Met de nieuwe Europese privacywetgeving worden bedrijven beboet wanneer personeelsgegevens in een Excel-sheet staan.
Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de algemene verordening gegevensbescherming (AVG). Deze nieuwe wet heeft consequenties voor werkgevers, die persoonsgegevens van werknemers opslaan en verwerken. De huidige Nederlandse Wet Bescherming Persoonsgegevens komt dan te vervallen.
Volgens de AVG moet alle software die organisaties gebruiken om persoonsgegevens te verwerken voldoen aan ‘privacy by design’. Dat betekent dat zo min mogelijk persoonsgegevens worden verwerkt, dat zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard.
Bedrijven moeten aantonen dat ze aan AVG voldoen
Organisaties krijgen onder de AVG bovendien een documentatieplicht. Dat wil zeggen dat ze met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Bij overtreding van de wet kunnen organisaties sancties opgelegd krijgen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van ondernemingen.
Daarnaast worden de privacyrechten van werknemers uitgebreid. Wanneer het verwerken van de persoonsgegevens niet strikt noodzakelijk is, zullen werkgevers expliciet toestemming moeten vragen aan werknemers.
Personeelsgegevens verwerken alleen bij noodzaak
Het uitgangspunt van de AVG is dat persoonsgegevens alleen mogen worden verwerkt wanneer dat strikt noodzakelijk is. Dit betekent dat organisaties nog beter dan nu moeten nadenken over de software die ze gebruiken om persoonsgegevens te bewaren en verwerken.
Ook wanneer organisaties software in de cloud gebruiken, moeten zij afspraken maken over een privacyvriendelijke verwerking van persoonsgegevens en deze afspraken vastleggen in een verwerkersovereenkomst.
Excel-sheet is binnen AVG not done
Nog steeds zijn er bedrijven die persoonsgegevens opslaan in spreadsheetsoftware als Excel of andere toepassingen die daar niet voor zijn bedoeld. Deze bedrijven zullen aan de AVG een zware dobber krijgen. Organisaties die al gebruik maken van HRM-software, hebben het gemakkelijker. Zij zullen deze systemen misschien anders moeten inrichten, maar beschikken al wel over de juiste tools om vanaf 25 mei 2018 te voldoen aan de nieuwe Europese privacyregels. (Bron: PW de Gids)
> Lees ook Hoe krijg je informatieveiligheid in de dagelijkse routine?