De rol van HR rondom de vernieuwde wetgeving gegevensbescherming

Transcriptie

1 De rol van HR rondom de vernieuwde wetgeving gegevensbescherming Whitepaper HR professionals opgelet! Je hebt vast wel eens gehoord van de Algemene Verordering Gegevensbescherming (AVG) oftewel de General Data Protection Regulation (GDPR). Vanaf 25 mei 2018 is deze nieuwe Europese wetgeving van kracht en gelden strengere regels mét bijbehorende sancties met betrekking tot databescherming. Maar weet jij eigenlijk wel wat jouw rol hierin is? Wat verandert er? Op dit moment is de Wet Bescherming Persoonsgegevens (Wpb) in Nederland van kracht, maar deze wordt op 25 mei 2018 vervangen door de AVG. Wat verandert er precies? Hieronder geven wij een opsomming van de belangrijkste punten die organisaties in acht moeten nemen. Organisaties dienen de technische kant van bescherming van persoonsgegevens goed op orde te hebben (denk hierbij aan beveiligde verbindingen, data-encryptie, privacy by default en privacy by design); Een onderdeel van de AVG is de meldplicht van datalekken; De AVG zorgt voor versterking en uitbreiding van de privacyrechten; Organisaties zijn verplicht om een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aan te stellen, die de naleving van de AVG borgt en toeziet op bescherming van gegevens; De uitvoering van Data Protection Impact Assessments (DPIA s); Opstellen van Informed Consents met betrekking tot dataverwerking; De AVG geeft alle Europese privacy-toezichthouders dezelfde bevoegdheden, zoals de bevoegdheid om boetes tot twintig miljoen euro op te leggen. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft al aangekondigd dat ze in plaats van de waarschuwingen voor het niet na - leven van de Wpb ook daadwerkelijk boetes op gaan leggen1. 1 Autoriteit Persoonsgegevens (2017). Verkregen via:

2 Awareness Voldoen aan de AVG kent twee componenten: enerzijds het realiseren van de technische kant van gegevensbescherming en anderzijds het creëren van awareness. De technische component komt neer op beveiliging van verbindingen, data-encryptie en firewalls. Deze zaken kunnen relatief eenvoudig door IT-afdelingen in orde gemaakt worden. Awareness onder medewerkers en aansporen tot veilig gedrag is echter iets wat niet gemakkelijk aangeschaft en geïmplementeerd wordt. Angst om iets verkeerd te doen en onwetendheid is nog steeds bij veel medewerkers aan de orde van de dag. Ze onderschatten het belang van informatieveiligheid en de waarborging van privacygevoelige data. Uit het onderzoek Meldpunt datalekken in de praktijk blijkt bijvoorbeeld dat werknemers een drempel ervaren om een datalek te melden bij hun leidinggevende, omdat ze vrezen voor disciplinaire maatregelen. Hierdoor lopen organisaties een groot risico, omdat ze geen weet hebben van het datalek en dit ook niet kunnen melden bij de toezichthouder. Meldplicht datalekken In theorie heeft Nederland een voorsprong op de rest van Europa met wetgeving rondom persoonsgegevens, door onze ervaring met de meldplicht datalekken. Sinds 1 januari 2016 bestaat deze meldplicht en houdt in dat organisaties ernstige datalekken bij de AP moeten melden. Wat is een ernstig datalek? Hieronder een figuur van de kwalificatie van datalekken. Beveiligingslek Beveiligingsincident Heeft zich een beveiligingsincident voorgedaan? Zijn bij de beveiligingsincident persoongegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten Uit het nationale onderzoek Meldplicht datalekken in de praktijk 2 blijkt echter dat in de praktijk twee essentiële zaken eigenlijk niet gebeuren (en dat is niet het plaatsvinden van het datalek zelf): 1. Melding van het datalek 2. Bewustzijn over de meldplicht Datalek Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens? Melden aan de betrokkene Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoon Melden aan de autoriteit persoonsgegeven Bijna de helft (41%) van de organisaties heeft een datalek niet (tijdig) gemeld bij de AP. Vrees voor reputatieschade speelt hierbij een grote rol. Onwetendheid en een onjuiste interpretatie van de regels zijn andere redenen voor het niet melden van een datalek. Kortom, een minderheid van de organisaties is voorbereid op de meldplicht datalekken. 2 Onderzoek van Kaspersky Lab (2017).

3 De rol van HR Met de toenemende druk op gegevensbescherming komt is een nieuwe rol voor HR-professionals ontstaan. Nu is het moment voor HR om deze rol te pakken en om voor verbinding te zorgen tussen alle los opererende eilandjes die zich afzonderlijk bezighouden met gegevensbescherming. Daarnaast vereisen de veranderingen praktische ingrepen, zoals het beleggen van de verantwoordelijkheid voor gegevensbescherming in de organisatie en zorgen dat medewerkers zich aan gedragsregels houden. En dat is nog niet alles. Om nog een paar verantwoordelijkheden te noemen: De huidige situatie en de gap tot het nakomen van de AVG in kaart brengen, verwerken in een stappenplan en uitvoering geven aan de te ondernemen acties; Awareness genereren bij medewerkers op verschillende niveaus, door het op de agenda te zetten bij de directie, het MT en de teams; Veilige sfeer creëren, door de dialoog te voeren over het belang van privacy; Draagvlak en betrokkenheid opwekken in de organisatie, door bijvoorbeeld het instellen van ambassadeurs of het lanceren van campagnes; Bijbrengen van kennis en vaardigheden over bijvoorbeeld het beveiligd sturen van informatie; Verantwoordelijkheden inzichtelijk maken en beleggen, zoals de Functionaris Gegevensbescherming; Taken binnen de organisatie verdelen en dit coördineren; Beleid ontwikkelen, bijvoorbeeld omtrent het ad-hoc opvragen van persoonsgegevens of het gebruik van USB-sticks; Inzichtelijk maken van gegevensstromen en de verwerking daarvan zodat deze beveiligd kunnen worden, door bijvoorbeeld dataminimalisatie en autorisatierechten; Data Protection Impact Assessments (DPIA s) uitvoeren op risicovolle (HR-)processen; Introduceren van een documentatieplicht en het opzetten van een verwerkingsregister (bij > 250 medewerkers); Invoering van Informed Consents met betrekking tot dataverwerking coördineren; Rechten van betrokkenen in kaart brengen (dataportabiliteit, recht om vergeten te worden, inzage en correctie van persoonlijke gegevens, profiling) en (HR-)processen aanpassen, zoals de recruitmentfunctie; Samenwerken met IT om tooling rondom gegevensbescherming te garanderen en/of monitoren te introduceren; Het opschonen van (HR-)data. Privacy als trademark Het aantal organisaties dat helemaal voorbereid is op de aankomende AVG is beperkt. Sommige organisaties gebruiken gegevensbescherming echter als een Unique Selling Point en richten hun hele bedrijfsvoering hierop in. Kijk bijvoorbeeld naar het succes van organisaties als Signal (alternatief voor WhatsApp) en Monero (digitale munteenheid), waarbij informatieveiligheid en het waarborgen van privacy op de eerste plaats staan. Klanten vinden het een prettig idee dat ze een organisatie volledig kunnen vertrouwen op professionele bescherming van hun persoonlijke gegevens. Organisaties gebruiken privacy daarom als trademark, maar eigenlijk zouden klanten altijd moeten kunnen vertrouwen op maximale gegevensbescherming en veilig informatiebeheer wanneer zij hun persoonsgegevens toevertrouwen aan derden. Ongeacht of dit nu een Unique Selling Point is, of niet. Als HR het niet doet, wie dan wel? Veel organisaties weten niet hoe ze zich moeten voorbereiden op de AVG. Met name op de HR-afdeling is het onduidelijk hoe men om moet gaan met de vernieuwde regelgeving. Zo is bijna één op de tien HR-medewerkers zich niet bewust van de grotere rol die de Wet bescherming persoonsgegevens (Wbp) sinds de invoering van de meldplicht datalekken is gaan spelen binnen HR 3. De kans dat er daardoor helemaal niets gebeurt, is dan ook groot. Maar als HR het niet doet, wie doet het dan wel? Het gedrag dat medewerkers vertonen bepaalt in hoeverre data privé en veilig gehouden wordt. HR is bij uitstek de afdeling die het voortouw kan nemen en verschillende maatregelen kan treffen om het gedrag van medewerkers te beïnvloeden, bijvoorbeeld op de manieren zoals hierboven beschreven is. Het voorbereiden op de AVG kan alsnog een ingewikkeld traject zijn, omdat de vernieuwde wetgeving zoveel verschillende vlakken in de organisatie raakt. 3 HR Trends van Berenschot & APD (2017).

4 Bram Eigenhuis Emmy Hertogh Anne-Fleur Geneste Rosa-May Postma Over de auteurs Bram Eigenhuis en Emmy Hertogh zijn beiden consultant op het gebied van strategisch HRM. Zij helpen organisaties bij het ontwikkelen van HR-strategie, het ontwerpen van HR-beleid en de uitvoering hiervan. Daarnaast optimaliseren zij de inrichting van HR-afdelingen en helpen zij HR om effectiever te functioneren. Bram en Emmy hebben ervaring bij zowel kleine als grote organisaties (>1.000 FTE) in uiteenlopende sectoren, waaronder zorg, onderwijs, overheid, industrie en financiële dienstverlening. Anne-Fleur Geneste en Rosa-May Postma zijn beiden consultant op het gebied van strategische ICT-vraagstukken en informatie management. Zij onderzoeken hoe technologie, innovatie en strategisch ICT-beleid van meerwaarde kan zijn voor organisaties. Daarnaast helpen zij organisaties om de complexe effecten van digitalisering te vertalen naar overzichtelijke en praktische implicaties. Anne-Fleur en Rosa-May hebben ervaring met begeleiden van privacy- en informatieveiligheidstrajecten bij organisaties. Berenschot helpt graag Berenschot heeft veel inhoudelijke expertise op het gebied van gegevensbescherming, de AVG en privacy, en daarnaast hebben wij ruime ervaring met de menselijke kant van de organisatie, zoals het opstellen van beleid en het sturen op gedrag van medewerkers. Wij hebben reeds voor veel organisaties workshops georganiseerd en toolkits op maat gemaakt, zodat zij zich goed kunnen voorbereiden op de nieuwe regelgeving. Wilt u weten wat wij voor u kunnen doen? Dan kunt u Bram Eigenhuis bereiken op nummer: , en b.eigenhuis@berenschot.nl Wij helpen u graag. Berenschot Groep B.V. Europalaan 40, 3526 KS Utrecht Postbus 8039, 3503 RA Utrecht /berenschot Berenschot is een onafhankelijk organisatieadviesbureau met 325 medewerkers wereldwijd. Al bijna 80 jaar verrassen wij onze opdrachtgevers in de publieke en private sector met slimme en nieuwe inzichten. We verwerven ze en maken ze toepasbaar. Dit door innovatie te koppelen aan creativiteit. Steeds opnieuw. Klanten kiezen voor Berenschot omdat onze adviezen hen op een voorsprong zetten. Ons bureau zit vol inspirerende en eigenwijze individuen die allen dezelfde passie delen: organiseren. Ingewikkelde vraagstukken omzetten in werkbare constructies. Door ons brede werkterrein en onze brede expertise kunnen opdrachtgevers ons inschakelen voor uiteenlopende opdrachten. En zijn we in staat om met multidisciplinaire teams alle aspecten van een vraagstuk aan te pakken.

5 Op basis hiervan mag je persoonsgegevens verzamelen De grondslag Toestemming van de gebruiker Vitale belangen Wettelijke verplichting Overeenkomst Algemeen belang Gerechtvaardigd belang Het begint aan de tekentafel Zorgvuldigheid Functionaris gegevensbescherming Privacy by design Impact assessment Technishe en organisatorische maatregelen Verplichtingen Register met alle verwerkingen Gegevensbeschermingsbeleid (Digitale) beveiliging Mensen moeten controle kunnen uitoefenen Rechten van de betrokkenen Recht om in te zien Recht om in te zien Rechten om vergeten te worden Recht om gegevens over te dragen Recht op informatie