GDPR: wat zijn de gevolgen voor je bedrijf?

Op 25 mei 2018 treedt de General Data Protection Regulation (de EU-wet rond de bescherming van persoonsgegevens of GDPR) in werking. Deze herziening van de Europese Data Protection Directive uit 1995 zal het wettelijk kader binnen heel Europa grondig wijzigen. Ook voor jouw hr heeft dit implicaties, en meer bepaald op de manier waarop je met personeelsgegevens omgaat.

Wat is het doel van de GDPR?

De GDPR stroomlijnt de verschillende wetgevingen uit de verschillende Europese lidstaten. Elke lidstaat interpreteerde de Data Protection Directive uit 1995 anders. Dat leidde tot een wirwar aan regels die overal anders waren en – in veel gevallen – achter de feiten aan hinkten. Er was dus grote behoefte aan duidelijke en moderne regelgeving rond ontwikkelingen zoals de cloud, sociale media en de enorme hoeveelheden aan persoonlijke gegevens die daarmee samengaan.

Wat zijn de gevolgen voor je hr-dienst?

De GDPR brengt een aantal belangrijke veranderingen met zich mee. De essentie? De wet versterkt de gegevensbescherming voor Europese burgers. In elk bedrijf circuleren heel wat persoonlijke gegevens. Denk maar aan een cv of bankrekeningnummer, maar ook foto’s van medewerkers of camerabeelden. Al die zaken moeten voldoen aan strengere regels. Dit zijn de hoofdlijnen:

• de voorwaarden om persoonsgegevens van Europese burgers te verwerken, zijn strenger geworden;
• bedrijven moeten een dataregister aanleggen, waarin ze alle verwerkingen van persoonsgegevens opnemen;
• burgers krijgen het recht om in bepaalde gevallen ‘vergeten – verwijderd – te worden’;
• doet er zich een datalek voor, dan moet je dat melden aan de Privacycommissie binnen de 72 uur;
• bepaalde bedrijven zullen een data protection officer moeten aanstellen die erop toeziet dat de nieuwe regelgeving wordt nageleefd.

Wat als je niet compliant bent?

Als je de nieuwe regelgevingen niet naleeft, riskeer je een boete. Die kunnen oplopen tot 4% van de globale omzet, met een maximum van 20 miljoen euro.

Wat is de reikwijdte van de GDPR?

De regels zijn trouwens voor iedereen dezelfde. Ze gelden dus voor zowel bedrijven die data bezitten én voor organisaties die de gegevens verwerken in opdracht van andere bedrijven (denk maar aan marketingbureaus).

Wat als je medewerker geen toestemming wilt geven?

In sommige gevallen hoef je geen expliciete toestemming te krijgen om persoonsgegevens te verwerken. Dat kan bijvoorbeeld als de verwerking van de persoonsgegevens noodzakelijk is, bijvoorbeeld om iemands loon uit te betalen. Ook met verslagen van coachinggesprekken of gegevens over loopbaanontwikkeling kun je aan de slag zonder extra toestemming. Als je niet op zo’n andere grondslag kunt terugvallen, en weigert de werknemer toestemming te geven, dan is verwerking niet mogelijk.

Niet op een-twee-drie

Duik je dieper in de GDPR-materie, dan merk je wellicht al snel dat de impact ervan op je organisatie is groter dan je dacht. Misschien bots je zelfs op een probleem waar je niet meteen een antwoord op weet. Daarom starten we een blogreeks over hoe we bij SD Worx de nodige veranderingen doorvoeren. Zo vind je snel oplossingen voor de uitdagingen waar elk van je verschillende afdelingen voor staat. Stay tuned!