GDPR, de sleutel tot je eigen datakluis?

padlock-lock-chain-key-39624 (1).jpeg

Een collega vroeg laatst of wij als leverancier van het HRorganizer systeem door de GDPR in de problemen komen. Of ons systeem wel assessment data mag verwerken en opslaan. Of sommige meer of minder gezaghebbende instanties bepaalde assessment data zelfs als medische gegevens kunnen zien, met alle juridische complicaties van dien. In dit blog licht ik toe wat de GDPR inhoudt, welke maatregelen HRorganizer heeft genomen om hieraan te voldoen en onze plannen voor een persoonlijke, digitale kluis.

De General Data Protection Regulation, of GDPR, is een Europese wet die in 2016 is ingegaan, met de bedoeling om natuurlijke personen te beschermen in verband met de verwerking van persoonsgegevens. Ze geeft organisaties tot 25 mei 2018 de tijd om de zaken op orde te hebben. En dus is het nu een hot issue.

In een notendop
Op Wikipedia staat uitgelegd wat de GDPR is en hoe de uitvoering in Nederland is geregeld. Kort gezegd gaat het hier om:

  • Integriteit: de gegevens moeten correct blijven en beschermd tegen onbevoegden.
  • Compliance: de verantwoordelijke moet dit alles kunnen aantonen.
  • Toestemming: voor de verzameling en toepassing van persoonsgegevens dient de betreffende persoon zijn of haar rechten te kennen en toestemming te geven.
  • Houdbaarheid: de gegevens moeten worden verwijderd als ze niet meer nodig zijn.

Integriteit is iets waar systeembouwers veel aandacht aan besteden omdat foute gegevens, of gegevens in foute handen direct veel schade doen. Bij de bouw, de inrichting, en het beheer heeft HRorganizer er alles aan gedaan om dit te borgen. Dit is ook de reden waarom met ketenpartners (denk aan bijvoorbeeld hosting) zogenaamde bewerkersovereenkomsten worden afgesloten.

Compliance verplichting is nu zwaarder dan voorheen en dit is waar nu de meeste aandacht van organisaties naar toe gaat. Veel persoonsgegevens komen terecht in systemen die niet door de verantwoordelijke worden beheerd. Dit geldt sowieso voor het gebruik van diensten die in de cloud zitten. En dus ook voor licentienemers van HRorganizer. Om deze reden heeft HRorganizer haar model licentieovereenkomst aangepast en uitgebreid met de bepalingen die nodig zijn voor GDPR compliancy.

Toestemming voor het gebruik van persoonsgegevens van een individu wordt in veel systemen impliciet gevraagd door een zin te tonen in deze trant: “als u doorgaat geeft u toestemming voor het gebruik van de antwoorden.” Het is zeer de vraag of dit nog voldoende is. Daarom heeft HRorganizer voor selectiegegevens van sollicitanten al enige jaren een routine waarbij de deelnemer zelf als eerste de resultaten van het online assessment krijgt en de kans krijgt om deze niet te delen met de organisatie.

Houdbaarheid is voor psychometrische data al lang een onderwerp van gesprek. Maar deze spitste zich toe op de bruikbaarheid van oude gegevens. Het is echter niet meer voldoende om verouderde gegevens te verwijderen: gegevens moeten weg zijn, als deze niet meer nodig zijn voor het doel waar ze voor zijn verzameld. Hiervoor zal op korte termijn een oplossing beschikbaar komen in het HRorganizer systeem.

De sleutel van je eigen persoonlijke datakluis
Maar we gaan nog veel verder dan dit. Vanaf de oprichting 12 jaar geleden streeft HRorganizer naar de realisatie van een online kluis waarmee het individu zelf eigenaar wordt van informatie over eigenschappen, gedrag, ambities, ontwikkeling, talenten, performance, noem maar op. Hiermee zullen bijvoorbeeld de assessmentresultaten van een sollicitant bij een afwijzing automatisch verdwijnen bij de organisatie, maar nog wel toegankelijk zijn voor de sollicitant. En wellicht zelfs bruikbaar voor een sollicitatie bij een andere werkgever. Zo zien we met HRorganizer een digitaal werkdossier, e-portfolio, digi-cv, hr-kluis of hoe je het maar wilt noemen, ontstaan.

Mijn hoop is dat de GDPR deze ontwikkeling verder stimuleert. Dat het kracht zet achter bewegingen die ervoor zorgen dat ik zelf eigenaar word van de gegevens die andere partijen over mij verzamelen. Waarmee ik straks zelf bepaal wie er wanneer toegang heeft tot mijn persoonlijke datakluis vol medische, financiële,  fiscale, opleidings-, en natuurlijk werkgerelateerde gegevens.

Jeroen Visscher
CTO HRorganizer

Recent Articles

Een goede vacature opstellen doe je zo

Als HR-professional of recruiter krijg jij geregeld de taak om een vacature op te stellen. Het...

Het effect van leeftijd op de score van een assessment

De invloed van leeftijd op de score van cognitieve tests wekt soms sterke reacties op. Dit had tot...

Het huis van werkvermogen

Het huis van werkvermogen is een model dat de factoren beschrijft die invloed hebben op het...