GDPR-controlelijst: Hoe hebt u zich voorbereid?

17 november 2017

GDPR-controlelijst: Hoe hebt u zich voorbereid?

We weten allemaal dat de GDPR eraan komt, maar is uw bedrijf er echt op voorbereid? Om uw HR- en payrollafdeling voor te bereiden op de inwerkingtreding van de verordening op 25 mei 2018 hebben we een GDPR-controlelijst opgesteld. 

Wij helpen u met de belangrijke stappen die u moet doorlopen voor naleving van de GDPR. Hoe u grip krijgt op de gegevens in uw bezit bijvoorbeeld, of hoe u ervoor kunt zorgen dat uw businesspartners de GDPR naleven? 

Inzicht en bewustzijn

U dient als werkgever duidelijk in beeld te hebben welke rechten uw werknemers conform de GDPR straks hebben zodat u daarnaar kunt handelen. Dit doet u zo:

  • Zorg dat u een goed inzicht krijgt in de rechten van de betrokkenen inzake de GDPR.
  • Ontwikkel voor uw werknemers een intranetpagina met heldere en duidelijke informatie over hoe u hun persoonsgegevens beheert.
  • Voer een procedure in om (potentiële) aanvragen van werknemers te behandelen zoals:
    - Waar kunnen ze een aanvraag indienen?
    - Hoe valideert u de identiteit van de aanvrager?
    - Waar en hoe registreert u de aanvraag en volgt u ze op (bewijs!)?
    - Wie binnen uw HR afdeling volgt de aanvragen op en beheert ze?

Krijg grip op uw gegevens

De GDPR verplicht u om 'een register van verwerkingsactiviteiten' bij te houden, wat eigenlijk een inventaris is van de persoonsgegevens die u verwerkt. 

  • Inventariseer de gegevenscategorieën die u hebt. Bijvoorbeeld:
    Gegevens inzake payroll en arbeidsvoorwaarden
    Functioneringsgegevens van werknemers
    Werving & selectiegegevens van kandidaten die niet werden geselecteerd
  • Wijs een informatie-eigenaar toe aan elke gegevenscategorie.
  • Ga met uw DPO, legal of compliance manager na of er op bedrijfsniveau een gecentraliseerd persoonsgegevensregister bestaat.
  • Zorg ervoor dat informatie-eigenaars het persoonsgegevensregister invullen en bijwerken.

Ontwikkel een bewaarstrategie voor uw gegevens

Persoonsgegevens langer dan vereist bijhouden wordt met de GDPR echt een risico. Overweeg dus om oude gegevens weg te doen. Bestaande privacywetten stuurden er al op aan dat u persoonsgegevens niet langer bewaarde dan de vereiste periode. Het opzetten van een strategie voor het bewaren van HR-gegevens, is echt niet eenvoudig en zal een van uw grotere uitdagingen worden. 

  • Neem uw gegevensregister door en noteer uw redenen om gegevens te bewaren zoals:
    - Wettelijke minimale bewaringsperiodes (check met uw juridische afdeling)
    - Uw aansprakelijkheid als werkgever
    - Diensten die u aan uw werknemers verleent op basis van de gegevens
  • Bepaal op basis van deze redenen de minimale en maximale bewaringsperiodes voor elke gegevenscategorie en laat die door uw juridische afdeling goedkeuren.
  • Bekijk met uw IT-afdeling en uw partners (!) hoe u deze vereisten gaat implementeren.
  • Vergeet uw papieren registers niet.

Zie toe op de naleving van de GDPR door businesspartners in HR en payroll

Krachtens de GDPR bent u als verwerkingsverantwoordelijke aansprakelijk als u niet voldoende garanties hebt dat derden waarmee u werkt de GDPR naleven.

  • Neem uw lijst van uw businesspartners in HR/payroll door, vul ze aan en ga na of ze toegang hebben tot uw persoonsgegevens.
  • Vraag een duidelijke verklaring van uw partners over wat ze doen om de GDPR na te leven. Wees bereid om door te vragen.
  • Zorg ervoor dat een gegevensverwerkingsovereenkomst conform de GDPR wordt aangegaan. Bereid een controlelijst voor om voorgestelde afspraken te checken.
  • Integreer GDPR-vereisten in RFI/RFP-templates en werk uw partnerselectieproces bij zodat u enkel met partners werkt die de naleving van de GDPR kunnen garanderen.

Implementeer privacy en beveiliging in de levenscyclus van uw HR-projectmanagement

Herzie de levenscyclus van uw projectmanagement en voeg deze stappen toe:

  • Bepaal en documenteer veiligheids- & privacy-vereisten als onderdeel van elk HR-project.
  • Test de vereisten vóór de go live.
  • Herzie de bestaande veiligheidsmaatregelen in uw personeelsdienst vanuit het oogpunt van de betrokkene.
  • Geef in op ue HR-afdeling het voorbeeld door veiligheidsbeleidslijnen te volgen en te wijzen op het belang van de naleving ervan.

Door deze stappen te volgen, stoomt u uw HR- en payrollafdeling klaar voor de GDPR. Houd grip op uw gegevens en zorg ervoor dat u de regels van de verordening volledig begrijpt (en vermijd potentiele boetes voor uw bedrijf).