GDPR in een internationale HR-context: zo blijft u in regel

Door Gert Beeckmans - 10 april 2018 - Leestijd: 4 minuten

GDPR

Binnen enkele weken is het zover. Op 25 mei treedt de General Data Protection Regulation – kortweg GDPR – in werking. Europese bedrijven en organisaties moeten vanaf dan aan een aantal strenge privacyregels voldoen. Vooral op HR- en payrolldepartementen van multinationals zal de impact groot zijn. Hoe uw organisatie in regel kan blijven? Farmagigant PAREXEL geeft het goede voorbeeld met een concreet stappenplan.

GDPR aanpak kmo

Met activiteiten in 95 landen en meer dan 17.500 medewerkers is PAREXEL de op een na grootste klinische organisatie ter wereld. Het bedrijf bezit dan ook een veelheid aan vertrouwelijke gegevens: van gepersonaliseerde klanteninfo over resultaten van klinische proeven tot persoonsgegevens van medewerkers. Bij de aankondiging van GDPR was het dan ook alle hens aan dek bij het HR-departement om ervoor te zorgen dat alles volgens de regels verliep.

Een aanpak in drie stappen en voor twee entiteiten

PAREXEL deelde zijn GDPR-aanpak op in drie stappen: fundamentele, geavanceerde, en langetermijnwijzigingen. De IT-infrastructuur en de algemene organisatie werden daarbij als afzonderlijke entiteiten aangepakt. Een paar voorbeelden:

Collega’s overtuigen

“We beseften dat we het zowel het management als alle medewerkers moesten overtuigen van het belang en de invloed van GDPR”, aldus Frank Rudolf, Director of Payroll bij PAREXEL. “Daarom ontwikkelden de HR- en IT-departementen samen een intranetpagina die aan elke medewerker de concrete impact van GDPR op zijn of haar job uitlegt. Daarin staan onder meer de specifieke rechten van elke medewerker, zoals het recht op toegang, wijzigingen en het recht om gewist te worden.”

Dataregister en opleidingen

Daarnaast riep PAREXEL ook een ‘dataregister’ in het leven. “Dat register bevat de persoonsgegevens die we verwerken van onze klanten en medewerkers”, gaat Frank verder. “Volgens de GDPR-regels mogen bedrijven die informatie maar voor een beperkte periode bijhouden. Dankzij het dataregister ziet ons HR-departement in een oogwenk waar de data vandaan komt, waarom we ze nodig hebben en wanneer we ze moeten verwijderen.”

Belangrijk bij het opstellen van een dataregister is een goede opdeling van de persoonsgegevens in categorieën. Mogelijke categorieën zijn onder meer: werknemersvoordelen, prestatiegegevens en rekruteringsinformatie. Voor elke categorieën kan vervolgens een ‘owner’ worden aangeduid. Daarnaast rolde PAREXEL een concrete procedure uit voor het behandelen van specifieke verzoeken van (potentiële) medewerkers. Ook organiseert het bedrijf infomomenten en opleidingen over het correct verwerken van data.

Redenen om data bij te houden

Organisaties die data langer dan nodig bijhouden, riskeren zware boetes. Ook PAREXEL heeft er dus alle baat bij dat die gegevens altijd correct en op het juiste moment worden vernietigd. Aan de hand van het dataregister lijsten de HR- en payrolldepartementen van het bedrijf daarom ook de redenen op voor het bijhouden van bepaalde gegevens. Denk aan de wettelijke minimale retentieperiode, werkgeversaansprakelijkheid en op data gebaseerde diensten voor medewerkers. “Vervolgens is het cruciaal dat je voor elke datacategorie definieert hoe lang je de gegevens minimaal moet en maximaal mag bewaren”, besluit Frank. “Alleen zo voorkom je als organisatie fouten en sancties.”

GDPR

Gerelateerde artikelen

refresh Meer artikelen