nieuws

Privacybeleid: dé kans voor HR

Arbeidsrecht

Genoeg gepraat over de nieuwe privacywetgeving en genoeg met de bangmakerij, vindt Veronique Bourée van HR-softwareleverancier Talentsoft. Het is tijd om de handen uit de mouwen te steken. “Zie het voorkomen van een datalek als een brandweeroefening.” HR, trek je bhv-vestje aan.

Privacybeleid: dé kans voor HR

Het belangrijkste onderwerp in HR en talentmanagement. Zo noemt  Veronique Bourée, international customer success director van Talensoft, de bescherming van persoonsgegevens in organisaties. Een datalek kan immers een ware ramp zijn voor een organisatie.

Niet alleen vanwege de torenhoge boetes die de Autoriteit Persoonsgegevens na invoering van de Europese privacywetgeving, de GDPR, per 25 mei 2018 kan opleggen, maar ook vanwege de reputatieschade. “Stel, je krijgt als bedrijf meer dan duizend sollicitanten binnen en je hebt er als HR jaren aan gewerkt om een waardevolle candidate experience op te bouwen. Dat werk is in één klap teniet gedaan, als bijvoorbeeld blijkt dat sollicitanten tijdens het uploaden van hun cv zomaar gegevens van andere kandidaten kunnen bekijken. Het vertrouwen in het werkgeversmerk is dan flink geschonden. Zo kun je natuurlijk nog wel talloze voorbeelden verzinnen die de noodzaak van een goede privacyaanpak onderstrepen. Een datalek maakt je enorm kwetsbaar.”

Test bescherming privacy als een bhv’er

Je moet dus meer grip op dataprivacy krijgen om het risico op een ramp zo klein mogelijk te maken, stelt Bourée. Het gaat er nu vooral om dat HR de handen uit de mouwen steekt: de hoogste tijd om praktisch te worden. “Je kan er heel complex over gaan doen en er intelligent over gaan praten op boardroomniveau, maar uiteindelijk moet je gewoon aan de slag. Ik vergelijk het altijd met een brandoefening van de bhv. Dan check je ook of alles op orde is en alles goed geregeld is als het gaat om de veiligheid van je medewerkers. Ook bij privacy is dat het geval. Dus HR, trek je bhv-vestje aan en ga testen.”

‘Je kan er heel complex over gaan doen en er intelligent

over gaan praten op boardroomniveau, maar

uiteindelijk moet je gewoon aan de slag’ 

 

Twee uitgangspunten

Voor een goede privacyaanpak onderscheidt Bourée eigenlijk twee uitgangspunten. “Iets doen is belangrijker dan het helemaal eerst begrijpen. Doe wat past bij je organisatie en start met basic speurwerk. Wat voor gegevens zijn er? Wat voor contracten? Wat is de datapolicy? Wie doet wat? Het tweede punt is: zorg voor bewustwording bij alle medewerkers, niet alleen  het managementteam. Het gaat hier wel over de bescherming van mensen. Eigenlijk hebben we het daar veel te weinig over, dat die data van mensen zijn en hoe belangrijk dit onderwerp dus is.”

Privacybeleid op bordje HR

privacybeleid

Veronique Bourée

Dat de privcaybescherming op het bordje van HR moet liggen, lijdt voor Bourée dan ook geen twijfel. “Het is de verantwoordelijkheid van HR om de medewerkers en sollicitanten te beschermen.  Maar HR lijkt te vaak nog te aarzelen en schuift het te makkelijk door aan IT en legal. Dat is jammer, want dit is juist dé kans om als HR je leiderschapskwaliteiten te laten zien.”

“Stap dus naar het MT en vraag heel duidelijk: ‘Wat is onze visie?’ ‘Snappen we met z’n allen de sense of urgency en de impact die dit op onze bedrijfsvoering kan hebben?’ Ik zeg het de laatste tijd heel vaak tegen HRM’ers: ‘Kom op, dit is dé kans om leiderschap te tonen’.”

Niet achterover leunen

HR moet dus de handschoen oppakken. Eén geruststelling: in Nederland hebben we een voorsprong, omdat we al langer ervaring hebben met onder andere de meldplicht. “Daarnaast zijn we een innovatief land en schromen we niet om technologie goed in te zetten. Veel bedrijven die bijvoorbeeld gebruik maken van bepaalde HR-software hebben al een voorsprong, omdat deze aan de EU regelgeving voldoen.” 

‘Dit is juist dé kans om als HR je

leiderschapskwaliteiten te laten zien’

Maar dat wil niet zeggen dat je achterover kunt leunen. “Zelfs bij bedrijven die verstand hebben van technologie is het gemak waarmee persoonlijke gegevens intern heen en weer gaan ongelooflijk. Denk maar aan de excel-sheets die nog vaak gebruikt worden, lijstjes met enorm veel gevoelige gegevens die klakkeloos doorgemaild worden. Of denk aan allerlei versnipperde ICT-systemen die aan elkaar gekoppeld zijn: ook dan is het risico op een datalek groter”, aldus Bourée.

De vijf P’s van privacy

Maar waar begin je? Met de vijf P’s van privacy, aldus Bourée: protocol, personeel, proces, product en programma. “Met deze  P’s voor de beste benadering van dataprivacy kun je de ervaring van medewerkers en sollicitanten versterken, hun persoonlijke gegevens beschermen en rustig slapen omdat  de reputatie van jouw organisatie onaangetast blijft.” Ze licht de vijf P’s kort toe:

Protocol

“Het belangrijkste onderdeel van deze stap is een evaluatie van je privacypolicy met alle betrokken partijen, op initiatief van HR, aangevuld met input van de directie of het managementteam . Enkele vragen die je hierbij kunt stellen: weten we welk type data er bewerkt of beheerd wordt? Is de noodzaak daarvan contractueel vastgelegd? Is het gebruik van de gegevens in het belang van de werknemer of van de werkgever?  Voorzien we proactief in duidelijke privacywaarschuwingen, enzovoort? Vanuit deze dialoog kun je een richtlijn ontwikkelen over de manier waarop je bedrijf met dit onderwerp om zou moeten gaan. “

Personeel

“Het succes van je privacybeleid hangt af van de mensen die de kar trekken. Welke taken pakken we het eerst op en wie kan dat doen? Wel met HR in de rol van aanjager. Het kan soms handig zijn een privacyraad samen te stellen waarin de belangrijkste afdelingen vertegenwoordigd zijn: bijvoorbeeld IT, HR, Marketing en Communicatie.”

Proces

“Voorkom paniek, dat is heel belangrijk. Met een duidelijk proces kun je zorgen dat iedereen het hoofd koel houdt en adequaat handelt, mocht er iets gebeuren. Leg  processen en procedures dus duidelijk vast. Begin simpel. Je kan altijd uitbreiden.“

Product

“Als je het verwerken van data door externe partijen laat doen, moet je een databewerkingsovereenkomst sluiten, met elk van die partijen. Heb je die al? Check dan of die voldoet aan de nieuwe eisen.

Programma

“Het draait bij dataprivacy allemaal om bewustwording, bij alle medewerkers. Ik raad dan ook een doorlopend bewustwordingsprogramma aan: opleiden, oefenen en verbeteren . “

In welke volgorde je de P’s langsloopt, maakt volgens Bourée niet uit. “Het is een raamwerk dat helpt om meer grip op dataprivacy te krijgen. “All you need to know en all you need to do: niet meer en niet minder.”

Dit artikel is tot stand gekomen in samenwerking met Talensoft.

Reageer op dit artikel