Vanaf 25 mei 2018 treedt de ‘General Data Protection Regulation’ (GDPR) in werking. Elke organisatie is verplicht aanvullende maatregelen te nemen om (het gebruik van) de data van gebruikers te beschermen. Bij het niet naleven van de regels staan er hoge boetes op het spel.

Maar wat betekent dit voor jouw organisatie? Welke aanvullende maatregelen moeten er getroffen worden en hoe moet je dat vervolgens doorvoeren? Yellow Yard denkt vooruit en biedt alvast een overzicht van de gevolgen voor jouw dagelijkse praktijk. Aan het einde van onze themamaand komt het vervolg op dit artikel waarin wij ingaan op wat wij als jouw Recruitment Software-leverancier hebben gedaan en gaan doen om aan de nieuwe wetgeving te voldoen. Zodat jij ervan verzekerd bent dat de gehele keten voldoet aan de eisen.

Belangrijke kanttekening: wil je echt zeker weten dat jouw organisatie en je leveranciers klaar zijn voor deze wetgeving? Neem dan contact op met een compliance-specialist. Dit artikel is enkel en alleen bedoeld om te informeren en niet als checklist te hanteren. Het is op dit moment ook niet te zeggen of en hoe op deze wetgeving wordt gehandhaafd. Daarom zijn de voorbeelden die hieronder volgen puur onze interpretatie van de aankomende wet.
Zo, tot zover de juridische disclaimer! 

De GDPR is aanvullende wetgeving. Dit betekent dat alle bestaande regelgeving blijft gelden; er komen alleen nog wat regels en boetes bij. De wetgeving beschrijft rechten voor elke ingezetene van elk land dat binnen de Unie valt, ongeacht locaties van servers en dergelijke. Kort gezegd: zodra data van een Europeaan binnen Europa op enigerlei wijze door jouw bedrijf of leveranciers van jouw bedrijf verwerkt of beheerd wordt, moet jouw bedrijf zich houden aan de GDPR. Boetebedragen kunnen, bij het schenden van rechten van klanten, oplopen tot € 20.000.000,00 of 4% van de totale jaaromzet. Dan is het wel belangrijk om te weten welke rechten de klant er onder de GDPR allemaal bij krijgt:

Rechten van de klant

1. Apple moet gaan strepen

Je kent ze wel: Onrealistisch lange gebruikersovereenkomsten en boekwerken aan juridisch jargon. Deze zijn niet langer toegestaan. Gebruikersovereenkomsten moeten in begrijpelijke taal aangeboden worden, teruggebracht tot de meest essentiële afspraken. Best practice is open en transparant communiceren naar de klant of kandidaat welke data je precies opslaat en met welk doel. Daarmee is aan veel van de verplichtingen binnen dit artikel direct voldaan.

2. Vergeet-me-nietjes

Klanten en daarmee ook kandidaten hebben het recht om vergeten te worden. Wanneer hier om gevraagd wordt, moet de data-beherende partij aantoonbaar de gegevens verwijderen. En de verspreiding van deze gegevens onder derden (lees: klanten) tegengaan. Dit recht geldt ook wanneer gegevens niet langer geschikt zijn voor het originele doel. Dit betekent ook dat de afspraak die jij maakt rondom het opslaan van gegevens ervoor kan zorgen dat je die data moet verwijderen uit je systeem.

Een voorbeeld: Jouw organisatie heeft een Werving & Selectie opdracht aangenomen. Je vindt uiteraard de allerbeste kandidaat en klant en kandidaat gaan tevreden samen verder. Op dat moment is het doel bereikt. Alle data die jij hebt opgeslagen van de kandidaat zou verwijderd moeten worden. Immers, de reden voor het opslaan van gegevens heeft ertoe geleid dat de kandidaat aan het werk gaat. En niet langer bemiddeld wordt. De vraag is natuurlijk of de wet zo strikt moet worden nageleefd of dat er sprake zal zijn van branche gerelateerde vrijheid.

3. Show me the data

Klanten en kandidaten hebben recht op inzage en een kosteloze digitale kopie van de opgeslagen en gebruikte data. Daarnaast moet de data-beheerder inzichtelijk maken of, waar en waarvoor de data is/wordt gebruikt. Hoe ga jij ervoor zorgen dat alle data die jij over de verschillende applicaties hebt verspreid in één overzichtelijk document bij de kandidaat komt? En als dat er opeens 100 zijn? De kans is groot dat vrijwel niemand van dit recht gebruik gaat maken. Maar stel dat het wel gebeurt? Dan is het wel belangrijk dat je helder hebt welke data waar is gebruikt en waarvoor.

4. De Wilde Overstap Weken

Opgeslagen data moet door klanten en kandidaten opgevraagd kunnen worden voor overdracht naar een andere data-beherende partij. Dit dient, in de woorden van de wetgever, aangeleverd te worden in ‘commonly used and machine readable format’, zoals JSON of XML. Dit maakt het beschermen van je zorgvuldig opgebouwde klanten- en kandidatenbestand vrijwel onmogelijk. Naar de letter van de wet heeft de kandidaat het recht om alle informatie die jij over hem hebt opgeslagen, inclusief je bijbehorende klantinformatie, direct over te dragen naar je concurrent. Loyaliteit van je kandidaten is nog nooit zo belangrijk geweest.

5. Oops I did it again

Datalekken dienen binnen 72 uur na ontdekking van het lek gedeeld te worden met de Autoriteit Persoonsgegevens en de betrokken klant, wanneer het lek kan leiden tot inperking van de rechten en vrijheidsbeleving van de klant. De aard van het lek en welke privacy-gevoelige data is gelekt valt onder de meldingsplicht. Hierbij zal de impact op het leven van het individu meewegen bij de hoogte van de boete.
Een data-lek kan veroorzaakt worden door een uitgebreide hacksessie, maar ook door die ouwe van Sales, die het verschil tussen CC en BCC maar niet wil begrijpen…

In beginsel privacy respecteren

‘Privacy by design’ houdt in dat alle processen die binnen de organisatie te maken hebben met het vergaren en verwerken van data opnieuw beoordeeld moeten worden.Wat heb je minimaal nodig om de taak uit te kunnen voeren? Welke data is strikt gezien overbodig,maar bijvoorbeeld fijn voor je statistieken? Het grijze gebied tussen deze twee types is de grens: sla niet meer op dan strikt noodzakelijk.

Functionaris voor gegevens

Elke organisatie die in haar kerntaak grote hoeveelheden data verwerkt of intern systematisch en terugkerend data verwerkt (zeker als het gaat om bijzonder gevoelige data), dient een Gegevens beschermingsfunctionaris in het leven te roepen. Deze ‘Hansje Brinker’ van de GDPR is degene die bij het eerste teken van een lek aan de slag moet en de betrokken partijen op de hoogte moet stellen. Deze GBF mag niet zomaar aangewezen worden: hij of zij moet geselecteerd worden op basis van professionele kwaliteiten en uitvoerige kennis over data-security en -wetgeving. Daarnaast moet deze functionaris alle benodigde middelen krijgen om zijn taken uit te kunnen voeren. Andere taken mogen geen conflicten veroorzaken met zijn rol als functionaris. De uitoefening mag door een interne of externe partij gebeuren.

PIA

Waar nu te beginnen? Het is verstandig om een Privacy Impact Assessment uit te voeren. Daarmee maak je feitelijk een inschatting van de risico’s die je bereid bent te lopen met het verzamelen van data. Wat is de schade die jouw data-lek het individu gaat berokkenen? Als je bijvoorbeeld medische gegevens van je gedetacheerden bewaart, heeft het onbedoeld delen van deze gegevens in potentie grote gevolgen. Anderzijds heeft een lek over het aantal gewerkte uren meestal niet zoveel impact.

Dit is in vogelvlucht wat de GDPR van ons verlangt, waarbij gezegd moet worden dat veel zaken zich in het komende jaar zullen uitkristalliseren. Nog niet genoeg gelezen? MKB-Servicedesk heeft recent een mooi artikel aan dit onderwerp gewijd.

In deel 2 gaan we dieper in op de stappen die Yellow Yard heeft gezet en zal zetten om aan de GDPR te voldoen. Blijf op de hoogte van alle ontwikkelingen door je hier in te schrijven.