Risico: Zijn uw HR-processen conform de AVG?

persoonsgegevens

De HR-afdeling van elk bedrijf kent allerlei documenten en processen waar persoonsgegevens in voorkomen. Als HR-professional bent u verplicht om, als de Autoriteit Persoonsgegevens erom vraagt, aan te tonen dat u de juiste technische en organisatorische maatregelen hebt genomen voor adequate gegevensbescherming. Gegevensbescherming speelt onder meer bij:

  • personeelsdossiers
  • verzuimgegevens en -begeleiding
  • beoordelingsgesprekken en -formulieren
  • telefoon- en e-mailgegevens
  • salarisadministratie

Privacy by design

De belangrijkste beginselen van verwerking zijn rechtmatigheid, transparantie, doelbinding en juistheid. Een veelgehoorde term is ‘privacy by design’. Dit houdt in dat u al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) aandacht hebt voor maatregelen die de privacy versterken.

Bijvoorbeeld: niet meer gegevens verzamelen dan noodzakelijk voor het doel, en die niet langer bewaren dan nodig. Zo voorkomt u noodzakelijke aanpassingen achteraf, die bijna altijd zeer tijdrovend en kostbaar zijn. Maar hoe weet u of u wel de goede aanpak kiest?

Functionaris voor de Gegevensbescherming (FG)

Aangezien werken volgens de AVG-richtlijnen complexe materie is, stellen veel organisaties een Functionaris voor de Gegevensbescherming (FG) aan. In een aantal situaties is dit zelfs verplicht. Dit kan een medewerker zijn met voldoende kennis van zaken (zie onder), of iemand die extern wordt ingehuurd.

De Functionaris helpt een organisatie met privacy by design: hij of zij helpt de processen te definiëren en uit te zetten en is het aanspreekpunt voor alles rondom verwerking van persoonsgegevens.

Welke kennis moet een FG hebben?

FG’s zijn interne toezichthouders: van hen wordt verwacht dat zij bovengemiddelde vakkennis hebben van privacywetgeving en van de praktijk van gegevensbescherming. In ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming
  • begrip van de gegevensverwerkingen die de organisatie uitvoert
  • begrip van IT en informatiebeveiliging
  • kennis van de organisatie en de sector waarin die actief is
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen

Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert uw organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit?

Haal een FG met de juiste knowhow in huis

Human Capital Scan heeft tientallen  Met een externe FG is het juiste kennisniveau altijd gegarandeerd