020 763 0840
eService
Officefood
Nieuwsbrief

AVG: hoe compliant is HR?

In de praktijk zie ik vaak dat het thema ‘privacy en security’ voor HR-afdelingen een uitdaging is. Toch is het belangrijk om hier alert op te blijven. Zeker omdat de AVG strenge eisen stelt aan de verwerking van persoonsgegevens van sollicitanten en personeel. Voldoe je niet aan deze compliant eisen? Dan kan dit resulteren in (hoge) boetes en reputatieschade. Met een documentbeheersysteem kun je aantonen dat je gegevens veilig verwerkt en archiveert en dus compliant bent.

Cv’s en sollicitatiebrieven

De AVG raakt vrijwel het gehele HR-proces. Dat begint al bij recruitment. Zo mag je cv’s en brieven van sollicitanten niet zomaar bewaren en moet je deze uiterlijk 4 weken na het einde van de sollicitatieprocedure vernietigen. Het gaat dan om kandidaten die je niet aanneemt én aan wie je geen toestemming hebt gevraagd om de documenten langer dan deze termijn te bewaren. Ontvang je wel toestemming? Dan is het redelijk dat de documenten tot één jaar bewaart.

Aan wie stuur je een cv door?

Er is veel om op te letten. Neem een cv die binnenkomt via e-mail. Een medewerker opent het document en stuurt deze door naar een collega met de vraag om er ook eens naar te kijken. Waarschijnlijk leest de manager ook mee. De cv’s van de kandidaten die je uitnodigt, print je nog even: handig voor tijdens het gesprek. De cv staat dan al in 3 inboxen én zwerft ook fysiek rond, op kantoor of bij iemand thuis. Na de sollicitatieprocedure is het dus zaak dat alle collega’s het cv verwijderen uit hun inbox, de map ‘verzonden’, de downloadmap, eventuele opslag op de netwerkschijf of het HR (opslag)systeem. Tegelijk moet ook de fysieke versie worden vernietigd. Gebeurt dat ook? En hoe weet je dat zeker?

Personeelsdossier: wat mag je bewaren?

Dan is er nog het personeelsdossier. Hierin verzamel je een schat aan documenten met privacygevoelige gegevens. Veel mag je hierin bewaren, mits goed beveiligd. Zoals een kopie van het identiteitsbewijs met burgerservicenummer, arbeidscontracten, voortgangrapportages, klachten en ziekte- en verzuimregistraties.

Er zijn uitzonderingen. Medische gegevens bijvoorbeeld mag je alléén in het dossier opnemen als de arbodienst én de betrokkene hier uitdrukkelijk toestemming voor geven. Die toestemming is vervolgens aan strenge voorwaarden verbonden. Ook moet er een wettelijke grondslag zijn om de gegevens te bewaren. Daar komt bij dat voor elk type persoonsgegevens een specifieke bewaartermijn geldt.

Zorgvuldigheid geboden

Het is dus belangrijk dat je zorgvuldig omspringt met alle documenten in het personeelsdossier, dat alleen bevoegde personen deze kunnen inzien, dat deze goed beveiligd zijn, dat informatie nergens blijft ‘hangen’ én dat je gegevens niet langer bewaart dan is toegestaan. En dat je dus geheel compliant bent. Hoe maak je dit waar? Want zeker nu we steeds vaker op andere locaties werken dan op kantoor, kan het zijn dat privacygevoelige gegevens achterblijven op plekken waar het niet hoort.

Documentbeheersysteem

Een documentbeheersysteem stelt HR-afdelingen in staat om aantoonbaar te voldoen aan de AVG en dus compliant te zijn. Hiermee beheer je alle documenten en personeelsgegevens vanuit één centrale omgeving. Een veilige oplossing, omdat alle communicatie versleuteld wordt verzonden. Je bent dus zeker van optimale security. Tegelijk is het mogelijk om medewerkers specifieke rechten toe te kennen. Je kunt dus aantonen dat onbevoegden geen toegang hebben (gehad) tot privacygevoelige informatie.

Altijd één versie van elk document

Een ander groot voordeel is dat je documenten niet meer hoeft te mailen naar collega’s of afdelingen. Je werkt altijd met één versie van een document en die staat in het documentbeheersysteem. Wil je dat een collega een cv bekijkt? Dan stuur je hem of haar eenvoudigweg een linkje naar het systeem. Documenten raken niet meer zoek en zijn altijd weer snel vindbaar. Want een documentbeheersysteem fungeert ook als digitaal archief.

Workflows en audit trails

Het belangrijkste is dat een documentbeheersysteem je in staat stelt om workflows te definiëren en ‘audit trails’ bij te houden. Bijvoorbeeld voor het recruitmentproces. In zo’n workflow geef je aan wie wanneer welke stappen moet doorlopen. Hierbij houdt het systeem precies bij wie op welk moment een document heeft bekeken of bewerkt. Hiermee maak je aantoonbaar welke medewerker toegang heeft gehad tot de informatie en welke actie hij wel of niet heeft ondernomen. Daarnaast kun je een bewaartermijn instellen voor documenten, zodat deze worden vernietigd als de bewaartermijn is verstreken.

Notificaties instellen

En die bewaartermijnen? Ook daar kan een documentbeheersysteem bij helpen. Zo is het mogelijk om notificaties in te stellen als een bewaartermijn van een document verloopt. Een geautoriseerde medewerker kan dit dan checken en het document wel of niet verwijderen uit het archief.

AVG-proof, ook op afstand?

De AVG raakt alle afdelingen en processen in jouw organisatie. Binnen de verkoop- en marketingafdeling is de impact vaak al goed zichtbaar en zijn er al de nodige maatregelen getroffen, maar ook uw HR-afdeling moet eraan geloven. Zeker nu we steeds vaker op andere locaties werken dan kantoor, wordt het belang van een AVG-proof werkwijze alleen maar duidelijker. Mijn advies is dan ook: kijk eens door de bril van een security- en privacyofficer naar jouw HR-proces. Is alles compliant, of vallen er nog slagen te maken?

Aan de slag: download het stappenplan

Wil je ook aan de slag met slim documentbeheer en zo meer grip houden op de AVG? Download het stappenplan waarmee je binnen 90 dagen de documentstromen in jouw organisatie volledig digitaliseert.