Binnen enkele weken is het zover. Op 25 mei treedt de General Data Protection Regulation – kortweg GDPR – in werking. Europese bedrijven en organisaties moeten vanaf dan aan een aantal strenge privacyregels voldoen. Vooral op hr- en payrolldepartementen van multinationals zal de impact groot zijn. Hoe je organisatie in regel kan blijven? Farmagigant PAREXEL geeft het goede voorbeeld met een concreet stappenplan.
Met activiteiten in 95 landen en meer dan 17.500 medewerkers is PAREXEL de op een na grootste klinische organisatie ter wereld. Het bedrijf bezit dan ook een veelheid aan vertrouwelijke gegevens: van gepersonaliseerde klanteninfo over resultaten van klinische proeven tot persoonsgegevens van medewerkers. Bij de aankondiging van GDPR was het dan ook alle hens aan dek bij het hr-departement om ervoor te zorgen dat alles volgens de regels verliep.
PAREXEL deelde zijn GDPR-aanpak op in drie stappen: fundamentele, geavanceerde, en langetermijnwijzigingen. De IT-infrastructuur en de algemene organisatie werden daarbij als afzonderlijke entiteiten aangepakt. Een paar voorbeelden:
“We beseften dat we het zowel het management als alle medewerkers moesten overtuigen van het belang en de invloed van GDPR”, aldus Frank Rudolf, Director of Payroll bij PAREXEL. “Daarom ontwikkelden de hr- en IT-departementen samen een intranetpagina die aan elke medewerker de concrete impact van GDPR op zijn of haar job uitlegt. Daarin staan onder meer de specifieke rechten van elke medewerker, zoals het recht op toegang, wijzigingen en het recht om gewist te worden.”
Daarnaast riep PAREXEL ook een ‘dataregister’ in het leven. “Dat register bevat de persoonsgegevens die we verwerken van onze klanten en medewerkers”, gaat Frank verder. “Volgens de GDPR-regels mogen bedrijven die informatie maar voor een beperkte periode bijhouden. Dankzij het dataregister ziet ons hr-departement in een oogwenk waar de data vandaan komt, waarom we ze nodig hebben en wanneer we ze moeten verwijderen.”
Belangrijk bij het opstellen van een dataregister is een goede opdeling van de persoonsgegevens in categorieën. Mogelijke categorieën zijn onder meer: werknemersvoordelen, prestatiegegevens en rekruteringsinformatie. Voor elke categorieën kan vervolgens een ‘owner’ worden aangeduid. Daarnaast rolde PAREXEL een concrete procedure uit voor het behandelen van specifieke verzoeken van (potentiële) medewerkers. Ook organiseert het bedrijf infomomenten en opleidingen over het correct verwerken van data.
Organisaties die data langer dan nodig bijhouden, riskeren zware boetes. Ook PAREXEL heeft er dus alle baat bij dat die gegevens altijd correct en op het juiste moment worden vernietigd. Aan de hand van het dataregister lijsten de hr- en payrolldepartementen van het bedrijf daarom ook de redenen op voor het bijhouden van bepaalde gegevens. Denk aan de wettelijke minimale retentieperiode, werkgeversaansprakelijkheid en op data gebaseerde diensten voor medewerkers. “Vervolgens is het cruciaal dat je voor elke datacategorie definieert hoe lang je de gegevens minimaal moet en maximaal mag bewaren”, besluit Frank. “Alleen zo voorkom je als organisatie fouten en sancties.”
Door Gert Beeckmans - Chief Risk & Security Officer
Al sinds het begin van zijn carrière was Gert gepassioneerd door veiligheid en privacy. Hij gaat graag de uitdaging aan om regels rond die topics te vertalen in concrete, praktische maatregelen. Gert kwam in 2008 bij SD Worx aan boord als IT Security Officer en was een onmisbare schakel in het versterken van onze information security. In 2015 klom hij een trapje hoger en werd hij Chief Risk & Security Officer voor SD Worx Group. Daarmee is hij vandaag ook verantwoordelijk voor data privacy.
