Bij de Algemene Verordening Gegevensbescherming (AVG) gaat het vaak over de impact van het verzamelen en beheren van klantgegevens. Maar ook voor persoonsgegevens die u intern verzamelt (werknemersgegevens) gelden de AVG-regels.

Omdat werknemers dezelfde rechten met betrekking tot hun persoonsgegevens hebben als klanten, is het belangrijk dat HR- en salarisprofessionals betrokken worden bij de AVG-strategie.

Breng alle gegevens, die u van uw mensen verzamelt in de loop van hun carrière, in kaart.
ADP heeft daarvoor een AVG audit-tool ontwikkeld. Met behulp van deze tool zet u de juiste stappen op weg naar AVG-naleving. Er zijn drie belangrijke onderdelen:

  • Beveiliging: waar worden werknemersgegevens opgeslagen en wie heeft toegang?
  • Naleving: hulp bij het verduidelijken van wat hoe lang wordt opgeslagen?
  • Ondersteuning: bieden bestaande oplossingen ondersteuning bij de AVG?

Levenscyclus van werknemers
De levenscyclus van werknemers bevat de volgende fases:

  • Sollicitatiegesprek
  • Salarisverwerking
  • Onkosten-, uren-, verlof- en verzuimadministratie
  • Training
  • Internationale detachering
  • Functionerings- en beoordelingsgesprekken
  • Vertrek

Beantwoord de vragen
Geef per fase antwoord op de volgende vragen.

1 Beveiliging

  • Waar zijn de gegevens van uw werknemers/sollicitanten opgeslagen?
  • Kent u alle locaties/systemen waar werknemersgegevens zijn ondergebracht?
  • Hoe zit het met die papieren afdruk bovenop de printer of servers, gedeelde locaties of computer?
  • Wie hebben er toegang?
  • Als er gegevens uit sollicitatiegesprekken worden gedeeld, wat gebeurt er dan achteraf met die cv’s? Zitten die nog gewoon in de inbox en/of zijn die afgedrukt of gedeeld?
  • Kunt er zeker van zijn dat uw werknemers goed op de hoogte zijn van de AVG-regelgeving?
  • Hoe zijn de gegevens beveiligd? Bijvoorbeeld versleutelingstechnieken
  • Hebt u de juiste beveiligingsprocedures om conform te zijn met bredere privacywetgeving, bijvoorbeeld training en gegevensverwerking?
  • Hoe heeft u de autorisatie ingesteld?
  • Kunt u er zeker van zijn dat de gegevens van een individu alleen gebruikt worden voor het doel waarvoor toestemming is gegeven?
  • Wat gebeurt er als een werknemer per ongeluk een document afdrukt/deelt wat niet had gemogen?
  • En hoe zit het met de manier waarop informatie wordt gebruikt?
  • Hoe goed bent u beschermd tegen een datalek?
  • Hoe veilig is de infrastructuur die u gebruikt?
  • Weet u welk beveiligingsniveau wordt gehanteerd voor de gegevens die worden beheerd door uw externe leveranciers?

2 Compliance

  • Welke gegevens bewaart u?

Kent u de omvang van de gegevens die u van uw werknemers bijhoudt? Dit zijn bijvoorbeeld doktersbriefjes betreffende afwezigheid om gezondheidsredenen, tot aan details over hun religie.
De AVG vereist dat u geen gegevens verwerkt voor een langere periode dan nodig, afhankelijk van het doel van elke verwerking. Hebt u van alle toepassingen waarvan u gebruikmaakt de mogelijkheden om gegevens te wissen?

  • Bent u goed op de hoogte van wat als persoonsgegevens worden gezien?
  • Bent u zich bewust van wat onder de AVG als persoonsgegevens worden verstaan en welke conclusies uw systemen trekken ten aanzien van werknemersgegevens?
  • Beheert u gegevens in meerdere landen?
  • Hebt u de juiste procedures in werking om werknemersgegevens binnen en buiten de EU te delen?
  • Zijn deze systemen compatibel en hebt u de juiste mechanismen in werking om conform te zijn, bijvoorbeeld Binding Corporate Rules (BCR)?
  • Kunt u werknemersgegevens delen met andere landen? Zijn deze systemen compatibel? Hebt u de juiste toestemming?

3 Ondersteuning

  • Ondersteunt uw huidige leverancier u om compliant te worden?
  • Hebt u er vertrouwen in dat uw provider al het mogelijke doet om u te ondersteunen en ervoor te zorgen dat uw business compliant is? Het is belangrijk om erachter te komen hoe uw provider u ondersteunt in de aanloop naar de AVG.
  • Hoe gaat u om met verzoeken van werknemers?

Kunt u waarborgen dat er tijdig wordt gereageerd op elk mogelijk verzoek van een werknemer betreffende persoonsgegevens en garanderen dat alles zowel conform de AVG maar ook conform eventuele aanvullende lokale regelgeving gaat?