Dit verhaal, geschreven door de tekstschrijvers van Workday, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.
Hoe goed bent u voorbereid op 25 mei 2018? Ondanks dat de meeste organisaties weten dat de Europese Unie de General Data Protection Regulation (GDPR, ook wel bekend als AVG) heeft aangenomen, weten veel organisaties nog niet hoe zij zich op de nieuwe regels moeten voorbereiden. Tijdens Workday Rising Europe schetste Jeremy Baker, Affiliate Professor bij ESCP Europe business school, de weg naar succesvolle GDPR-compliance.
Een korte samenvatting: GDPR (of AVG, Algemene Verordening Gegevensbescherming) is een wettelijk mandaat dat betrekking heeft op de manier waarop bedrijven de persoonsgegevens van EU-burgers, waaronder identiteitsgegevens, etnische, genetische en biometrische informatie en zelfs politieke opvattingen beheren en bewaren. Het mandaat is bedoeld om de lappendeken aan wetgeving over dataprotectie in Europa te harmoniseren.
Om aan de GDPR te voldoen moeten bedrijven hun persoonlijke data inventariseren en opslaan in een veilige omgeving, stelt Professor Baker. Daarnaast moeten ze bepalen wie er in hun organisatie toegang krijgt tot welke categorie persoonlijke data en controles implementeren die deze toegang beheren. “Bedrijven moeten om te beginnen alle persoonlijke data waar ze over beschikken verzamelen en veilig opslaan,” zei hij. “De volgende stap is het ontwerpen van regels voor het beheer van dergelijke data.”
Met maximumboetes voor non-compliance tot vier procent van de jaaromzet of 20 miljoen dollar, afhankelijk welk bedrag het hoogst is, is het volgens Professor Baker niet verwonderlijk dat het gemiddelde Fortune 500-bedrijf 16 miljoen dollar aan GDPR-voorbereidingen spendeert.
HR cruciaal voor succes
Tijdens zijn presentatie zei Baker dat voor GDPR-compliance de rol van de HR-professional cruciaal is. Hij benadrukte het belang dat HR-professionals duidelijk communiceren over de voordelen van implementatie en daarnaast de rollen en verantwoordelijkheden van werknemers verduidelijken. Hij stelde ook dat HR de technologie moet identificeren die GDPR-compliance het best ondersteunt, waarbij ook moet worden gekeken naar de rol die cloudproviders, zoals Workday, spelen bij het voldoen aan de vereisten.
“De rol van HR omvat niet alleen communicatie, maar ook training en change management voor alle business units, zoals IT en legal. HR zal niet alleen de weerstand tegen verandering moeten overwinnen, maar ook incentives moeten formuleren om employee engagement te garanderen,” zei hij.
Baker haalde kwalitatief onderzoek aan dat hij heeft uitgevoerd bij organisaties die momenteel werken aan succesvolle GDPR-compliance. Hij wees op drie proactieve stappen die vooruitziende bedrijven nemen: het ontwikkelen van een actieplan, het uitvoeren van een gap-analyse om te bepalen waar het bedrijf staat versus waar het zou moeten zijn, en het updaten van de sleutelprocessen en procedures. Op een meer filosofische noot benadrukte Baker het belang van optimisme. Hoe zwaar de weg naar GDPR ook is, het hele bedrijf heeft hier uiteindelijk profijt van.
“Kijk maar naar de wetgeving rondom Sarbanes-Oxley, die bedrijven ertoe aanzette hun financiële data te organiseren. Compliance was toen een nachtmerrie, maar nu kunnen ze niet meer zonder”, aldus Baker. “Dit is een kans om een stap in de goede richting te zetten. De data wordt in de schijnwerpers gezet, wat zorgt voor beter datamanagement en meer inzicht, evenals de kans om de manier waarop u data verwerft, bewaart en onderhoudt, opnieuw te bekijken.”
Boetes als stok achter de deur
Volgens Baker heeft de dreiging van boetes voor non-compliance sommige bedrijven geholpen met het onderhandelen van meer resources om de uitdagingen rondom GDPR het hoofd te bieden. “Uit interviews blijkt dat men zich zorgen maakt over het aanschaffen en onderhouden van een datamanagementsysteem. HR-professionals zijn geen IT-experts en daarom is een goede samenwerking met IT een must. Er heerst een inherente angst om fouten te maken, wat maakt dat bedrijven zich gaan concentreren op het vinden van de juiste technologieleverancier”, aldus Baker.
De weg naar GDPR-compliance levert HR ook andere voordelen op, vertelde Baker. Kijkend naar de langetermijnimpact op HR zei hij dat de focus op data HR in staat stelt een strategischere rol te vervullen, mede door het bieden van meer inzicht in data rondom engagement en diversiteit. Bedrijven die het proces voor GDPR-compliance doorlopen, zullen niet alleen de productiviteit en de prestaties verbeteren. Ze zullen als privacygeoriënteerde organisatie ook het vertrouwen vergroten bij werknemers en klanten.