Advocaat Martijn Nooijen houdt u op de hoogte
Waar let het CBP op? Wat is er wel en wat is niet toegestaan? Hier bestaat behoorlijk wat onduidelijkheid over en er gaat dan ook nog wel eens iets mis. Vorig jaar nog werden bijvoorbeeld Randstad en Adecco aangesproken op het overtreden van de privacywetgeving. Omdat wij ons kunnen voorstellen dat ook u soms door de bomen het bos niet meer ziet, hebben wij Martijn Nooijen (advocaat bij Daniels Huisman en gespecialiseerd in ondernemingsrecht, ICT & privacy-recht) bereid gevonden u in een korte blogreeks helemaal op de hoogte te brengen.
Een kleine opsomming, waar werden Randstad en Adecco door het CBP op aangesproken?
1. Er werden gegevens verwerkt over de godsdienst of levensovertuiging van uitzendkrachten door de term ‘hoofddoek’ in het dossier op te nemen.
2. Het verstrekken van documenten ter identificatie (het verwerken van rasgegevens van uitzendkrachten) werd in detacheringsovereenkomsten geregeld.
3. Beide organisaties verwerkten rasgegevens van ingeschrevenen door van deze personen het kenmerk nationaliteit en een kopie van het identiteitsbewijs te registreren.
4. Beide organisaties vroegen aan zieke uitzendkrachten naar de aard en oorzaak van de ziekte en zetten deze gegevens in hun dossier.
5. In de Eigen Verklaring, in de verklaring van goed gedrag en in de verklaring pre-employment screening inwerden strafrechtelijke gegevens van uitzendkrachten aan opdrachtgevers verstrekt.
6. Beide organisaties verwerkten het BSN van ingeschrevenen.
7. Uitzendkrachten moesten in de uitzendovereenkomst tekenen voor het verstrekken van een kopie van het ID aan opdrachtgevers.
8. Beide organisaties lieten intercedenten de loonbeslagen van uitzendkrachten verwerken, terwijl dit alleen door de salarisadministratie mag gebeuren.
9. Beide organisatues hanteerden geen maximale bewaartermijn. Er werden bij Randstad gegevens verwerkt van voor 2000 (langer dan 15 jaar) en bij Adecco zelfs van voor 1990 (langer dan 25 jaar).
Zowel Randstad als Adecco hebben naar aanleiding van het CBP bovenstaande punten aangepakt.
Onderwerpen uitgediept in komende blogreeks
In de flexbranche worden bij de bemiddeling en verloning van personeel veel persoonsgegevens verwerkt. Het is voor de flexbranche dan ook van het grootste belang om de processen voor de omgang met persoonsgegevens op de juiste wijze in te richten. Zeker met de uitgebreide boetebevoegdheid van het CBP in het achterhoofd. Uit de Randstad- en Adecco-cases blijkt wel dat er een breed scala aan gedetailleerde regels geldt waarmee rekening gehouden moet worden. Daarnaast treedt op 1 januari 2016 de Wet Meldplicht Datalekken in werking, die nieuwe regels in het leven roept. Al met al een actueel onderwerp dat de nodige aandacht verdient. Genoeg reden voor ons om in de komende blogreeks samen met Martijn Nooijen een aantal van deze onderwerpen voor u uit te diepen.
