De nieuwe Europese richtlijn General Data Protection Regulation (GDPR) of algemene verordening gegevensbescherming (AVG) voor datagebruik treedt pas in mei 2018 in werking. Bij HR2day zijn we daar vanzelfsprekend al op voorbereid, dus over je HR-gegevens hoe je je geen zorgen te maken. Maar misschien zijn er wel meer persoonsgegevens die je verwerkt: van klanten of prospects bijvoorbeeld. Dan is het verstandig je ook daarvoor alvast voor te bereiden. Want je kunt een boete krijgen tot 4% van je omzet.
Breng je dataprocessen in kaart en pas contracten aan
Je hebt uitdrukkelijke toestemming nodig van personen om gegevens over hen te verwerken. Ook moet je zorgen dat je alle contracten met derde partijen die je gegevens verwerken, voorziet van een bewerkersovereenkomst. Net als bij HR2day.
Inbreuken melden
Wanneer er een incident plaatsvindt dat de integriteit van gegevens in gevaar brengt – denk bijvoorbeeld aan een hacker die patiëntengegevens van een ziekenhuis hackt – moet je binnen de 72 uur de nationale toezichthouder informeren. Wanneer de gehackte gegevens niet versleuteld zijn, moeten ook de personen van wie de gegevens gekraakt werden hierover geïnformeerd worden. Zorg ook dat je deze clausule in je bewerkersovereenkomst opneemt.
Sluit een doorgiftecontract met niet EU-partners af
De regels voor de export van data naar niet EU-landen worden strenger. Dat wist je al omdat HR2day gebruik maakt van Salesforce. Wij hebben alle beveiligingsmaatregelen getroffen en aanvullende datadoorgiftecontracten afgesloten. Maar is dat bij al je leveranciers het geval? Zorg in ieder geval dat je voor iedere situatie een doorgiftecontract voor data hebt afgesloten.
Update de privacy notice
De bekende privacy notice die je vandaag al hanteert, moet ook expliciet vermelden welke data je bewaart.
Benoem een data protection officer
Deze data protection officer inventariseert alle dataprocessen: welke persoonsgegevens bewaar je, wat doe je ermee, met wie deel je ze. Het volstaat niet langer om aan de wet te voldoen, je moet dat ook te allen tijde kunnen aantonen.
Zorg voor een informatiebeveiligingsbeleid
Zet een informatiebeveiligingsbeleid met maatregelen en vermeld hoe je organisatie zal reageren op inbreuken. Review en update dit beleid eens per jaar.
Wacht niet tot 25 mei 2018
De nieuwe GDPR werd in april 2016 opgesteld. Europa geeft ondernemingen tot 25 mei 2018 de tijd om aan de eisen te voldoen.
Voor meer informatie lees je het white paper HR2day en de AVG.