Het klinkt voor de meesten vreselijk saai, totdat je leest over de bedrijfskritische boetes, tot aan 4% van de globale omzet of 20 miljoen euro, dat wat hoger is. De nieuwe Europese Algemene Verordening Gegegevensbescherming (AVG) gaat op 25 mei 2018 van kracht. Als bedrijven vanaf dan nog privacyregels schenden omtrent bepaalde klant- en persoonsgegevens, gaat elk alarm af.
Ónbelangrijk is de oorzaak van het lekken van gegevens. Een neerstortend vliegtuig, brand, een hacker, een boze medewerker, een slordige medewerker, een inbreker. Allemaal irrelevant zolang je niet aantoont dat er alles is gedaan aan het zorgvuldig in kaart brengen waar persoonsgegevens zich bevinden, waarom, met welk doel, in welk proces en met welke retentie- en beleidsregels.
Werk voor HR
Een Data Protection Officer (DPO) aanstellen is verplicht voor de publieke sector maar ook als bij het gebruik van persoonsgegevens sprake is van op grote schaal reguliere en systematische monitoring van de betrokkenen. Of wanneer het gebruik van de gegevens hoofdzakelijk het op grote schaal verwerken van bijzondere persoonsgegevens betreft. Dit zijn gegevens over o.a. ras, gezondheid, genetische gegevens, politieke voorkeur of godsdienst. De rol van een DPO is het bijhouden van een register en daarnaast het opzetten van regels met betrekking tot de persoonsgegevens en de processen die hierbij betrokken zijn. Voor HR betekent dit dat naast alle bestaande retentie regels en richtlijnen, de processen in kaart moeten worden gebracht en beoordeeld op basis van de nieuwe wetgeving.
Besef dat er klanten, sollicitanten en oud-medewerkers zijn die daadwerkelijk en met passie geven om hun privacy-rechten en kunnen verzoeken om in te zien wat u van hen heeft aan informatie. Ze kunnen straks ook vragen om vergeten te worden. Besef ook dat er personen gaan verschijnen die met kwade zin naar mogelijkheden gaan kijken omtrent deze wet. Zijn de gegevens verwijderd uit het softwaresysteem, maar staat er nog een kast met dossiers in de kelder met persoonsinformatie? Of is er nog een digitale back-up waarop gegevens staan? Of werkt u nog steeds met netwerkschijven en folders en staat daar nog informatie? Of in de privédropbox van uw medewerker? Of bij uw archiefbeheerder?
Kortom, het is tijd om goed naar de organisatie en planning te kijken van uw processen waarin persoonsgegevens rondgaan. U heeft nog veertien maanden.