Deelthema meetup 14 September a.s.
Een nieuwe wet raakt het werk van L&D. Vanaf 25 mei 2018 geldt de General Data Protection Regulation (GDPR). Ook genoemd Algemene Verordening Gegevensbescherming (AVG). Deze Europese regelgeving harmoniseert het dataprotectie recht in de Europese Unie. Het vervangt de ‘Wet bescherming persoonsgegevens’.

GDPR is van toepassing op het verzamelen, bewaren en gebruiken  van persoonsgegevens. Denk aan het verzamelen, verwerken en beheren van leerresultaten door de L&D-professional. Het is aan de orde bij een Leer Management Systeem (LMS) en als zo’n LMS onderdeel is van een grotere opslag van data in een organisatie. Het speelt bij  Learning Analytics, het meten, verzamelen, analyseren en rapporteren van en over data van deelnemers aan leer- en ontwikkelingstrajecten. Dit wordt ingezet om het leren en de omgeving waarin dat gebeurd beter te begrijpen en te optimaliseren. Een voorbeeld met vragen over ethiek en privacy uit het onderwijs is te vinden op kennisnet.

Kern van de wet
De nieuwe wet  brengt

  • meer verplichtingen voor de verantwoordelijke voor en bewerker van persoonsgegevens,
  • meer rechten voor betrokkene en
  • stevige bevoegdheden voor toezichthouders.

In grote organisaties is er een zogenoemde Functionaris Gegevensbescherming. Deze heeft tot taak te informeren en te adviseren over verplichting uit de GDPR, toe te zien op naleving van die verplichtingen, advies te geven over PIA (Privacy Impact Assessment) en toe te zien op uitvoering daarvan en samen te werken en contact te onderhouden met Autoriteit Persoonsgegevens.
Wie zelfstandig werkt en zich wil informeren over gevolgen van de GDPR op het handelen kan terecht op de website van de Autoriteit Persoonsgegevens.

Hoe raakt het L&D?
Ben jij als L&D-professional al bekend met nieuw informatiebeveiligingsbeleid van je organisatie, dat is geënt op de GDPR? Organisaties hebben een documentatieplicht, zodat zij kunnen aantonen dat zij passende organisatorische en technische maatregelen hebben getroffen gericht op bescherming en beveiliging van de vast te leggen en te verwerken persoonsgegevens.

De L&D-professional die persoonlijke gegevens verzamelt en bewerkt over leren en ontwikkeling van deelnemers aan leertrajecten of die dat in een product of dienst verwerkt, krijgt onder meer te maken met:

  • transparantie: Het is van groot belang dat mensen goed worden geïnformeerd over welke gegevens van hen worden verwerkt, wat daarmee gebeurt en met welk doel. Kern van de bescherming van persoonsgegevens is dat mensen zeggenschap hebben over hun persoonsgegevens en zo een wel overwogen keuze kunnen maken. Biedt de unit L&D deze transparantie?
  • toestemmingsrecht: De medewerker of deelnemer zal aantoonbaar toestemming hebben moeten geven om gegevens van zijn leren en ontwikkelen te kunnen verzamelen, bewerken en beheren. Zijn er voorbeelden van hoe medewerkers of deelnemers om toestemming wordt gevraagd? Zijn er voorbeelden van overeenkomsten met betrokkenen bekend?
  • dataportabiliteit: oftewel overdraagbaarheid van persoonsgegevens. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Bijvoorbeeld een deelnemer kan om een overzicht vragen van alle gegevens die over hem of haar beschikbaar zijn in het LMS en daaraan gekoppelde systemen. In grote organisaties speelt de wens of eis om bepaalde gegevensdragers in gescheiden circuits te houden, om ongewenst gebruik op andere plekken te voorkomen.
  • anonimiseren en pseudonymiseren: Bij het (her)gebruik van data, bijvoorbeeld uit een LMS, voor bewerkingen en analyses is het cruciaal data te anonimiseren. Zorg dat het individu niet meer te achterhalen is. Bij het (her)gebruik van data tussen organisaties (keten) is het belangrijk om bij ieder (her)gebruik een ander pseudoniem per organisatie te hanteren. Dus geen ketenpseudoniem hanteren, want dan is de bron makkelijker traceerbaar.
  • bewerkersovereenkomst: De verantwoordelijke mag alleen werken met bewerkers die afdoende garanties bieden op het toepassen van passende en technische/ organisatorische maatregelen. Zo’n overeenkomst moet schriftelijk of elektronisch zijn vastgelegd. Hanteren L&D’ers bewerkersovereenkomsten als zij leerplatfora en trajecten van e-learning inkopen of samen ontwikkelen? Bieden ondernemers/ leveranciers zulke bewerkersovereenkomsten?
  • privacy by design: Dit houdt in om al bij het ontwerpen van nieuwe producten en diensten rekening te houden met gegevensbescherming. Dus ga je als L&D’er met derden aan de slag om een stuk nieuwe technologie in te zetten voor leren en ontwikkelen, neem dan de gegevensbescherming op in het ontwikkeltraject. Hoe zit het met de beveiliging?

Hier een greep uit de invloed die de GDPR kan hebben op het werk van de L&D-professional. In de meetup op 14 september a.s. kunnen we gedachten, kennis en ervaringen delen met elkaar.

Meld je aan voor de meetup.