post
line IMAGE
Wat betekent de AVG / GDPR voor de uitzendbranche?
Akyla - 16 April 2018

Wat betekent de AVG / GDPR voor de uitzendbranche?

Vanaf 25 mei 2018 worden de nieuwe Europese privacyregels gehandhaafd. De toepassing van deze Europese privacyregels, in de Nederlandse wet, wordt ook wel de AVG genoemd, beter bekend als de Algemene Verordening Gegevensbescherming. In andere landen wordt de AVG ook wel de General Data Protection Regulation (GDPR) genoemd. In deze blog noemen we de 10 stappen welke dienen als hulpmiddel en voorbereiding op de wet. Daarnaast lichten we toe waar u, als uitzender of payroller, nu echt rekening mee moet houden. De AVG zorgt voor een versterking van de positie van de mensen van wie u gegevens verwerkt. Dit betekent voor uw uitzendkrachten en opdrachtgevers dat ze meer privacyrechten krijgen, doordat de bestaande wetten worden verbreed. Daarnaast krijgt u als uitzender of payroller meer verplichtingen. U zult uw huidige processen dus opnieuw moeten bekijken en wellicht moeten aanpassen. Een goed voorbeeld daarvan is het sollicitatieproces. Het curriculum vitae is een voorbeeld van een document wat boordevol staat met persoonsgegevens. U moet zich namelijk kunnen verantwoorden als de wetgever vraagt of u voldoet aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft 10 stappen gepubliceerd. Deze stappen geven goed weer aan welke eisen u straks moet voldoen. Het is wel belangrijk om bij de onderstaande stappen rekening te houden met het verschil tussen opdrachtgever en flexkracht.

Stap 1: Bewustwording

Als eerste zult u een inventarisatie moeten doen, om in te schatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen eventueel nodig zijn om te voldoen aan de nieuwe regels. Daarna is het belangrijk om ervoor te zorgen dat, uw werknemers, zoals uw intercedenten, op de hoogte zijn van de nieuwe privacyregels. Mocht u nog niet begonnen zijn dan biedt de Autoriteit Persoonsgegevens (AP) meerdere tools die u kunnen helpen om de nieuwe privacyregels na te leven. Dit kan u als flexondernemer erbij helpen om u personeel te trainen. Houd rekening met het feit dat de AP uw organisatie zware boetes kan opleggen, als u niet aan de wet voldoet. De boetes zijn maximaal 20 miljoen euro of 4% van uw wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. Wat mag niet volgens de AVG? De Excel-sheets die gebruikt worden in de verwerking moeten constant bijgewerkt worden, zodat ze actueel zijn en goed beveiligd. Daarnaast mogen uw werknemers bijvoorbeeld geen Excel-sheets maken (met persoonsgegevens) buiten de bestaande processen om. Ook het opnemen van het BSN in een contractsjabloon zal privacyrisico’s met zich meebrengen. Een BSN mag u namelijk alleen gebruiken als ergens in de wet staat dat uw organisatie die bevoegdheid heeft of als het BSN puur en alleen wordt gebruikt om een persoon te identificeren. Onder de AVG is het BSN géén bijzonder persoonsgegeven meer. Desondanks blijft het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen.

Stap 2: Rechten van betrokkenen

Bij het intreden van de nieuwe privacyregels krijgt iedereen meer rechten. U verwerkt gegevens van uw flexkrachten. Het is dus van groot belang dat u de toepassing van de privacyregels zo toegankelijk mogelijk maakt, zodat uw flexkrachten hun privacyrechten eenvoudig kunnen uitoefenen. Aan welke privacyregels moet u dan denken? U moet denken aan het recht op inzage, het recht op correctie en verwijdering van persoonsgegevens. Belangrijk is ook om rekening te houden met rechten, zoals het recht op het verplaatsen van data of zoals de AP het noemt, de dataportabiliteit. Dit geeft de personen, van wie u de gegevens bewaart, het recht om hun gegevens op te vragen en te kunnen doorgeven aan een andere organisaties wanneer zij dat willen. Verder kan iedereen tegenwoordig klachten indienen bij de AP over de manier waarop u met persoonsgegevens omgaat. De AP is verplicht deze klachten te behandelen. Het gaat immers om de privacy van uw mensen.

Stap 3: Overzicht verwerkingen

De AVG kent een verantwoordingsplicht. Dit houdt in dat uw organisatie moet kunnen aantonen dat u in overeenstemming met de AVG/ GDPR handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Dit betekent dat uw medewerkers, in een verwerkingsregister, moeten bijhouden welke gegevens verwerkt worden. Daarnaast moet u ook bijhouden waar de gegevens vandaan komen en met wie u ze deelt. U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of te verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. De ABU geeft hierbij aan dat het onnodig is dat veel personen binnen een organisatie toegang hebben tot alle persoonsgegevens. Het is dus belangrijk om goed inzichtelijk te hebben wie in welke gegevens inzicht heeft en wie de gegevens verwerkt.

Stap 4: Data protection impact assessment (DPIA)

Wat is een Data Protection Impact Assessment, ook wel een DPIA genoemd? De DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te kunnen brengen, zodat u vervolgens maatregelen kunt nemen om de risico’s te verkleinen. Niet alle organisaties hoeven bij ieder project een DPIA uit te voeren. Een DPIA is alleen verplicht als uw onderneming erg veel privacygegevens verwerkt bij een project, zoals u doet bij het invoeren van een urenregistratiesysteem of het digitaal inschrijven via een website of portal. Het is dan belangrijk om goed in kaart te brengen welke privacyrisico’s eventueel naar voren zouden kunnen komen. Een DPIA is daar dan het juiste middel voor. Mocht uit de DPIA blijken dat de beoogde verwerking een hoog risico oplevert, dan is het belangrijk om maatregelen te treffen om het risico te beperken.

Stap 5: Privacy by design & privacy by default

De AP omschrijft Privacy by design als volgt: “Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kunt u een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.” Daarnaast zegt de AP het volgende over de privacy by default: “Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.” Op deze manier zult u zo min mogelijk inbreuk maken op de privacy van anderen. Een goed voorbeeld hiervan is dat u, uw klanten onnodig om niet relevante gegevens vraagt, wanneer ze zich willen inschrijven voor uw nieuwsbrief. Maar ook door uw app niet de locatie van uw flexkrachten te laten registeren als dat niet nodig is.

Stap 6: De functionaris voor de gegevensbescherming

Als payroller of uitzender bent u vrijwel altijd verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Waar moet een Functionaris Gegevensbescherming aan voldoen? De FG moet controlebevoegdheden hebben, zodat hij of zij toezicht kan houden, meldingen kan bijhouden en vragen en klachten kan behandelen. Verder moet de FG onafhankelijk zijn. Hij of zij mag dus geen instructies ontvangen over zijn of haar taken als FG, u mag de FG niet ontslaan als gevolg van het uitoefenen van de FG-taken en er mogen geen belangenverstrengelingen zijn tussen de taken van de FG en de eventuele andere taken of functies van de FG. Als laatste dient de FG ‘bovengemiddelde vakkennis’ te hebben van de praktijk van gegevensbescherming en van de privacywetgeving. Dat betekent dat hij of zij:

  • Kennis moet hebben van de Europese privacywet- en regelgeving over gegevensbescherming;
  • Kennis moet hebben van de geldende Nederlandse privacywetgeving;
  • De gegevensverwerkingen in de betrokken organisatie moet begrijpen;
  • Kennis moet hebben van de organisatie en de betrokken sector;
  • Begrip moet hebben van IT en informatiebeveiliging;
  • Vaardigheden moet hebben om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Stap 7: Meldplicht datalekken

De AP zegt het volgende over de meldplicht datalekken: “De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als in de Wbp. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Zo zult u alle datalekken moeten documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.” Wanneer is iets een datalek? Als u moet beslissen of iets een datalek is en of u een gebeurtenis moet melden aan de AP en/of de betrokkene, moet u een aantal afwegingen maken. In de onderstaande afbeeldingen staan de verschillende afwegingen. (bron) Wanneer is iets een datalek? Of u het lek moet melden en aan wie kunt u in de onderstaande afbeelding zien. Moet ik het lek melden? En aan wie? Maar wat moet u melden? Op grond van artikel 33 lid 3, van de AVG, dienen in ieder geval de volgende gegevens aan de AP te worden gemeld:

  • De aard van het datalek, indien mogelijk onder vermelding van de categorieën van persoonsgegevens die zijn gelekt, de categorieën van betrokkenen en een indicatie van de hoeveelheid gelekte data en het aantal getroffen personen;
  • De naam en contactgegevens van de functionarisvoor de gegevensbescherming;
  • De waarschijnlijke gevolgen van het datalek;
  • De maatregelen die zijn genomen om het datalek aan te pakken dan wel de schadelijke gevolgen voor de betrokkene daarvan te beperken.

Deze guidelines zijn nog niet definitief, maar staan nog open ter goedkeuring. Wanneer de guidelines definitief zijn, zullen wij hier een extra blog over schrijven, zodat we u volledig kunnen informeren over de meldplicht datalekken onder de AVG.

Stap 8: Verwerkersovereenkomst

De verwerkersovereenkomst is niet nieuw, maar wat is een verwerkersovereenkomst? De verwerkersovereenkomst is de overeenkomst tussen de eigenaar van de persoonsgegevens en de verwerker van de persoonsgegevens. De eigenaar bent u als uitzender of payroller. De verwerker is bijvoorbeeld de leverancier van uw backoffice software. In een verwerkersovereenkomst legt u vast hoe de verwerker met de persoonsgegevens moet omgaan. De verwerkersovereenkomst kwam ook al voor in de Wet bescherming persoonsgegevens (Wbp). In de Wbp heette de verwerkersovereenkomst de bewerkersovereenkomst en was de verwerker de bewerker. Met een verwerker wordt nog steeds bedoeld, de partij die namens de verwerkingsverantwoordelijke (binnen de uitzendbranche is dit de gegevenseigenaar) de persoonsgegevens verwerkt. Voor uw onderneming is het van belang om duidelijk in kaart te hebben, wie welke gegevens verwerkt. Beoordeel vervolgens of de overeengekomen maatregelen, in de bestaande contracten met uw bewerkers, nog steeds toereikend zijn. Uiteraard moeten deze voldoen aan de gestelde eisen voor de AVG. Op de website van de AP kunt u hier meer informatie over vinden.

Stap 9: De leidende toezichthouder

U heeft een toezichthouder nodig als uw organisatie aan grensoverschrijdende gegevensverwerking doet. De AP ziet grensoverschrijdende gegevensverwerkers als organisaties welke gegevens verwerken in verschillende EU-lidstaten. Indien het bedrijf geen vestiging in de EU heeft, biedt de aanwezigheid van een vertegenwoordiger in een lidstaat geen toegang tot de onestopshop-regel. Dit betekent dat verantwoordelijken zonder een vestiging in de EU via hun lokale vertegenwoordiger moeten samenwerken met lokale toezichthouders in elke lidstaat waarin ze actief zijn. Bent u een grensoverschrijdende gegevensverwerker? Dan hoeft u met ingang van de AVG nog maar met één privacytoezichthouder zaken te doen. De toezichthouder van de EU-lidstaat, waar de hoofdvestiging van uw organisatie is gevestigd, wordt de leidende toezichthouder genoemd door de AP. De AP zegt het volgende over de leidende toezichthouder: “De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor.” Als u meer wilt weten over de guidelines van de AP kunt u het officiële Europese privacytoezichthouders document downloaden op de site van de AP.

Stap 10: Toestemming vragen of een andere grondslag

De AP zegt het volgende over toestemming: “Als organisatie mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen. ” Hieronder vindt u de 6 grondslagen. Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan mag u wettelijk gezien geen persoonsgegevens verwerken.

  1. Verleende toestemming voor de verwerking van persoonsgegevens Wanneer uw gegevensverwerking is gebaseerd op toestemming van uw opdrachtgevers en flexkrachten, moet u de manier waarop u toestemming vraagt, krijgt en registreert opnieuw evalueren. Stilzwijgende toestemming is namelijk niet voldoende. U moet aan de AP kunnen aantonen dat u geldige toestemming van uw mensen heeft gekregen voor het verwerken van hun persoonsgegevens. Tevens moet het intrekken van de toestemming net zo makkelijk gaan als het geven van de toestemming.
  1. Uitvoering van een overeenkomst Als u bijvoorbeeld inleenovereenkomsten of arbeidsovereenkomsten moet opmaken mag u persoonsgegevens verwerken. Echter mogen deze gegevens alleen voor dat specifieke doel gebruikt worden. U mag deze gegevens later niet gebruiken om u klanten een nieuwsbrief te sturen.
  1. Wettelijke verplichting In sommige gevallen moet u persoonsgegevens vastleggen om te voldoen aan een wettelijk verplichting. Zo zult u bijvoorbeeld persoonsgegevens van uw flexkrachten moeten vastleggen om door te geven aan de Belastingdienst. Verder mogen persoonsgegevens zonder toestemming dus niet worden doorgegeven.
  1. Vitaal belang In noodsituaties, als het gaat om gezondheid of gevaar voor leven kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om eerst toestemming te krijgen.
  1. Algemeen belang U mag onder deze grondslag persoonsgegevens verwerken als het gaat om een andere wettelijke bepaling waarin ook het doel van de verwerking is omschreven.
  1. Gerechtvaardigd belang Als laatste mogen persoonsgegevens ook worden verwerkt als daarmee het gerechtvaardigd belang behartigd wordt. Het ‘gerechtvaardigd belang’ gaat niet op als de rechten van de betrokken personen zwaarder wegen. Er is sprake van een gerechtvaardigd belang bij een relevante en passende relatie tussen uw organisatie en uw klanten. Bij een gerechtvaardigd belang kan het bijvoorbeeld gaan om het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. Als laatste moet u ook open zijn over het gerechtvaardigde belang.

Vertrouwen, integriteit en beheersbaarheid

Het is belangrijk dat u het vertrouwen, de integriteit en de beheersbaarheid van uw systemen en diensten kunt garanderen. De AVG zal ook uw organisatie dwingen om een strakker proces te hanteren bij het verzamelen, beheren en bewaren van persoonsgegevens. U zult dus goed naar de juiste technische maatregelen moeten kijken, evenals het vastleggen van de verschillende processen.

Wat betekent de AVG / GDPR voor de uitzendbranche?

Ter afsluiting hebben we de 5 meest gestelde AVG-vragen voor u op een rijtje gezet:

  1. Voor wie gaat de privacywet AVG gelden? De AVG geldt voor elke ondernemer of organisatie die te maken krijgt/heeft met persoonsgegevens.
  1. Wat zijn persoonsgegevens? Een persoonsgegeven is alles wat in verband kan worden gebracht met een natuurlijk persoon. Dit kan dus de naam van een persoon, een foto, een telefoonnummer, een personeelsnummer, een bankrekeningnummer of de naam- en adresgegevens van een persoon, maar ook e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Daarnaast onderscheidt de wet bijzondere persoonsgegevens zich van gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking van deze gegevens de privacy van personen ernstig kan beïnvloeden. Hierbij moet u denken aan bijv. gegevens over de gezondheid van een persoon.
  1. Wanneer mag u persoonsgegevens verzamelen? De persoonsgegevens mogen alleen verzameld worden als daar een grondslag voor in de AVG staat. Deze gegevens mag u vervolgens alleen voor een bepaald doel gebruiken. Daarnaast mogen de gegevens alleen voor dat doel alleen gebruikt worden. De 6 grondslagen, waarom u persoonsgegevens mag verzamelen, hebben we in stap 10 uitgelegd.
  1. Heeft u een verwerkersovereenkomst nodig? Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke verwerkersovereenkomst.
  1. Wat is de impact van de AVG op mijn bedrijfsvoering? De AVG brengt veel nieuwe of verbrede regels met zich mee. Allemaal met als doel om organisaties te dwingen verantwoord om te gaan met privacygevoelige informatie. U moet zich straks kunnen verantwoorden als de AP daar om vraagt.

Geschreven door: Stan Olde Wieverink

line IMAGE

Hoe kunnen we u helpen?

FLEX IMAGE

Vraag een online demo aan

Benieuwd naar wat onze software voor uw organisatie kan betekenen? Vraag een online demo aan en wij vertellen u graag meer!

Demo aanvragen

FLEX IMAGE

Stel een vraag

Heeft u vragen over onze software, de mogelijkheden voor uw organisatie of over ons bedrijf? Deze vragen beantwoorden wij graag!

Neem contact op

FLEX IMAGE

Blijf op de hoogte

Op de hoogte blijven van de nieuwste blogposts, leuke nieuwtjes over Akyla en interessante weetjes over de software? Meld u aan voor onze nieuwsbrief!

Nu aanmelden

We horen graag van u!
Heeft u vragen over onze software, de mogelijkheden voor uw organisatie of wilt u ons iets anders laten weten? We horen het graag. Maak gebruik van het formulier hiernaast en we nemen zo snel mogelijk contact met u op.
Liever langskomen of telefonisch contact opnemen?
Bezoekadres
Het Eeftink 11-31
7541 WH ENSCHEDE
Postadres
Postbus 517
7500 AM ENSCHEDE
Algemene gegevens
(053) 483 75 38
info@akyla.nl