Strengere privacyregels bezorgen HR veel extra werk

0

Een HR-adviseur laat een negatieve beoordeling van een personeelslid in de kantine liggen. Moet haar organisatie dit melden bij de Autoriteit Persoonsgegevens? Tijdens het XpertHR College ‘AVG, een jaar later’ legde advocaat Steffie Schepers deze vraag voor aan de deelnemers. Een ruime meerderheid gaf het juiste antwoord.

En dat antwoord is? Ja, zegt Steffie Schepers van RWV Advocaten, want collega’s kunnen de negatieve beoordeling en de slechte financiële resultaten van de medewerker inzien. ‘Hoewel het gaat om de gegevens van één persoon, is het wel gevoelige informatie die kan leiden tot reputatieschade en uitsluiting door collega’s.’ Zij raadt ook aan de persoon zelf op de hoogte te stellen. Hoe pijnlijk ook, het getuigt van goed werkgeverschap om fouten ook bij de betrokkene te melden.

avg

Steffie Schepers

Schepers gaf een jaar geleden ook een XpertHR College toen de Algemene Verordening Gegevensbescherming (AVG) werd ingevoerd. Nu vertelde ze dat de regels soms wel ver gaan en bijzondere situaties kunnen opleveren. Zo mogen kerkgangers in Gorichem alleen voor zieken bidden als die daar uitdrukkelijk toestemming voor hebben gegeven.

 

Datalek bij Uber

De Autoriteit Persoonsgegevens heeft al controles uitgevoerd, maar niet bij de kerk. Wel bij overheidsinstellingen en grote bedrijven, zoals  ziekenhuizen en verzekeringsmaatschappijen. Voor het UWV kwam de sanctie om gegevens beter te beveiligen te laat, want in april 2019 bleken ruim honderdduizend cv’s illegaal te zijn gedownload. Vervoersdienst Uber moet 600 duizend euro boete betalen voor het te laat melden van een datalek.

Voor HR leveren de strengere privacyregels veel extra werk op. Volgens Schepers hebben veel organisaties een aantal nieuwe klussen bij de personeelsafdeling neergelegd. Bijvoorbeeld het opstellen en bijhouden van een verwerkingsregister. In dit register zijn alle verwerkingen van persoonsgegevens te vinden. De Autoriteit Persoonsgegeven kan controleren of het op orde is. In het personeelsdossier van de medewerker zijn onder meer de salarisgegevens, beoordelingsverslagen, eventuele klachten en soms de privacyverklaring opgenomen. Medewerkers kunnen een verzoek om inzage doen.

Tips van Steffie Schepers voor HR:

  • Maak gebruik van een geschikt model, bijvoorbeeld in Excel. Zet alle werknemers en klanten in één verwerkingsregister. Zet per klant of werknemer de doeleinden en de verwerking bij elkaar.
  • Betrek er van iedere afdeling één contactpersoon met kennis van zaken bij (bijvoorbeeld inkoop, verkoop, financiën en ict)

Privacygevoelig

Nog één praktijkvoorbeeld om uw AVG-kennis te testen. Een HR-medewerker heeft een vakantieverzoek van een medewerkster laten slingeren in het kopieerhok. Moet de organisatie dat melden bij de Autoriteit Persoonsgegevens? Ruim zeventig procent van de deelnemers aan het online-college zei: nee. Dat was het goede antwoord, want het ging in dit geval om een gering aantal persoonsgegevens en de informatie was niet privacygevoelig op het hoogste niveau.

Steffie Schepers: ‘Het was anders geweest als alle vakantieverzoeken van de medewerkers op straat kwamen te liggen. Dan hadden dieven hun slag kunnen slaan.’

Ook lezen:

Kwart van de organisaties heeft nog geen avg-bedrijfsbeleid opgesteld

Lees meer over:

Over Auteur

Jolan Douwes is auteur van XpertHR. Behalve journalist is zij ook loopbaanadviseur. Zo pikt ze de laatste ontwikkelingen op het gebied van werk snel op. Voor XpertHR Actueel schrijft ze onder andere interviews en praktijkverhalen.