MKB wil vanwege AVG investeren in deskundige privacyspecialisten. Maar daar zijn er te weinig van

Kleine en middelgrote bedrijven hebben grote moeite om goed opgeleide privacydeskundigen aan te stellen. Er is grote concurrentie op de vacaturemarkt voor deze mensen. Het MKB delft vaak het onderspit tegen grote bedrijven.

De vraag naar interne en externe privacyspecialisten is volgens Duits en Amerikaans onderzoek booming vanwege de Algemene Verordening Gegevensbescherming (AVG) en het toenemende risico van cyberaanvallen.

De cyberrisico’s worden steeds groter. De impact van malware als WannaCry en het verstrekkende UEFI-virus Lojax zet managers aan het denken. “Stel dat onze organisatie wordt getroffen door zo’n virus, wat betekent dat dan voor ons? Hoe kunnen wij ons beter beveiligen?”

Dit komt duidelijk tot uiting in de groei van de markt voor IT-beveiligingsproducten en -diensten in het zakelijke klantensegment (B2B). De markt voor IT-beveiligingsdiensten groeit komend jaar naar verwachting met bijna 23 procent. In 2020 neemt volgens het Duitse onderzoek het huidige volume met meer dan 15 procent toe van ruim 5,7 miljard euro tot bijna 6,6 miljard euro.

De uitgaven voor IT-beveiligingsdiensten zullen nog sterker stijgen, met bijna 23 procent, van ruim 3,1 miljard euro naar ruim 3,8 miljard euro.

IT-beveiligingsmanagers kampten tot dusver heel vaak met het dillemma hoe ze investeringen in beveiliging moesten verantwoorden tegenover de Chief Financial Officer (CFO), aan wie zij vaak ondergeschikt zijn. Tegenwoordig kunnen zij wel rekenen op steun en budget.

De winstgevendheid van IT-beveiligingsmaatregelen is niet zo gemakkelijk te bewijzen als die van andere technologische investeringen. Maar de dreigende AVG-boetes en het dagelijkse nieuws over datalekken, cybercriminaliteit en de gevolgen daarvan hebben veel CFO’s en commerciële directeuren er nu van overtuigd dat er voldoende middelen beschikbaar moeten worden gesteld om de organisatie te beschermen.

Er is behoefte aan deskundig personeel dat er voor zorgt dat de technische en organisatorische maatregelen die de organisatie vanwege de Algemene Verordening Gegevensbescherming en de cyberrisico’s heeft genomen ook dagelijks gemanaged worden. Er zijn specialisten nodig die actueel veiligheidsbeleid ontwikkelen en de organisatie alert houden. Er duiken dagelijks nieuwe bedreigingen op.

Ziekmelding en AVG: Welke vragen mogen werkgevers wel en welke mogen ze niet stellen? En wat mag er geregistreerd worden?

De Autoriteit Persoonsgegevens (AP) heeft in 2016 strenge nieuwe richtlijnen gepubliceerd over registratie van ziekteverzuim.

Die regels blijken in de praktijk zo lastig toepasbaar dat het ministerie van SZW besloten heeft met een toelichting te komen.

Het ministerie poogt met een document meer duidelijkheid te bieden over welke vragen werkgevers volgens de privacyregels van de AVG wel en niet mogen stellen aan zieke werknemers, en wat wel en niet geregistreerd mag worden.

De toelichting heeft betrekking op de periode van de ziekmelding tot het eerste advies van de bedrijfsarts.

Verwerken van gegevens bij ziekmelding

Werkgevers mogen volgens de Algemene verordening gegevensbescherming (AVG) slechts beperkt gegevens vragen en verwerken van een werknemer in het kader van een ziekmelding of re- integratieproces.

In de beleidsregels ‘De zieke werknemer’ (1) heeft de Autoriteit Persoonsgegevens beschreven welke gegevens dat zijn: de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen.

In dat kader mag de werkgever (2) de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen (3) van de werknemer.

Het is in het belang van de werknemer om zijn werkgever bij de ziekmelding te melden dat hij door ongeschiktheid ten gevolge van ziekte niet in staat is om zijn normale werkzaamheden4 te verrichten.

De werkgever mag bij de ziekmelding vragen naar de vermoedelijke duur van het verzuim.

Terugkeer naar werk

De werkgever en de werknemer kunnen het gesprek aangaan over de manier waarop de terugkeer naar werk invulling kan krijgen. Daarbij kan de werknemer zelf aangeven of hij bepaalde (deel)taken, (deel)functies of werkzaamheden nog wel kan verrichten.

Goed werknemerschap (5) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.

De werkgever mag hier echter geen druk op uitoefenen en hier niet naar vragen.

Zo nodig kan hij de bedrijfsarts vragen welke (deel)taken, (deel)functies of werkzaamheden de werknemer nog wel kan verrichten.

Werkafspraken

Van het gesprek tussen werkgever en werknemer mag worden vastgelegd welke werkafspraken zijn gemaakt in de zin van uit te voeren taken of werkzaamheden.

Als er op initiatief van de werknemer eventueel gesproken is over functionele mogelijkheden en beperkingen of een diagnose of behandeling, dan worden die gegevens niet geregistreerd door de werkgever.

De werkgever kan de functionele mogelijkheden en beperkingen die door de bedrijfsarts zijn vastgesteld en gedeeld met werknemer en werkgever wel registreren.

Als de omstandigheden daar aanleiding toe geven, kan zowel de werkgever als de werknemer de bedrijfsarts inschakelen in een eerder stadium dan de wettelijke voorgeschreven termijn van maximaal zes weken na de ziekmelding.

Toelichting

(1 ) De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens, z2015-00774 – 23 februari 2016.

(2) En aan de werkgever gelijk te stellen functionarissen zoals casemanagers.
(3) Bijvoorbeeld: ‘hoeveel kun je nog tillen’; ‘kun je op je knieën zitten’; ‘hoe lang kun je geconcentreerd werken’; ‘is hectiek op de afdeling een probleem’; ‘kun je in een groep werken’.

(4) Hiermee wordt bedoeld “de bedongen arbeid”: in arbeidsrechtelijke zin de overeengekomen arbeidsduur en de overeengekomen inhoudelijke werkzaamheden die de werknemer verricht op grond van de arbeidsovereenkomst.

(5) Artikel 7:611 BW

SAP verbetert software voor hr-managers om te helpen te voldoen aan privacywet

Softwareleverancier SAP lanceert nieuwe beveiligingsopties en privacyfuncties voor de hcm-suite hcm-suite Succesfactors. De nieuwe opties moeten hr-managers helpen om eenvoudiger maken te voldoen aan de GDPR (General Data Protection Regulation) die op 25 mei 2018 ingaat.

De nieuwe functies in SAP Succesfactors dragen bij aan een zorgvuldige omgang met persoonsgegevens, van bijvoorbeeld (ex-)medewerkers en klanten,  en een betere governance.

De nieuwe functies die SAP heeft toegevoegd:

Toestemmingsbeheer: Expliciete toestemming van de betrokkene is een van de grondslagen waarop een organisatie persoonsgegevens mag verwerken. Deze functie helpt organisaties bij het instellen, beheren en accepteren van toestemmingsverklaringen. Zo kunnen recruiters verklaringen opstellen in alle talen die relevant zijn voor het bedrijf en waarborgen dat kandidaten toestemming geven voordat ze solliciteren op een functie’, aldus SAP.

Blokkeren data: Met deze functie kan de toegang tot persoonsgegevens worden beperkt en een termijn worden ingesteld, waarbij niet elke gebruiker dezelfde rechten heeft. Een voorbeeld: een medewerker van de hr-servicedesk hoeft misschien alleen gegevens van medewerkers uit het afgelopen jaar te bekijken, terwijl een hr-systeembeheerder de volledige geschiedenis van een werknemer moet kunnen inzien.

“Organisaties slaan allerlei gegevens op over werknemers en externe kandidaten”, legt SAP uit. “Van namen en adressen tot beoordelingen en informatie over hun gezondheid. Deze functie genereert een rapportage van alle persoonsgegevens van een individu in de SAP Successfactors-oplossingen. Dit is in lijn met recht op inzage: betrokkenen moeten kunnen achterhalen welke persoonsgegevens van hen worden verwerkt.”

Dataverwijdering: Als organisaties persoonsgegevens langer dan noodzakelijk bewaren, lopen ze een verhoogd risico op wetsovertredingen en datalekken. Onder de GDPR moeten persoonsgegevens permanent worden verwijderd als er geen juridische grondslag meer is om ze te bewaren. Klanten kunnen met deze functie bewaartermijnen in specifieke landen of branches definiëren en de data permanent wissen als deze termijnen aflopen.