat is een veel slimmere en snellere route dan je achteraf te moeten afvragen of wat je doet wel GDPR-compliant is.