Print:

Dataprotectie draait uiteindelijk om mensen

Dataprotectie kan organisaties veel opleveren. Bijvoorbeeld efficiëntere werkprocessen en een goed imago. Dan is het wel belangrijk dat privacy in het DNA van de medewerkers zit. Barbara Peruskovic van de internationale IT-recruiter Vibe Group vertelt over de uitdagingen en succesfactoren.

“Recruiters werken dagelijks met heel veel persoonsgegevens. We hebben nu eenmaal informatie nodig om kandidaten goed te leren kennen. Maar hoe ver wil je daarmee gaan en wat moet je eigenlijk allemaal vastleggen? Privacy is voor ons vak een topprioriteit”, vertelt Barbara Peruskovic, hoofd Data & IT bij Vibe Group, een specialist in IT-staffing die met meer dan 250 medewerkers en ruim 850 gedetacheerden actief is in Nederland, België en Duitsland.

Barbara Peruskovic | IIRPeruskovic, een van de sprekers tijdens het Dataprotectie & Privacy Congres op 14 en 15 november, stond aan de wieg van de privacy by design aanpak bij Vibe Group. “Al onze consultants krijgen een training over de General Data Protection Regulation (GDPR) en krijgen dagelijks op hun beeldschermen informatie over de noodzaak om de kandidaten die ze spreken om toestemming te vragen voor de verwerking van hun persoonsgegevens”, geeft Peruskovic als voorbeelden van de nieuwe werkwijzen waartoe de aanpak leidde. Tegelijkertijd zijn de werkprocessen optimaal ingericht om de vijftig tot zestig inzageverzoeken die maandelijks binnenkomen bij Vibe Group snel, efficiënt en zorgvuldig af te handelen.

Transparantie loont

“Privacy en de Algemene verordening gegevensbescherming (AVG) gaan in feite niet over het vastleggen en bewaren van persoonsgegeven”, benadrukt Peruskovic, die tot voor kort als Data Protection Officer (DPO) bij Vibe Group werkte en de functie daarvoor bekleedde bij Altus Staffing, dat behoort tot het concern. “De meeste kandidaten hebben geen bezwaar tegen de opslag van hun persoonsgegevens, maar tegen het handelen op basis van de gegevens. Recruiters bellen nogal eens op een moment dat het niet uitkomt, of ongewenst is. Bovendien worden de senior IT-professionals die onze doelgroep zijn sowieso al veel door recruiters benaderd. Soms zeggen mensen dan dat ze hun gegevens uit onze database verwijderd willen hebben. Maar als ze zien welke informatie we bewaren, dan vragen ze meestal om gewoon op een andere manier benaderd te worden. Het bezwaar draait dus eigenlijk niet om de opslag van persoonsgegevens, het gaat erom hoe we omgaan met de persoon.”

De privacy-aanpak is essentieel voor de business van Vibe Group, zegt Peruskovic, die in het verleden werkte als onder meer data governance advisor bij de Nederlandse ontwikkelingsbank FMO en als adviseur en consultant bij verschillende publieke en private organisaties. “Het loont echt om transparant te zijn over hoe we met persoonsgegevens omgaan. Een groot deel van onze doelgroep bestaat uit ervaren security- en privacy-specialisten. Zij zijn zich natuurlijk heel goed bewust van wet- en regelgeving op het gebied van data en technologie, en maken actief gebruik van AVG-rechten. Door hen op een laagdrempelige manier volledig inzage te geven in hun persoonsgegevens zien ze dat we een goed beeld hebben van hen als persoon en dat we een betrouwbare partij zijn die hun loopbaan verder kan brengen.” Binnenkort maakt Vibe Group het kandidaten mogelijk om hun gegevens zelf online te beheren, waardoor ze er direct meer controle over krijgen.

Dedicated privacyteam

“Privacy is een usp voor ons, waarmee we onderscheidend zijn in de markt”, vertelt Peruskovic over het commitment bij dataprotectie dat tot op het managementniveau van Vibe Group merkbaar is. “We hebben dan ook een dedicated privacyteam met vijf collega’s die zich intensief bezighouden met dataprotectie in de breedste zin van het woord. In het team hebben naast een IT-specialist en een legal advisor ook collega’s vanuit de business en een externe adviseur zitting. Daarnaast betrekken we zo nodig aanvullende specialisten.”

De oprichting en samenstelling van het privacyteam maken duidelijk dat de organisatie het onderwerp serieus neemt. Het team zorgt ervoor dat dataprotectie en AVG-compliance op de agenda blijven staan. “We monitoren actuele ontwikkelingen in wet- en regelgeving en bespreken op welke manieren die ons zouden kunnen gaan raken. Daarnaast maken we elk jaar een plan met actie- en verbeterpunten. Dankzij de betrokkenheid van een externe adviseur houden we een frisse en kritische blik op hoe het gaat. Je komt er nu eenmaal niet met simpelweg een checklist waarop je acties afvinkt, of een standaardformulier om kandidaten toestemming te vragen voor de verwerking van persoonsgegevens.”

Dataprotectie als kpi

Vibe Group heeft dataprotectie en het vragen van toestemming tot een key performance indicator (kpi) voor consultants gemaakt. Daardoor is de business zich sterk bewust van de noodzaak om zorgvuldig met persoonsgegevens om te gaan. In de praktijk hebben Peruskovic en haar collega’s van het privacyteam nog wel eens iets uit te leggen. “De interpretatie van de toestemmingsgrondslag uit de AVG bleek aanvankelijk best lastig. Sommige consultants gingen ervan uit dat de toestemming wel in orde was als ze een goed gesprek hadden gehad met een kandidaat. Daarom hebben we besloten om consent niet alleen te vragen tijdens het telefoongesprek. Nu sturen we daarna een bericht waarin we expliciet om toestemming vragen. Dat wordt van beide kanten als heel prettig ervaren.”

Vergelijkbare positieve effecten merken consultants als zij contact opnemen met kandidaten met wie gedurende achttien maanden geen contact is geweest. “Het stelt ons in staat om de persoonsgegevens te controleren én opnieuw het gesprek aan te gaan over wat we voor elkaar kunnen betekenen.”

Succesfactoren

Tijdens de paneldiscussie over technologie en toekomst, die IIR op 15 november organiseert tijdens het Dataprotectie & Privacy Congres in Utrecht, deelt Peruskovic inzichten en ervaringen op het gebied van dataprotectie binnen de recruitment. Daarbij komen onder andere de lessen aan bod die het privacyteam van Vibe Group de laatste jaren heeft geleerd. “De vertegenwoordiging van technologische en juridische expertise is een essentiële succesfactor gebleken, zeker in combinatie met de betrokkenheid van een onafhankelijke externe adviseur.”

Ook de koppeling met de dagelijkse werkprocessen is bij Vibe Group belangrijk. “Dataprotectie moet in het DNA komen van alle medewerkers. Daarom moet privacy voor iedereen een standaard onderdeel zijn van het dagelijkse werk. Bij ons volgt iedere nieuwe collega in de eerste werkweek een GDPR-training. Dat maakt medewerkers bewust van hun eigen rol en verantwoordelijkheid bij dataprotectie, en laat meteen ook zien dat ze met vragen terecht kunnen bij het privacyteam.”

Van theorie naar actie

Implementeer steeds een kleine maatregel die daadwerkelijk onderdeel wordt van de alledaagse werkpraktijk, adviseert Peruskovic. “Het is belangrijk dat collega’s echt iets in hun dagelijkse werk dóen – en dat dataprotectie niet iets theoretisch of abstracts blijft. Zo moedig ik onze consultants, ontwikkelaars en engineers aan om zichzelf bij nieuwe initiatieven de vraag te stellen: hoe zou ik het vinden als het om mijn data zou gaan? Dat vergroot het inlevingsvermogen; je leert je verplaatsen in een andere persoon. We kunnen het bij dataprotectie wel hebben over technologische mogelijkheden en de kaders van wet- en regelgeving, maar het gaat er uiteindelijk om: wat willen we als mensen?”

Barbara Peruskovic is een van de vele sprekers van het Dataprotectie & Privacy Congres dat op 14 en 15 november plaatsvindt in Utrecht. Bekijk het gehele programma en boek tickets via de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.