De beoordeling van de personeelsafdelingen van bedrijven over GDPR gaat van “het is schieten met een kanon op een mug” (10 % van de bevraagden), en “dit is niet realistisch voor kleine bedrijven” (11 %), tot “ik begrijp dat ook binnen HR de privacy gerespecteerd moet worden, maar GDPR is daarvoor niet de beste manier” (47 %).

Uit de privacy-wetgeving van 1992 werden personeelsadministratie en -beheer nog uitgesloten wat de aangifteplicht betreft. Met GDPR wordt de relatie werkgever/werknemer over dezelfde kam geschoren als de relatie grote Internet-speler/Internet-gebruiker. Dat GDPR reageert op het feit dat Internet-gebruikers, zonder dat ze het beseffen of hun goedkeuring hebben gegeven, in hun doen en laten door Internet-spelers op het net worden gevolgd en met gerichte reclame worden overspoeld, dat snappen mensen. Maar dat is niet van dezelfde orde als wat er zich tussen werkgever en werknemers afspeelt.

Als alles goed gaat, haalt helft HR de deadline

Het is logisch dat marketing-departementen zich meer en eerst aangesproken hebben gevoeld door de nieuwe privacy-wetgeving. Personeelsafdelingen hielden zich langer afzijdig. Zij zijn lang koele minnaars gebleven - en ze zijn dat deels nog. 2% van hen bevestigt klaar te zijn voor de nieuwe wetgeving. 48% zegt heel hard bezig te zijn de nodige acties te ondernemen om processen en procedures in overeenstemming te krijgen met de GDPR-verordening. Als alles goed gaat, haalt dus de helft de deadline. Verder weet 18% wel wat te doen, maar nog niet hoe eraan te beginnen. Terwijl 25% niet weet wat er van hen wordt verwacht en 7% zelfs nog in totale onwetendheid verkeert. HR heeft dus nog wel wat werk wil het GDPR-compliant geraken.

Nieuwe privacy-wet laat ruimte voor discussie

Dat HR-departementen nog niet helemaal helder hebben waar het voor hen met GDPR naartoe moet, blijkt bijvoorbeeld uit wat ceo’s en HR-managers antwoorden op de vraag hoe lang zij, na het einde van de arbeidsovereenkomst, gegevens van hun vroegere werknemers zullen blijven bijhouden. Over de vroegere arbeidsovereenkomst, evaluatiegegevens, loongegevens en foto’s van vroegere werknemers, stelt meer dan 50% dat zij na de inwerkingtreding van de verstrengde privacy-regels niet weet hoelang ze die verder zullen bewaren. Ruim 10% gaat uit van “onbeperkt in de tijd”.

Hoelang gegevens bewaard mogen worden door HR is ook niet expliciet geregeld. Ze mogen worden bewaard “gedurende de periode dat ze nog relevant zijn voor het doeleind waarvoor ze werden ingezameld”. Wat dat concreet betekent, is natuurlijk voer voor discussie en bijgevolg ook aanleiding voor onzekerheid in HR-departementen. Het lijkt een goed idee om voor deze data een concrete norm te hanteren, bijvoorbeeld tien jaar. Dan weet HR ten minste dat men alle data die betrekking hebben op gewezen werknemers na tien jaar moet vernietigen, tenzij men daarover andere afspraken heeft gemaakt met de ex-collega’s in kwestie. Want die ruimte is er ook, werkgever en werknemer kunnen afspraken maken. En goede afspraken onderhouden goede relaties.

Voortdoen zoals vóór GDPR is geen optie

Amper een kwart van de respondenten staat volledig achter de nieuwe privacy-regels. HR-departementen kunnen er nochtans niet op rekenen dat de nieuwe regelgeving in de komende periode vereenvoudigd zal worden of in soepeler regels zal gaan voorzien voor de verwerking van gegevens over werknemers. Werkgevers gaan dus best kritisch om met de gegevens die ze bewaren over hun werknemers. Welke informatie hebben ze nodig en welke is misschien overbodig? Hebben ze een goede reden om ze in te zamelen en te bewaren? Hoelang behouden ze de data nadat de arbeidsovereenkomst een einde heeft genomen? ... Alles begint bij een inventarisatie en een kritische evaluatie van de informatie die vandaag wordt bewaard.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Acerta)

Meer info: 016/24.64.30 of www.acerta.be.