GDPR: wat zijn de gevolgen voor uw bedrijf?

Op 25 mei 2018 treedt de General Data Protection Regulation (de EU-wet rond de bescherming van persoonsgegevens of GDPR) in werking. Deze herziening van de Europese Data Protection Directive uit 1995 zal het wettelijk kader binnen heel Europa grondig wijzigen. Ook voor uw HR heeft dit implicaties, en meer bepaald op de manier waarop u met personeelsgegevens omgaat.

Wat is het doel van de GDPR?

De GDPR stroomlijnt de verschillende wetgevingen uit de verschillende Europese lidstaten. Elke lidstaat interpreteerde de Data Protection Directive uit 1995 anders. Dat leidde tot een wirwar aan regels die overal anders waren en – in veel gevallen – achter de feiten aan hinkten. Er was dus grote behoefte aan duidelijke en moderne regelgeving rond ontwikkelingen zoals de cloud, sociale media en de enorme hoeveelheden aan persoonlijke gegevens die daarmee samengaan.

Wat zijn de gevolgen voor uw HR-dienst?

De GDPR brengt een aantal belangrijke veranderingen met zich mee. De essentie? De wet versterkt de gegevensbescherming voor Europese burgers. In elk bedrijf circuleren heel wat persoonlijke gegevens. Denk maar aan een cv of bankrekeningnummer, maar ook foto’s van medewerkers of camerabeelden. Al die zaken moeten voldoen aan strengere regels. Dit zijn de hoofdlijnen:

• de voorwaarden om persoonsgegevens van Europese burgers te verwerken, zijn strenger geworden;
• bedrijven moeten een dataregister aanleggen, waarin ze alle verwerkingen van persoonsgegevens opnemen;
• burgers krijgen het recht om in bepaalde gevallen ‘vergeten – verwijderd – te worden’;
• doet er zich een datalek voor, dan moet u dat melden aan de Privacycommissie binnen de 72 uur;
• bepaalde bedrijven zullen een data protection officer moeten aanstellen die erop toeziet dat de nieuwe regelgeving wordt nageleefd.

Wat als u niet compliant bent?

Als u de nieuwe regelgevingen niet naleeft, riskeert u een boete. Die kunnen oplopen tot 4% van de globale omzet, met een maximum van 20 miljoen euro.

Wat is de reikwijdte van de GDPR?

De regels zijn trouwens voor iedereen dezelfde. Ze gelden dus voor zowel bedrijven die data bezitten én voor organisaties die de gegevens verwerken in opdracht van andere bedrijven (denk maar aan marketingbureaus).

Wat als uw medewerker geen toestemming wilt geven?

In sommige gevallen hoeft u geen expliciete toestemming te krijgen om persoonsgegevens te verwerken. Dat kan bijvoorbeeld als de verwerking van de persoonsgegevens noodzakelijk is, bijvoorbeeld om iemands loon uit te betalen. Ook met verslagen van coachinggesprekken of gegevens over loopbaanontwikkeling kunt u aan de slag zonder extra toestemming. Als u niet op zo’n andere grondslag kunt terugvallen, en weigert de werknemer toestemming te geven, dan is verwerking niet mogelijk.

Niet op een-twee-drie

Duikt u dieper in de GDPR-materie, dan merkt u wellicht al snel dat de impact ervan op uw organisatie is groter dan u dacht. Misschien botst u zelfs u ook op een probleem botsen waar u niet meteen een antwoord op weet. Daarom starten we een blogreeks over hoe we bij SD Worx de nodige veranderingen doorvoeren. Zo vindt u snel oplossingen voor de uitdagingen waar elk van uw verschillende afdelingen voor staat. Stay tuned!