Weinig aandacht voor privacy en databeveiliging op HR-afdelingen

19 oktober 2017 Consultancy.nl

Privacy en databeveiliging staan laag op het prioriteitenlijstje van HR-afdelingen. Zo is bijna een op de tien HR-medewerkers zich niet bewust van de grotere rol die de Wet bescherming persoonsgegevens (Wbp) sinds de invoering van de meldplicht datalekken is gaan spelen binnen HR. Voor 2018 verwachten HR-professionals zelfs dat de onderwerpen nog minder prioriteit zullen krijgen. Dat blijkt uit het onderzoek ‘HR Trends 2017-2018’. 

In het jaarlijkse onafhankelijke onderzoek onder interne en externe HR-professionals in Nederland wordt gekeken naar de inhoud en de beloning van de HR-functie. Hiervoor worden niet alleen HR-medewerkers in loondienst ondervraagd, maar ook directeuren van HR-dienstverleners en zelfstandig werkende HR-adviseurs. In totaal deden ruim 1.000 HR-verantwoordelijken mee aan het onderzoek dat dit jaar voor de tweede keer werd uitgevoerd. Het onderzoek is op initiatief van Performa en met steun van salarisdienstverlener ADP Nederland uitgevoerd door adviesbureau Berenschot. 

Meldplicht datalekken

Dit jaar was er speciale aandacht voor privacy en databeveiliging in verband met de per 1 januari 2016 ingevoerde aanpassing van de Wet bescherming persoonsgegevens (Wbp)*. Een aanscherping van de daarin opgenomen meldplicht datalekken** eist van organisaties dat ze onmiddellijk een melding doen bij de Autoriteit Persoonsgegevens indien ze te maken hebben met een ernstig datalek. Zo’n lek kan optreden wanneer iemand een USB-stick kwijtraakt, bij diefstal van een laptop of in het geval dat een hacker de systemen binnen weet te dringen. Er is daadwerkelijk sprake van een lek als er persoonsgegevens verloren zijn gegaan of de onrechtmatige verwerking ervan niet redelijkerwijs kan worden uitgesloten. Bij overtreding van de meldplicht kan de Autoriteit Persoonsgegevens een bestuurlijke boete tot €820.000 euro opleggen.

Impact Wet bescherming persoonsgegevens (Wpb) op dagelijks werk

Weinig invloed op werk

Desondanks geeft 43% van de respondenten aan dat de Wbp sinds de invoering van de meldplicht geen grotere rol is gaan spelen in hun dagelijks werk. 8% van de respondenten laat zelfs weten niet bekend te zijn met de aanscherping van de Wbp. Opgeteld stelt dus net iets meer dan de helft van de respondenten (51%) geen invloed te merken van de aangepaste Wbp, terwijl HR-medewerkers dagelijks met de wet te maken hebben. “Privacy en dataveiligheid anno 2017 vraagt om een andere mindset van de HR-professionals maar veel professionals zijn er nog niet mee bezig”, aldus de onderzoekers van Berenschot. 

De 49% van de HR-professionals die aangeven dat de Wbp het afgelopen jaar wel een grotere rol is gaan spelen, benadrukken vaak dat de aanpassing merkbaar is in meerdere facetten van de dagelijkse werkzaamheden. Zo stelt 33% dat de wet een grotere rol is gaan spelen bij het vastleggen van ziekteverzuim, 27% dat dit geldt voor het uitwisselen van gegevens met andere organisaties, 20% bij het werving- en selectieproces en 19% bij de authentica van de persoonlijke HR-portal***. “Bij HR-afdelingen waar de Wbp meer invloed heeft gekregen, zien we dat dit het gehele HR-spectrum raakt en daarmee ook alle HR-systemen en -processen. Het aanpassen van bepaalde processen is een logisch gevolg”, stelt Hans van der Spek, manager kenniscentrum HCM bij Berenschot. 

Lage prioriteit

Wanneer er wordt gekeken naar het belang dat HR-medewerkers in vergelijking met andere thema’s hechten aan privacy en databeveiliging, blijkt het onderwerp ook behoorlijk laag op de prioriteitenlijst te staan. Op een lijst met 24 thema’s komt privacy en databeveiliging dit jaar niet hoger dan de 16e plaats en gekeken naar de verwachting voor 2018 eindigt het thema zelfs nog twee plekken lager. Voor 2017 zijn de drie belangrijkste thema’s volgens de HR-afdelingen duurzame inzetbaarheid, arbeidsmarktcommunicatie/employer branding en opleidingsbeleid. 

Prioriteitsstelling-naar-omvang-personeelsbestand

Grootte organisatie

Wanneer de resultaten worden vergeleken met de grootte van de bedrijven waar de respondenten werkzaam zijn, blijkt te gelden dat hoe groter de organisatie is, hoe minder aandacht er is voor privacy en gegevensbescherming. Waar het thema prioriteit is voor 17% van de organisaties met maximaal 50 werknemers, neemt dit af tot 7% bij organisaties vanaf 1.000 personeelsleden en zelfs tot 3% als er meer dan 10.000 mensen werken. De daling is echter niet constant, zo wordt er meer prioriteit aan het thema gehecht bij organisaties met 251-500 medewerkers (16%) dan bij organisaties met 101-250 werknemers (12%). 

Functies

Gelet op het belang dat vanuit verschillende HR-functies aan het thema privacy en databeveiliging wordt toegekend, komt naar voren dat met name HR Business partners (25%) en medewerkers personeelszaken (24%) aandacht hebben voor het thema. HR-managers (8%) en vooral HRM-directeuren (3%) hechten in verhouding juist erg weinig belang aan het onderwerp. Ergens daartussenin bevinden zich de personeelsfunctionaris (13%), de HR-adviseur (12%) en het hoofd (salaris)administratie (10%).

Prioriteitsstelling naar functie van de respondent

Van der Spek toont zich bezorgd over de resultaten: “HR-afdelingen beschikken over zeer gevoelige personeelsinformatie. Juist zij zouden daarom als een van de eersten in de organisatie op de hoogte moeten zijn van nieuwe privacy- en datawetgeving en daar direct naar moeten handelen. Daarbij is het verontrustend dat privacy en databeveiliging naar verwachting ook in 2018 niet stijgt op het prioriteitenlijstje, aangezien op 25 mei 2018 de Europese privacyrichtlijn van kracht wordt.”  

Gerelateerd: Bedrijfsleven en overheid maken zich op voor datawetgeving.

* Per 25 mei 2018 zal in ons land de Wet bescherming persoonsgegevens (Wbp) officieel vervangen zijn door de Algemene Verordening Gegevensbescherming (AVG). De AVG is de Nederlandse variant van de General Data Protection Regulation (GDPR), de nieuwe Europese wetgeving voor de bescherming van persoonsgegevens en tevens een richtlijn voor politie en justitie inzake gegevensbescherming.

** 1 januari 2016 trad de Wet Meldplicht Datalekken in werking. Deze meldplicht stelt Nederlandse organisaties verplicht om in het geval van een datalek of wanneer er persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dit voorval direct te melden aan het College Bescherming Persoonsgegevens (CBP). Het CBP heeft de bevoegdheid om bedrijven een boete op te leggen voor hun onzorgvuldig omspringen met persoonlijke of gevoelige data.

*** De deelnemers uit het onderzoek konden meerdere mogelijkheden invullen zodat de opgetelde percentages (ver) boven 49% uitkomen.

Nieuws