Is de ondernemingsraad akkoord met het nieuwe GDPR personeelsbeleid?

De ondernemingsraad heeft het de afgelopen twee jaar als het goed is druk gehad met de voorbereiding voor de General Data Protection Act (GDPR).

Organisaties moeten de maatregelen die zij willen nemen om aan de GDPR te voldoen namelijk laten toetsen door de ondernemingsraad.

Zoals dat deels ook al het geval was bij de Wet Bescherming Persoonsgegevens (Wpb), de voorloper van de GDPR.

Persoonsgegevens in HR-systemen, aanwezigheidsregistratie, al dan niet verborgen camera’s en het opnemen van telefoongesprekken. Zo maar een aantal punten wasr de ondernemingsraad onder de Wet Bescherming Persoonsgegevens (Wpb) bij moest worden betrokken.

De GDPR gaat echter veel verder dan de Wpb. En wie zich verdiept in de ontwikkeling van ICT-systemen de laatste jaren begrijpt ook waarom.
De meeste gegevens in ICT-systemen zijn persoonsgegevens.

Organisaties moeten op basis van de GDPR nu kunnen aantonen dat de wet wordt nageleefd. Dat betekent ook dat moet kunnen worden aangetoond dat de ondernemingsraad akkoord is gegaan met de manier waarop persoonsgegevens van personeel binnen bedrijven wordt verwerkt. Dat geldt voor ieder systeem dat organisaties gebruiken.

Vrijwel alle werkprocessen zijn tegenwoordig gedigitaliseerd.

Door de koppeling aan accounts of email-adressen zijn de meeste gegevens in al die systemen ook persoonsgegevens. Want persoonsgegevens zijn alle gegevens die kunnen worden gerelateerd aan een direct of indirect identificeerbare persoon.

Ook al omdat vanwege informatiebeveiliging alle ‘acties’ worden gelogd, vastgelegd.

Aanwezigheid, gedrag of prestaties kunnen zo worden gevolgd. In sommige systemen is dat ook het uitdrukkelijke nevendoel (tracing & tracking, bijvoorbeeld van het vastleggen van alle klikken in een digitale nieuwsbrief).

Bijna alle digitale systemen vallen hiermee onder de Wbp en straks de AVG, maar ook onder het instemmingsrecht van de ondernemingsraad. Dat is een natuurlijk een uitdaging.

Werken met cloudapplicaties

Steeds meer applicaties, programma’s voor eindgebruikers, worden uitbesteed aan derden in de ‘cloud’. De verwerking van gegevens draait dan op standaard-software en servers van de dienstverlener via het internet.

Cloudcomputing brengt nieuwe risico’s met zich mee.

  • Welketoeleveranciers worden door de dienstverleners ingeschakeld?
  • In welk land staan de servers (de VS?).
  • Wat doet de service provider nog meer met de gegevens?
  • Worden er cookies gebruikt?
  • Is er een privacyverklaring en wat staat erin?

En dan speelt ten slotte nog de ontwikkeling van systemen voor netwerkbeheer en netwerkbeveiliging.

Tegen de achtergrond van het toenemende gevaar van cybercrime is het logisch dat apparatuur en software en daarmee indirect de gebruikers nauwkeurig worden gevolgd.

Sommige systemen leggen gedetailleerd vast welke websites worden bezocht, ook als deze niet geblokkeerd zijn (‘blacklisting).

Hoe declareert u?

Een goed voorbeeld van de explosie van verwerkingen is te zien bij de declaraties van privé-uitgaven aan de werkgever in grote internationale ondernemingen.

Bij het betalen in het buitenland gebruikt de werknemer hiervoor een verplichte creditcard van het bedrijf. Vervolgens wordt de uitgave verwerkt in een onkosten-managementsysteem.

Om alle zakelijke onkosten goed te kunnen managen worden deze gegevens ook nog verwerkt in analysesoftware (‘Business Intelligence’) waarin verschillende databronnen worden gecombineerd.

De vage grens tussen privé en zakelijk

Bij HR- en andere bedrijfssystemen is verwerking van persoonsgegevens alleen toegestaan als er een gerechtvaardigd belang is met een welbepaald en uitdrukkelijk omschreven doel.

En dan alleen als de verwerking in balans is met het privacybelang van de werknemer en er geen alternatief is dat minder sterk op de privacy ingrijpt.

Hoe zit dat bijvoorbeeld met het zakelijk gebruik van privé-telefoons en laptops (‘bring-your-own-device’)?

De grens tussen zakelijk en privé is soms vaag. Voor u het in de gaten heeft hebt u de GDPR overtreden.

Werknemers mogen privé bijvoorbeeld niet worden gevolgd met track-and-trace systemen. Dat is dus een probleem als het logsysteem in de laptop opslaat wanneer en waar de laptop is uitgezet.

Staat de doelbinding – de mogelijkheid om in geval van diefstal van een laptop met gevoelige persoonsgegevens van klanten of patienten op afstand te traceren of te wissen – in verhouding tot het risico dat de organisatie loopt en het recht op privacy van de werknemer?

Het is verstandig om dit soort dilemmas voor te leggen aan de ondernemingsraad. In geval van privacydilemma’s is het zelfs verplicht om de OR te consulteren.

Belangrijke GDPR informatie voor personeelsbeleid organisaties

De nieuwe algemene verordening gegevensbescherming (GDPR) heeft verreikende gevolgen voor veel bedrijven. PrivacyZone zet de belangrijkste aandachtspunten voor u op een rij.

De focus op het beschermen van persoonlijke gegevens – of het nu gaat om de gegevens van  klanten, werknemers of een andere persoon die in de EU woont – heeft een impact op alles, van marketing en verkoop tot HR en personeelwerving.

GDPR awareness

Het is dus belangrijk voor organisaties om te begrijpen wat hun verantwoordelijkheden zijn en hoe persoonsgegevens op een GDPR-conforme manier kunnen worden verwerkt.

Dat gaat veel verder dan het aanpassen van algemene voorwaarden en een privacy policy op de website van uw bedrijf.

Een belangrijk aspect bij het bewustwordingsproces voor de impact van de GDPR op de dagelijkse workflow is dat de medewerkers die persoonsgegevens gebruiken bij het werken met sollicitanten, medewerkers, leveranciers en klanten, weten aan welke regels zij zich moeten houden.

Meer rechten sollicitanten en medewerkers

Met de GDPR hebben sollicitanten en medewerkers meer rechten dan voorheen onder de Wet Bescherming Persoonsgegevens (Wpb).

Organisaties die hun processen en systemen al hadden afgestemd op de Wpb zullen echter niet veel moeten veranderen om te voldoen aan de GDPR.

Het is belangrijk dat u precies weet welke persoonsgegevens u verwerkt, waar de gegevens zijn opgeslagen en waarom u deze gegevens nodig bent.

Solicitanten hebben de volgende rechten:

Het recht om geïnformeerd te worden:  Onder GDPR moet u ‘eerlijke verwerkingsinformatie verstrekken’. Kandidaten informeren dat u hun gegevens verwerkt en hoe u dat doet.

De meeste bedrijven zullen al een privacyverklaring hebben waarin dit wordt uiteengezet. Daarnaast is het verstandig om ook interne protocollen op te stellen waarin precies wordt beschreven hoe uw bedrijf stap voor stap per situatie omgaat met het privacybeleid.

Op die manier verschaft u duidelijkheid aan uw medewerkers over wat zij van u mogen verwachten en wat u van hen verwacht.

Het is verstandig om sollicitanten via een online sollicitatieformulier een link naar deze informatie te geven. Dat is de beste manier om ervoor te zorgen dat ze op de hoogte zijn van uw privacy beleid.

Controleer of uw privacyverklaring alle informatie bevat die voor de GDPR nodig is.

Het recht van toegang

Het recht op toegang tot persoonlijke gegevens, en ook de toegang tot alle andere gegevens die betrekking hebben op sollicitanten, medewerkers en klanten, was al vastgelegd in de wet op de bescherming van persoonsgegevens.

Door de privacywet GDPR veranderen er een paar dingen.

  1. U mag geen kosten in rekening brengen voor informatie die opgevraagd wordt op basis van de GDPR.
  2. U dient veel sneller te reageren op inzageverzoeken dan voorheen. U moet van de GDPR binnen een maand reageren. Dit onderstreept het belang van een duidelijk beeld van waar alle gegevens die uw bedrijf verwerkt zijn opgeslagen, zodat u er snel toegang toe hebt.
  3. De GDPR geeft het recht op correctie. Als iemand een fout ontdekt in de informatie die hij heeft opgevraagd, heeft hij recht op correctie binnen een maand.Als uw gegevens bijvoorbeeld een verkeerde functiebenaming, huidig salaris of verkeerde contactgegevens bevatten, moet u deze snel aanpassen.

    Bedrijven met veel personeel en vacatures zullen het makkelijker vinden om kandidaten zelf toegang te geven tot hun gegevens en deze te corrigeren.

    Kandidaten laten inloggen op hun persoonlijke profiel (een kandidatenportaal) is een goede manier om dit te beheren, en ze kunnen ook CV’s en andere informatie op hun eigen gemak bijwerken.

  4. Het recht om te worden vergeten (of gewist).U mag persoonsgegevens niet langer bewaren dan strikt noodzakelijk is voor het doel waarvoor u de informatie hebt gekregen. Informatie van sollicitanten die niet zijn aangenomen moet u meteen weer verwijderen.

Tip: vraag sollicitanten of ze in uw talentenpool willen worden opgenomen.

Veel bedrijven hebben momenteel grote moeite om geschikt personeel te vinden. Het lijkt dan handig om kandidaten die zijn afgevallen, maar wel interessant zijn voor de toekomst, toch in een database op te slaan. Dat mag alleen als daarvoor toestemming is gevraagd aan deze sollicitant en deze toestemming schriftelijk is bevestigd.

U zou deze kandidaten bijvoorbeeld kunnen vragen of zij in uw talentenpool willen worden opgenomen. Leg uit waarom dat voor u en voor de kandidaten interessant kan zijn.

U mag de informatie van deze sollicitanten daarna niet langer dan een jaar bewaren.

Medewerkers mogen ook gegevens laten wissen

Medewerkers kunnen u ten allen tijde vragen om inzage in hun gegevens en om informatie in hun dossier te verwijderen. Nogmaals, de termijn hiervoor is een maand, hoewel er een aantal redenen zijn waarom u kunt weigeren.

Het kan bijvoorbeeld nodig zijn dat u persoonsgegevens bewaart om aan een wettelijke verplichting te voldoen (belastingdienst), of als u hun gegevens verwerkt ‘voor de uitvoering van een taak van algemeen belang’ of in het kader van de uitoefening van het openbaar gezag. Deze gegevens mag u dan soms niet verstrekken of verwijderen.

Het belang van ‘consent’

Een belangrijk aspect van GDPR dat u waarschijnlijk bent tegengekomen is ‘consent’. U hebt dit mogelijk zo geïnterpreteerd dat kandidaten u toestemming moeten geven om hun gegevens te verwerken.

Dit geldt voor bepaalde soorten activiteiten. Bijvoorbeeld als u van plan bent om een kandidaat toe te voegen aan uw marketinglijst in de hoop dat ze uw producten of diensten te kopen, maar ook solliciteren naar een baan.

Wat werving betreft, wordt door sollicitanten impliciet toestemming gegeven om hun gegevens te verwerken wanneer ze solliciteren naar een functie of hun gegevens uploaden naar uw kandidatenportaal. Uiteraard mag u deze gegevens dan alleen voor dit doel verwerken.

Aantonen van legitiem belang

In GDPR gaat het om ‘het kunnen aantonen van een legitiem belang’, d.w.z. dat je hun gegevens moet verwerken om ze te kunnen gebruiken voor een sollicitatiegesprek, of om de juiste opportuniteit voor hen te identificeren.

Bij uitzendorganisaties en recruitmentbureaus is het verkrijgen van toestemming van kandidaten om hun gegevens te verwerken, en in het bijzonder om deze door te geven aan derden, d.w.z. klanten / potentiële werkgevers, van groot belang. Het is de moeite waard om bij alle bureaus waarmee u werkt na te gaan of ze toestemming hebben van kandidaten voordat ze deze gegevens met u delen. Dit biedt uw bedrijf extra bescherming tegen niet-naleving.

Hebt u uw systemen op orde?

Een ander zeer belangrijk aspect van GDPR is natuurlijk dat u over de juiste systemen en processen beschikt om de persoonsgegevens van uw kandidaten te beschermen. Vaak bevatten deze gegevens vrij gevoelige informatie.

Een sollicitant met een hoog profiel en een privé-functie zal  bijvoorbeeld niet willen dat deze informatie openbaar wordt.

Voorkom beschadigde relaties

Naast het risico van mogelijke boetes voor niet-naleving in het geval van een overtreding van de GDPR, kan uw bedrijf ook aanzienlijke reputatieschade oplopen. En vergeet niet de schade die uw overtreding kan toebrengen aan de relaties met kandidaten en medewerkers.

Zorg ervoor dat uw bedrijf zorgvuldig om gaat met persoonsgegevens van medewerkers, sollicitanten, klanten en leveranciers. Zorg er voor dat hun persoonsgegevens bij uw bedrijf veilig zijn.

Neem contact op met PrivacyZone

Als u naar aanleiding van dit artikel vragen heeft over de impact van de GDPR voor uw HR-beleid kunt u contact opnemen met Gert Brouwer van PrivacyZone. Wij helpen u graag.

6 HR methoden die volgens de GDPR streng verboden zijn

Veel bedrijven hebben momenteel grote moeite om geschikt personeel te vinden. HR-afdelingen bedenken daarom tal van creatieve methoden om op de krappe arbeidsmarkt toch nieuwe werknemers te werven.  Deze creativiteit wordt door de privacywet GDPR / AVG aan banden gelegd. Lees de 6 HR wervingsmethoden die niet langer zijn toegestaan.

 

1. Ongevraagde verspreiding van cv’s door personeelsadviseurs

  • Dubieuze headhunters en personeelsadviseurs verzamelen op internet ongevraagd de cv’s van interessante kandidaten en sturen die door naar bedrijven die vacatures hebben openstaan.
  • Dat is onder de GDPR ten strengste verboden.
  • De privacywet bepaalt er uitdrukkelijke toestemming moet zijn gegeven voor het doorgeven van persoonsgegevens.

2. Sollicitanten screenen op sociale media als Facebook, Twitter of Instagram

  • Bij de selectie van de juiste kandidaat vertrouwen sommige HR-afdelingen de laatste jaren niet langer uitsluitend op CV’s of motivatiebrieven. Zij gebruiken sociale media als Facebook, Twitter en Instagram om een authentieke indruk van sollicitanten te krijgen.
  • Bij bijzonder gewilde functies, zoals IT-specialisten, worden daarnaast recruiters steeds actiever. In plaats van met de vingers over elkaar te blijven staan en te wachten op geschikte sollicitaties, gaat de recruiter van vandaag op internet direct op zoek naar de juiste kandidaat. Met speciale aandacht voor sociale netwerken.
  • HR-afdelingen en recruiters die sociale media gebruiken overtreden de nieuwe Europese privacywet GDPR.
  • Persoonsgegevens op private sociale netwerken zoals Facebook, Twitter, YouTube, Instagram of Snapchat mogen door bedrijven niet meer in een professionele context verwerkt worden.
  • De enige uitzonderingen op deze regel is Linkedin, omdat dit zakelijke sociale netwerk juist tot doel heeft om werkzoekenden en werkgevers met elkaar te verbinden.
  • Iedereen die een account heeft op LinkedIn heeft expliciet toestemming gegeven om zijn persoonsgegevens voor dit doel te gebruiken.

3. Langdurige opslag van gegevens van sollicitanten

  • Bedrijven die de cv’s van sollicitanten archiveren als de functie is vervuld overtreden de privacywet.
  • Sommige bedrijven slaan de persoonsgegevens van sollicitanten op om hen wellicht later toch nog te kunnen benaderen voor een nieuwe vacature. Dat is in strijd met de GDPR.
  • Als een vacature is vervuld moeten de sollicitaties van alle afgevallen kandidaten vernietigd worden.
  • Tenzij deze kandidaten expliciet toestemming hebben gegeven om hun persoonsgegevens op te slaan in een talentenpool. Dan mogen de cv’s nog maximaal een jaar worden opgeslagen.

4. Eindeloze formulieren om gegevens te verzamelen

  • De GDPR / AVG bepaalt dat alleen die persoonsgegevens mogen worden verzameld die absoluut noodzakelijk zijn voor het verdere doel.
  • Welke gegevens nodig zijn om de juiste kandidaten te selecteren, hangt af van het werkgebied.
  • HR-afdelingen die sollicitanten een eindeloos formulier laten invullen bij een sollicitatie overtreden de privacywet.

5. Vragen om een sollicitatiefoto

  • Het verzoek om een pasfoto van een sollicitant is niet langer legitiem. De foto zegt niets over beroepsbekwaamheid en is daarom niet noodzakelijk is voor de selectieprocedure.

 

6. Aanbevelingen ontvangen via eigen medewerkers

  • Bedrijven belonen in toenemende mate hun eigen medewerkers wanneer zij geschikte kandidaten aanbevelen. Medewerkers sturen dan vaak het CV van een vriend of bekende samen met een persoonlijk advies naar de HR-afdeling.
  • Hoewel dergelijke aanbevelingen voor elke rekruteerder goud waard zijn, brengen ze een groot risico voor de gegevensbescherming met zich mee als de aanbevolen kandidaten niet uitdrukkelijk hebben ingestemd met de verdere verwerking van de gegevens.
  • Om ook in de toekomst van eigen medewerkers aanbevelingen te kunnen blijven ontvangen en verwerken dient in het ideale geval elektronisch controleerbare goedkeuring te worden verkregen van de aanbevolen kandidaten.