Is de ondernemingsraad akkoord met het nieuwe GDPR personeelsbeleid?

De ondernemingsraad heeft het de afgelopen twee jaar als het goed is druk gehad met de voorbereiding voor de General Data Protection Act (GDPR).

Organisaties moeten de maatregelen die zij willen nemen om aan de GDPR te voldoen namelijk laten toetsen door de ondernemingsraad.

Zoals dat deels ook al het geval was bij de Wet Bescherming Persoonsgegevens (Wpb), de voorloper van de GDPR.

Persoonsgegevens in HR-systemen, aanwezigheidsregistratie, al dan niet verborgen camera’s en het opnemen van telefoongesprekken. Zo maar een aantal punten wasr de ondernemingsraad onder de Wet Bescherming Persoonsgegevens (Wpb) bij moest worden betrokken.

De GDPR gaat echter veel verder dan de Wpb. En wie zich verdiept in de ontwikkeling van ICT-systemen de laatste jaren begrijpt ook waarom.
De meeste gegevens in ICT-systemen zijn persoonsgegevens.

Organisaties moeten op basis van de GDPR nu kunnen aantonen dat de wet wordt nageleefd. Dat betekent ook dat moet kunnen worden aangetoond dat de ondernemingsraad akkoord is gegaan met de manier waarop persoonsgegevens van personeel binnen bedrijven wordt verwerkt. Dat geldt voor ieder systeem dat organisaties gebruiken.

Vrijwel alle werkprocessen zijn tegenwoordig gedigitaliseerd.

Door de koppeling aan accounts of email-adressen zijn de meeste gegevens in al die systemen ook persoonsgegevens. Want persoonsgegevens zijn alle gegevens die kunnen worden gerelateerd aan een direct of indirect identificeerbare persoon.

Ook al omdat vanwege informatiebeveiliging alle ‘acties’ worden gelogd, vastgelegd.

Aanwezigheid, gedrag of prestaties kunnen zo worden gevolgd. In sommige systemen is dat ook het uitdrukkelijke nevendoel (tracing & tracking, bijvoorbeeld van het vastleggen van alle klikken in een digitale nieuwsbrief).

Bijna alle digitale systemen vallen hiermee onder de Wbp en straks de AVG, maar ook onder het instemmingsrecht van de ondernemingsraad. Dat is een natuurlijk een uitdaging.

Werken met cloudapplicaties

Steeds meer applicaties, programma’s voor eindgebruikers, worden uitbesteed aan derden in de ‘cloud’. De verwerking van gegevens draait dan op standaard-software en servers van de dienstverlener via het internet.

Cloudcomputing brengt nieuwe risico’s met zich mee.

  • Welketoeleveranciers worden door de dienstverleners ingeschakeld?
  • In welk land staan de servers (de VS?).
  • Wat doet de service provider nog meer met de gegevens?
  • Worden er cookies gebruikt?
  • Is er een privacyverklaring en wat staat erin?

En dan speelt ten slotte nog de ontwikkeling van systemen voor netwerkbeheer en netwerkbeveiliging.

Tegen de achtergrond van het toenemende gevaar van cybercrime is het logisch dat apparatuur en software en daarmee indirect de gebruikers nauwkeurig worden gevolgd.

Sommige systemen leggen gedetailleerd vast welke websites worden bezocht, ook als deze niet geblokkeerd zijn (‘blacklisting).

Hoe declareert u?

Een goed voorbeeld van de explosie van verwerkingen is te zien bij de declaraties van privé-uitgaven aan de werkgever in grote internationale ondernemingen.

Bij het betalen in het buitenland gebruikt de werknemer hiervoor een verplichte creditcard van het bedrijf. Vervolgens wordt de uitgave verwerkt in een onkosten-managementsysteem.

Om alle zakelijke onkosten goed te kunnen managen worden deze gegevens ook nog verwerkt in analysesoftware (‘Business Intelligence’) waarin verschillende databronnen worden gecombineerd.

De vage grens tussen privé en zakelijk

Bij HR- en andere bedrijfssystemen is verwerking van persoonsgegevens alleen toegestaan als er een gerechtvaardigd belang is met een welbepaald en uitdrukkelijk omschreven doel.

En dan alleen als de verwerking in balans is met het privacybelang van de werknemer en er geen alternatief is dat minder sterk op de privacy ingrijpt.

Hoe zit dat bijvoorbeeld met het zakelijk gebruik van privé-telefoons en laptops (‘bring-your-own-device’)?

De grens tussen zakelijk en privé is soms vaag. Voor u het in de gaten heeft hebt u de GDPR overtreden.

Werknemers mogen privé bijvoorbeeld niet worden gevolgd met track-and-trace systemen. Dat is dus een probleem als het logsysteem in de laptop opslaat wanneer en waar de laptop is uitgezet.

Staat de doelbinding – de mogelijkheid om in geval van diefstal van een laptop met gevoelige persoonsgegevens van klanten of patienten op afstand te traceren of te wissen – in verhouding tot het risico dat de organisatie loopt en het recht op privacy van de werknemer?

Het is verstandig om dit soort dilemmas voor te leggen aan de ondernemingsraad. In geval van privacydilemma’s is het zelfs verplicht om de OR te consulteren.

SAP verbetert software voor hr-managers om te helpen te voldoen aan privacywet

Softwareleverancier SAP lanceert nieuwe beveiligingsopties en privacyfuncties voor de hcm-suite hcm-suite Succesfactors. De nieuwe opties moeten hr-managers helpen om eenvoudiger maken te voldoen aan de GDPR (General Data Protection Regulation) die op 25 mei 2018 ingaat.

De nieuwe functies in SAP Succesfactors dragen bij aan een zorgvuldige omgang met persoonsgegevens, van bijvoorbeeld (ex-)medewerkers en klanten,  en een betere governance.

De nieuwe functies die SAP heeft toegevoegd:

Toestemmingsbeheer: Expliciete toestemming van de betrokkene is een van de grondslagen waarop een organisatie persoonsgegevens mag verwerken. Deze functie helpt organisaties bij het instellen, beheren en accepteren van toestemmingsverklaringen. Zo kunnen recruiters verklaringen opstellen in alle talen die relevant zijn voor het bedrijf en waarborgen dat kandidaten toestemming geven voordat ze solliciteren op een functie’, aldus SAP.

Blokkeren data: Met deze functie kan de toegang tot persoonsgegevens worden beperkt en een termijn worden ingesteld, waarbij niet elke gebruiker dezelfde rechten heeft. Een voorbeeld: een medewerker van de hr-servicedesk hoeft misschien alleen gegevens van medewerkers uit het afgelopen jaar te bekijken, terwijl een hr-systeembeheerder de volledige geschiedenis van een werknemer moet kunnen inzien.

“Organisaties slaan allerlei gegevens op over werknemers en externe kandidaten”, legt SAP uit. “Van namen en adressen tot beoordelingen en informatie over hun gezondheid. Deze functie genereert een rapportage van alle persoonsgegevens van een individu in de SAP Successfactors-oplossingen. Dit is in lijn met recht op inzage: betrokkenen moeten kunnen achterhalen welke persoonsgegevens van hen worden verwerkt.”

Dataverwijdering: Als organisaties persoonsgegevens langer dan noodzakelijk bewaren, lopen ze een verhoogd risico op wetsovertredingen en datalekken. Onder de GDPR moeten persoonsgegevens permanent worden verwijderd als er geen juridische grondslag meer is om ze te bewaren. Klanten kunnen met deze functie bewaartermijnen in specifieke landen of branches definiëren en de data permanent wissen als deze termijnen aflopen.