Privacy is dood, leve de privacy

Meredith Van Overloop van Triangis aan het woord:

Vandaag hebben we het gevoel dat de online en offline wereld van elkaar gescheiden zijn. Die tegenstelling zal alsmaar vervagen. Uw koelkast zal weten wanneer nieuwe melk moet worden besteld en welk merk dat moet zijn. “Privacy is dood”, wordt weleens gezegd. En ja, u herkent wel de volgende situatie: u wil online een spelletje spelen of een app installeren. Eerst moet er een privacy statement van 10 pagina’s gelezen worden, om dan pas aan het spel te kunnen beginnen dat wellicht korter duurt dan de tijd die u hebt gestoken in het lezen van de privacy-regels. Dus wat doet u? U klikt op “aanvaarden” zonder te lezen en u doet uw ding. Op zich lijkt dit niet erg, en ook ik ben er niet trots op nooit of te nimmer die ellenlange privacyregels door te nemen.

Tot er iets ernstigs gebeurt. Uw account wordt gehackt, of uw tiener komt in aanraking met cyberpesten, … Het is pas als er iets problematisch optreedt, dat mensen beseffen dat een inbreuk op hun online privacy een grote impact kan hebben.

Het individu wordt overschat

Op social media wordt het individu verantwoordelijk gesteld voor de privacy. Dat is toch wat vreemd. Als individu heb je namelijk gewoon geen controle over het algemene businessmodel van de site, en de verantwoordelijk moet dus verdeeld worden over individu, de sites in kwestie en de overheid. Stilaan gebeurt dit. En dat is een goede zaak.

Een belangrijke stap in dit verhaal is de nieuwe wetgeving die van kracht gaat in mei 2018. De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is een wijziging van de Europese wetgeving met betrekking tot de privacy. Het doel is meer transparantie en persoonlijke integriteit. Verzamelt uw organisatie persoonlijke gegevens van EU-burgers? Dan moet u uw HR-processen vanaf 25 mei 2018 afstemmen op de GDPR. Anders riskeert u een boete van 4 procent van de totale jaaromzet, met een maximum van 20 miljoen euro. U schrikt? Wel, dan bent u niet alleen. Uit onderzoek van SD Worx bij 1.800 human resources medewerkers in negen Europese landen blijkt dat 44% van deze HR-professionals nog nooit van GDPR heeft gehoord.

Over welke bescherming gaat het eigenlijk? Hieronder vindt u de 8 basisprincipes.

  • Het recht om te worden vergeten

Burgers mogen vragen om hun persoonlijke gegevens te verwijderen als ze bijvoorbeeld uw bedrijf verlaten. Bedrijven die assessments of persoonlijkheidstesten afnemen moeten deze kunnen verwijderen op simpele vraag van een individu.

  • Het recht op gegevenscorrectie

Onvolledige of onjuiste informatie moet worden gecorrigeerd.

  • Het recht op inzicht in persoonlijke data

Uw medewerkers mogen hun persoonlijke gegevens consulteren. Zij mogen al dan niet de toelating geven dat hun data mogen worden verwerkt.

  • Het recht op gegevensoverdraagbaarheid

Dit betekent dat burgers persoonlijke gegevens niet enkel mogen verkrijgen, maar dat ze deze ook opnieuw mogen gebruiken voor hun eigen doeleinden op andere platforms. Zowel het verkrijgen als het overdragen van persoonlijke gegevens zal een grote impact hebben voor  operatoren van telefonie en internet. De GDPR-wetgeving voor artsenpraktijken en medische industrie is nog veel complexer en strikter dan de algemene GDPR.

  • Het recht op het beperken van de verwerking

Werknemers zullen het recht hebben om de verwerking van persoonsgegevens te blokkeren, zodat organisaties deze enkel kunnen opslaan maar niet verder gebruiken.

  • Het recht om op de hoogte te worden gesteld van lekken

Organisaties moeten binnen 72 uur bevoegde autoriteiten op de hoogte brengen als een datalek wordt vastgesteld. Bovendien zal u ervoor moeten zorgen dat u beschikt over de juiste technologie en procedures om overtredingen te identificeren en vervolgens te communiceren.

  • Opt in en double Opt in

Alle toestemmingsmechanismen moeten worden gericht op de nieuwe eisen van de GDPR, zodat de burger duidelijkheid heeft over hoe zijn/haar persoonlijke data zal worden verwerkt, en zal daarvoor expliciete toestemming geven.

  • Het recht op transparante procedures en software

Alle procedures moeten in lijn zijn met de nieuwe GDPR-regels. Bedrijven zijn verplicht om vanaf mei transparante registers bij te houden over persoonlijke data en wat ermee wordt gedaan.

Zowel uw slager om de hoek, het assessment center, een garage, dokterspraktijk of een multinational: alle organisaties zullen zich moeten aanpassen aan de nieuwe regelgeving, zowel voor interne persoonsinformatie (personeelsleden) als externe gegevens (leveranciers, nieuwsbrieflezers, klanten en prospecten, …).

Europa zal streng optreden tegen schendingen van de Privacy.  Het is een duidelijk signaal en een belangrijke stap. Wij zijn getuige van een interessante tijd: de samensmelting tussen de online en de offline wereld. HR kan een verschil maken en aantonen dat deze samensmelting niet enkel vorm krijgt vanuit economische drijfveren, maar ook zal worden geruggesteund door ethische normen.

En dat het hiermee niet gedaan is, mag wel duidelijk zijn.

We staan nog maar aan het begin van deze boeiende zoektocht. Enkele voorbeelden:

GDPR staat toe dat iemand vraagt om zijn gegevens volledig te schrappen. Financieel recht daarentegen vraagt o.a. dat facturen tot 8 jaar bewaard worden. Hier is het duidelijk dat het financiële recht primeert. Maar welllicht zijn er nog zulke duistere gebieden, waar het niet zo eenzijdig is met tegenstrijdige wetgeving.

GDPR heeft betrekking op persoonlijke data, maar het is niet duidelijk of dit ook geldt voor foto’s. Moet de prachtige muur met sfeervolle foto’s van teambuildingactiviteiten regelmatig nagekeken worden, naarmate werknemers die het bedrijf verlaten, zullen vragen al hun gegevens te schrappen? Moeten ook hun foto’s verwijderd worden, zowel uit de offline werkcontext (posters, affiches,..) als de online omgevingen (website, intranet, facebookpagina,..)? Daar schuilt een pak werkgelegenheid in, me dunkt. Alsook in het uitvogelen van de volgende onduidelijkheden:

  • De procedures moeten transparant zijn, maar richtlijnen hoe deze procedures dienen opgesteld te worden, zijn onduidelijk.
  • Dienen kandidaten binnenkort in hun CV te vermelden dat ze akkoord gaan met het opslaan van deze gegevens? Hoe zal dit worden opgeslagen en opgevolgd worden?
  • Zal een overgangsfase toegestaan worden? Bedrijven zullen voortaan de toestemming vragen om persoonlijke data op te slaan en te bewaren, maar wat met de informatie die reeds in het systeem staat? Moet daar achteraan gegaan worden? Of zal het allemaal niet zo’n vaart lopen? Op welke manier zal er überhaupt controle worden uitgeoefend? En dan hebben we het nog niet gehad over marketing. Welke vragen zullen marketeers zich stellen?

“We live in the world our questions create.” (David Cooperrider)

Laat ons de juiste vragen stellen.

 

Over de auteur:

Meredith Van Overloop is oprichter van Triangis Coaching & Training Solutions en auteur van het boek “Niet perfect, toch content” en “Het Overloop Effect, 7 hefbomen voor een betere werksfeer” (Witsand Uitgevers)