Privacy is dood, lang leve de Privacy
Vandaag hebben we het gevoel dat de online en offline wereld apart van elkaar gescheiden zijn. Die tegenstelling zal alsmaar vervagen. Uw koelkast zal weten wanneer nieuwe melk moet worden besteld en welk merk dat moet zijn. “Privacy is dood” wordt weleens gezegd. Herken je de volgende situatie: je wil online een spelletje spelen of een app installeren. Eerst moet er een privacy statement van 10 pagina’s gelezen worden, om dan pas aan het spel te kunnen beginnen dat wellicht korter duurt dan de tijd die je hebt gestoken in het lezen van de privacy-regels. Dus wat doet dan een mens? Klikken op “aanvaarden” natuurlijk, zonder een letter te lezen en je doet je ding. Op zich lijkt dit niet erg, en ook ik ben er niet trots op nooit of te nimmer die ellenlange privacyregels door te nemen.
Tot er iets ernstigs gebeurt. Je account wordt gehackt, of je tiener komt in aanraking met cyberpesten, … het is pas als er iets problematisch optreedt dat mensen beseffen dat een inbreuk op hun online privacy een grote impact kan hebben.
Het individu wordt overschat.
Op social media wordt het individu verantwoordelijk gesteld voor de privacy. Dat klopt niet. Als individu heb je gewoon geen controle over het algemene businessmodel van de site, en de verantwoordelijk moet dus verdeeld worden over individu, de sites in kwestie en de overheid. Stilaan gebeurt dit. En dat is een goede zaak.
Een belangrijke stap in dit verhaal is de nieuwe wetgeving die van kracht gaat in mei 2018. Je hebt er vast al wel van gehoord, alleen al omdat je mailbox dezer dagen overspoeld wordt met mails van alle bedrijven die jouw adres in hun bestand hebben staan.
De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is een wijziging van de Europese wetgeving over de privacy. Het doel is meer transparantie en persoonlijke integriteit. Verzamelt uw organisatie persoonlijke gegevens van EU-burgers? Dan moet u uw HR-processen vanaf 25 mei 2018 afstemmen op de GDPR. Anders riskeert u een boete van 4 procent van de totale jaaromzet, met een maximum van 20 miljoen euro.
Over welke bescherming gaat het eigenlijk? Hieronder vind je de 8 basisprincipes.
- Het recht om te worden vergeten
Burgers mogen vragen om hun persoonlijke gegevens te verwijderen als ze bijvoorbeeld uw bedrijf verlaten. Bedrijven die assessments of persoonlijkheidstesten afnemen moeten deze kunnen verwijderen op simpele vraag van een individu.
- Het recht op gegevenscorrectie
Onvolledige of onjuiste informatie moet worden gecorrigeerd.
- Het recht op inzicht in persoonlijke data
Uw medewerkers mogen hun persoonlijke gegevens consulteren. Zij mogen al dan niet de toelating geven dat hun data mogen worden verwerkt.
- Het recht op gegevensoverdraagbaarheid
Dit betekent dat burgers persoonlijke gegevens niet enkel mogen verkrijgen, maar dat ze deze ook opnieuw mogen gebruiken voor hun eigen doeleinden op andere platforms. Zowel het verkrijgen als het overdragen van persoonlijke gegevens zal een grote impact hebben voor operatoren van telefonie en internet. De GDPR-wetgeving voor artsenpraktijken en medische industrie is nog veel complexer en strikter dan de algemene GDPR.
- Het recht op het beperken van de verwerking
Werknemers zullen het recht hebben om de verwerking van persoonsgegevens te blokkeren, zodat organisaties deze enkel kunnen opslaan maar niet verder gebruiken.
- Het recht om op de hoogte te worden gesteld van lekken
Organisaties moeten binnen 72 uur bevoegde autoriteiten op de hoogte brengen als een datalek wordt vastgesteld. Bovendien zal u ervoor moeten zorgen dat u beschikt over de juiste technologie en procedures om overtredingen te identificeren en vervolgens te communiceren.
- Opt in en double Opt in
Alle toestemmingsmechanismen moeten worden gericht op de nieuwe eisen van de GDPR zodat de burger duidelijkheid heeft over hoe zijn/haar persoonlijke data zal worden verwerkt, en zal daarvoor expliciete toestemming voor geven.
- Het recht op transparante procedures en software
Alle procedures moeten in lijn zijn met de nieuwe GDPR-regels. Bedrijven zijn verplicht om vanaf mei transparante registers bij te houden over persoonlijke data en wat ermee wordt gedaan.
Zowel uw slager om de hoek, het assessment center, dokterspraktijk of een multinationial, alle organisaties zullen zich moeten aanpassen aan de nieuwe regelgeving zowel voor interne persoonsinformatie (personeelsleden) als externe gegevens (leveranciers, nieuwsbrieflezers, klanten en prospecten, …).
Europa zal streng optreden tegen schendingen van de Privacy. Het is een duidelijk signaal en een belangrijke stap. Wij zijn getuige van een interessante tijd: de samensmelting tussen de online en de offline wereld. HR kan een verschil maken en aantonen dat deze samensmelting niet enkel vorm krijgt vanuit economische drijfveren, maar ook zal worden geruggesteund door ethische normen.
En dat het hiermee niet gedaan is …..
We staan nog maar aan het begin van deze boeiende zoektocht. Enkele voorbeelden:
GDPR staat toe dat iemand vraagt om zijn gegevens volledig te schrappen. Financieel recht daarentegen vraagt o.a. dat facturen tot 8 jaar bewaard worden. Hier is het duidelijk dat het financiële recht primeer. Maar mogelijk zijn er zo nog duistere gebieden, waar het niet zo éénzijdig is.
GDPR heeft betrekking op persoonlijke data, maar het is niet duidelijk of dit ook geldt voor foto’s. Moet de prachtige muur met sfeervolle foto’s van teambuilding-activiteiten regelmatig nagekeken worden, naarmate werknemers die het bedrijf verlaten? Diegenen die vragen om al hun gegevens te schrappen, bedoelen vast ook wel hun foto’s; zowel uit de offline werkcontext (posters, teamfoto’s, ..) als de online omgevingen (website, intranet, facebookpagina,..). Daar schuilt een pak werkgelegenheid in me dunkt. Alsook in het uitvogelen van de volgende onduidelijkheden:
- De procedures moeten transparant zijn, maar richtlijnen hoe deze procedures dienen opgesteld te worden zijn onduidelijk.
- Dienen kandidaten binnenkort in hun CV te vermelden dat ze akkoord gaan met het opslaan van deze gegevens? Hoe zal dit worden opgeslagen en opgevolgd worden?
- Zal een overgangsfase toegestaan worden? Bedrijven zullen voortaan de toestemming vragen om persoonlijke data op te slaan en te bewaren, maar wat mee de informatie die reeds in het systeem staat? Moet daar opnieuw achteraan gegaan worden? Of zal het allemaal niet zo’n vaart lopen. Op welke manier zal er überhaupt controle worden uitgeoefend? Indien niet, wat voor zin heeft het dan allemaal?
- En dan hebben we het nog niet gehad over marketing. Welke vragen zullen zij stellen?
“We live in the world our questions create.”
Laat ons de juiste vragen stellen.
Meredith Van Overloop
Klik hier
Dit artikel is ook te vinden op www.vacature.com, Werkgever/Tips&Tricks