De laatste tips, tricks, updates & nieuws
Wat betekent de AVG / GDPR voor de uitzendbranche?
Stan Olde Wieverink

Stan Olde Wieverink

15 november 2018

Vanaf 25 mei 2018 worden de nieuwe Europese privacyregels gehandhaafd. De toepassing van deze Europese privacyregels, in de Nederlandse wet, wordt ook wel de AVG genoemd, beter bekend als de Algemene Verordening Gegevensbescherming. In andere landen wordt de AVG ook wel de General Data Protection Regulation (GDPR) genoemd. In deze blog noemen we de 10 stappen welke dienen als hulpmiddel en voorbereiding op de wet. Daarnaast lichten we toe waar u, als uitzender of payroller, nu echt rekening mee moet houden.

De AVG zorgt voor een versterking van de positie van de mensen van wie je gegevens verwerkt. Dit betekent voor je uitzendkrachten en opdrachtgevers dat ze meer privacyrechten krijgen, doordat de bestaande wetten worden verbreed. Daarnaast krijg je als uitzender of payroller meer verplichtingen. Je zult je huidige processen dus opnieuw moeten bekijken en wellicht moeten aanpassen. Een goed voorbeeld daarvan is het sollicitatieproces. Het curriculum vitae is een voorbeeld van een document wat boordevol staat met persoonsgegevens. Je moet zich namelijk kunnen verantwoorden als de wetgever vraagt of je voldoet aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft 10 stappen gepubliceerd. Deze stappen geven goed weer aan welke eisen je straks moet voldoen. Het is wel belangrijk om bij de onderstaande stappen rekening te houden met het verschil tussen opdrachtgever en flexkracht.

Stap 1: Bewustwording

Als eerste zul je een inventarisatie moeten doen, om in te schatten wat de impact van de AVG is op je huidige processen en diensten en welke aanpassingen eventueel nodig zijn om te voldoen aan de nieuwe regels. Daarna is het belangrijk om ervoor te zorgen dat, je werknemers, zoals je intercedenten, op de hoogte zijn van de nieuwe privacyregels. Mocht je nog niet begonnen zijn dan biedt de Autoriteit Persoonsgegevens (AP) meerdere tools die je kunnen helpen om de nieuwe privacyregels na te leven. Dit kan je als flexondernemer erbij helpen om je personeel te trainen. Houd rekening met het feit dat de AP je organisatie zware boetes kan opleggen, als je niet aan de wet voldoet. De boetes zijn maximaal 20 miljoen euro of 4% van je wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. Wat mag niet volgens de AVG? De Excel-sheets die gebruikt worden in de verwerking moeten constant bijgewerkt worden, zodat ze actueel zijn en goed beveiligd. Daarnaast mogen je werknemers bijvoorbeeld geen Excel-sheets maken (met persoonsgegevens) buiten de bestaande processen om. Ook het opnemen van het BSN in een contractsjabloon zal privacyrisico’s met zich meebrengen. Een BSN mag je namelijk alleen gebruiken als ergens in de wet staat dat je organisatie die bevoegdheid heeft of als het BSN puur en alleen wordt gebruikt om een persoon te identificeren. Onder de AVG is het BSN géén bijzonder persoonsgegeven meer. Desondanks blijft het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen.

Stap 2: Rechten van betrokkenen

Bij het intreden van de nieuwe privacyregels krijgt iedereen meer rechten. Je verwerkt gegevens van je flexkrachten. Het is dus van groot belang dat je de toepassing van de privacyregels zo toegankelijk mogelijk maakt, zodat je flexkrachten hun privacyrechten eenvoudig kunnen uitoefenen. Aan welke privacyregels moet je dan denken? Je moet denken aan het recht op inzage, het recht op correctie en verwijdering van persoonsgegevens. Belangrijk is ook om rekening te houden met rechten, zoals het recht op het verplaatsen van data of zoals de AP het noemt, de dataportabiliteit. Dit geeft de personen, van wie je de gegevens bewaart, het recht om hun gegevens op te vragen en te kunnen doorgeven aan een andere organisaties wanneer zij dat willen. Verder kan iedereen tegenwoordig klachten indienen bij de AP over de manier waarop je met persoonsgegevens omgaat. De AP is verplicht deze klachten te behandelen. Het gaat immers om de privacy van je mensen.

Stap 3: Overzicht verwerkingen

De AVG kent een verantwoordingsplicht. Dit houdt in dat je organisatie moet kunnen aantonen dat je in overeenstemming met de AVG/ GDPR handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Dit betekent dat je medewerkers, in een verwerkingsregister, moeten bijhouden welke gegevens verwerkt worden. Daarnaast moet je ook bijhouden waar de gegevens vandaan komen en met wie je ze deelt. Je kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of te verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens heeft gedeeld. De ABU geeft hierbij aan dat het onnodig is dat veel personen binnen een organisatie toegang hebben tot alle persoonsgegevens. Het is dus belangrijk om goed inzichtelijk te hebben wie in welke gegevens inzicht heeft en wie de gegevens verwerkt.

Stap 4: Data protection impact assessment (DPIA)

Wat is een Data Protection Impact Assessment, ook wel een DPIA genoemd? De DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te kunnen brengen, zodat je vervolgens maatregelen kunt nemen om de risico’s te verkleinen. Niet alle organisaties hoeven bij ieder project een DPIA uit te voeren. Een DPIA is alleen verplicht als je onderneming erg veel privacygegevens verwerkt bij een project, zoals je doet bij het invoeren van een urenregistratiesysteem of het digitaal inschrijven via een website of portal. Het is dan belangrijk om goed in kaart te brengen welke privacyrisico’s eventueel naar voren zouden kunnen komen. Een DPIA is daar dan het juiste middel voor. Mocht uit de DPIA blijken dat de beoogde verwerking een hoog risico oplevert, dan is het belangrijk om maatregelen te treffen om het risico te beperken.

Stap 5: Privacy by design & privacy by default

De AP omschrijft Privacy by design als volgt: “Privacy by design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houd rekening met dataminimalisatie: Je verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kun je een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.” Daarnaast zegt de AP het volgende over de privacy by default: “Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.” Op deze manier zul je zo min mogelijk inbreuk maken op de privacy van anderen. Een goed voorbeeld hiervan is dat je, je klanten onnodig om niet relevante gegevens vraagt, wanneer ze zich willen inschrijven voor je nieuwsbrief. Maar ook door je app niet de locatie van je flexkrachten te laten registeren als dat niet nodig is.

Stap 6: De functionaris voor de gegevensbescherming

Als payroller of uitzender ben je vrijwel altijd verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Waar moet een Functionaris Gegevensbescherming aan voldoen? De FG moet controlebevoegdheden hebben, zodat hij of zij toezicht kan houden, meldingen kan bijhouden en vragen en klachten kan behandelen. Verder moet de FG onafhankelijk zijn. Hij of zij mag dus geen instructies ontvangen over zijn of haar taken als FG, je mag de FG niet ontslaan als gevolg van het uitoefenen van de FG-taken en er mogen geen belangenverstrengelingen zijn tussen de taken van de FG en de eventuele andere taken of functies van de FG. Als laatste dient de FG ‘bovengemiddelde vakkennis’ te hebben van de praktijk van gegevensbescherming en van de privacywetgeving. Dat betekent dat hij of zij:

Kennis moet hebben van de Europese privacywet- en regelgeving over gegevensbescherming;

  • Kennis moet hebben van de geldende Nederlandse privacywetgeving;
  • De gegevensverwerkingen in de betrokken organisatie moet begrijpen;
  • Kennis moet hebben van de organisatie en de betrokken sector;
  • Begrip moet hebben van IT en informatiebeveiliging;
  • Vaardigheden moet hebben om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Stap 7: Meldplicht datalekken

De AP zegt het volgende over de meldplicht datalekken: “De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als in de Wbp. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Zo zul je alle datalekken moeten documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht heeft voldaan.” Wanneer is iets een datalek? Als je moet beslissen of iets een datalek is en of je een gebeurtenis moet melden aan de AP en/of de betrokkene, moet je een aantal afwegingen maken. In de onderstaande afbeeldingen staan de verschillende afwegingen.

Wanneer is iets een datalek?

Of je het lek moet melden en aan wie kun je in de onderstaande afbeelding zien.

Moet ik het lek melden en aan wie?

Maar wat moet je melden? Op grond van artikel 33 lid 3, van de AVG, dienen in ieder geval de volgende gegevens aan de AP te worden gemeld:

  • De aard van het datalek, indien mogelijk onder vermelding van de categorieën van persoonsgegevens die zijn gelekt, de categorieën van betrokkenen en een indicatie van de hoeveelheid gelekte data en het aantal getroffen personen;
  • De naam en contactgegevens van de functionaris voor de gegevensbescherming;
  • De waarschijnlijke gevolgen van het datalek;
  • De maatregelen die zijn genomen om het datalek aan te pakken dan wel de schadelijke gevolgen voor de betrokkene daarvan te beperken.

Deze guidelines zijn nog niet definitief, maar staan nog open ter goedkeuring. Wanneer de guidelines definitief zijn, zullen wij hier een extra blog over schrijven, zodat we je volledig kunnen informeren over de meldplicht datalekken onder de AVG.

Stap 8: Verwerkersovereenkomst

De verwerkersovereenkomst is niet nieuw, maar wat is een verwerkersovereenkomst? De verwerkersovereenkomst is de overeenkomst tussen de eigenaar van de persoonsgegevens en de verwerker van de persoonsgegevens. De eigenaar ben je als uitzender of payroller. De verwerker is bijvoorbeeld de leverancier van uw backoffice software. In een verwerkersovereenkomst leg je vast hoe de verwerker met de persoonsgegevens moet omgaan. De verwerkersovereenkomst kwam ook al voor in de Wet bescherming persoonsgegevens (Wbp). In de Wbp heette de verwerkersovereenkomst de bewerkersovereenkomst en was de verwerker de bewerker. Met een verwerker wordt nog steeds bedoeld, de partij die namens de verwerkingsverantwoordelijke (binnen de uitzendbranche is dit de gegevenseigenaar) de persoonsgegevens verwerkt. Voor uw onderneming is het van belang om duidelijk in kaart te hebben, wie welke gegevens verwerkt. Beoordeel vervolgens of de overeengekomen maatregelen, in de bestaande contracten met uw bewerkers, nog steeds toereikend zijn. Uiteraard moeten deze voldoen aan de gestelde eisen voor de AVG. Op de website van de AP kun je hier meer informatie over vinden.

Stap 9: De leidende toezichthouder

Je heeft een toezichthouder nodig als uw organisatie aan grensoverschrijdende gegevensverwerking doet. De AP ziet grensoverschrijdende gegevensverwerkers als organisaties welke gegevens verwerken in verschillende EU-lidstaten. Indien het bedrijf geen vestiging in de EU heeft, biedt de aanwezigheid van een vertegenwoordiger in een lidstaat geen toegang tot de onestopshop-regel. Dit betekent dat verantwoordelijken zonder een vestiging in de EU via hun lokale vertegenwoordiger moeten samenwerken met lokale toezichthouders in elke lidstaat waarin ze actief zijn. Ben je een grensoverschrijdende gegevensverwerker? Dan hoef je met ingang van de AVG nog maar met één privacytoezichthouder zaken te doen. De toezichthouder van de EU-lidstaat, waar de hoofdvestiging van uw organisatie is gevestigd, wordt de leidende toezichthouder genoemd door de AP. De AP zegt het volgende over de leidende toezichthouder: “De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor.” Als je meer wilt weten over de guidelines van de AP kun je het officiële Europese privacytoezichthouders document downloaden op de site van de AP.

Stap 10: Toestemming vragen of een andere grondslag

De AP zegt het volgende over toestemming: “Als organisatie mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen. ”Hieronder vind je de 6 grondslagen. Kun je de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan mag je wettelijk gezien geen persoonsgegevens verwerken.

  • Verleende toestemming voor de verwerking van persoonsgegevens 
    Wanneer uw gegevensverwerking is gebaseerd op toestemming van uw opdrachtgevers en flexkrachten, moet je de manier waarop je toestemming vraagt, krijgt en registreert opnieuw evalueren. Stilzwijgende toestemming is namelijk niet voldoende. Je moet aan de AP kunnen aantonen dat je geldige toestemming van uw mensen heeft gekregen voor het verwerken van hun persoonsgegevens. Tevens moet het intrekken van de toestemming net zo makkelijk gaan als het geven van de toestemming.
  • Uitvoering van een overeenkomst
    Als je bijvoorbeeld inleenovereenkomsten of arbeidsovereenkomsten moet opmaken mag je persoonsgegevens verwerken. Echter mogen deze gegevens alleen voor dat specifieke doel gebruikt worden. Je mag deze gegevens later niet gebruiken om je klanten een nieuwsbrief te sturen.
  • Wettelijke verplichting
    In sommige gevallen moet je persoonsgegevens vastleggen om te voldoen aan een wettelijk verplichting. Zo zul je bijvoorbeeld persoonsgegevens van uw flexkrachten moeten vastleggen om door te geven aan de Belastingdienst. Verder mogen persoonsgegevens zonder toestemming dus niet worden doorgegeven.
  • Vitaal belang
    In noodsituaties, als het gaat om gezondheid of gevaar voor leven kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om eerst toestemming te krijgen.
  • Algemeen belang
    Je mag onder deze grondslag persoonsgegevens verwerken als het gaat om een andere wettelijke bepaling waarin ook het doel van de verwerking is omschreven.
  • Gerechtvaardigd belang
    Als laatste mogen persoonsgegevens ook worden verwerkt als daarmee het gerechtvaardigd belang behartigd wordt. Het ‘gerechtvaardigd belang’ gaat niet op als de rechten van de betrokken personen zwaarder wegen. Er is sprake van een gerechtvaardigd belang bij een relevante en passende relatie tussen uw organisatie en uw klanten. Bij een gerechtvaardigd belang kan het bijvoorbeeld gaan om het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. Als laatste moet je ook open zijn over het gerechtvaardigde belang.

Vertrouwen, integriteit en beheersbaarheid

Het is belangrijk dat u het vertrouwen, de integriteit en de beheersbaarheid van uw systemen en diensten kunt garanderen. De AVG zal ook uw organisatie dwingen om een strakker proces te hanteren bij het verzamelen, beheren en bewaren van persoonsgegevens. U zult dus goed naar de juiste technische maatregelen moeten kijken, evenals het vastleggen van de verschillende processen.

Ter afsluiting hebben we de 5 meest gestelde AVG-vragen voor u op een rijtje gezet:

  • Voor wie gaat de privacywet AVG gelden?
    De AVG geldt voor elke ondernemer of organisatie die te maken krijgt/heeft met persoonsgegevens.
  • Wat zijn persoonsgegevens?
    Een persoonsgegeven is alles wat in verband kan worden gebracht met een natuurlijk persoon. Dit kan dus de naam van een persoon, een foto, een telefoonnummer, een personeelsnummer, een bankrekeningnummer of de naam- en adresgegevens van een persoon, maar ook e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Daarnaast onderscheidt de wet bijzondere persoonsgegevens zich van gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking van deze gegevens de privacy van personen ernstig kan beïnvloeden. Hierbij moet u denken aan bijv. gegevens over de gezondheid van een persoon.
  • Wanneer mag u persoonsgegevens verzamelen?
    De persoonsgegevens mogen alleen verzameld worden als daar een grondslag voor in de AVG staat. Deze gegevens mag u vervolgens alleen voor een bepaald doel gebruiken. Daarnaast mogen de gegevens alleen voor dat doel alleen gebruikt worden. De 6 grondslagen, waarom u persoonsgegevens mag verzamelen, hebben we in stap 10 uitgelegd.
  • Heeft u een verwerkersovereenkomst nodig?
    Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke verwerkersovereenkomst.
  • Wat is de impact van de AVG op mijn bedrijfsvoering?
    De AVG brengt veel nieuwe of verbrede regels met zich mee. Allemaal met als doel om organisaties te dwingen verantwoord om te gaan met privacygevoelige informatie. U moet zich straks kunnen verantwoorden als de AP daar om vraagt.
Stan Olde Wieverink

Over Stan Olde Wieverink

Elk merk heeft verhalen te vertellen. Niet alleen verhalen van jezelf, maar ook verhalen van je klanten! Verhalen die niet alleen je doelgroep aanspreken, informeren, verrassen en beïnvloeden, maar verhalen die ook echt laten zien hoe je het verschil kunt maken! Als online marketeer bij akyla° combineer ik dagelijks gave verhalen met creatieve marketing. Ik help professionals van uitzenders en payrollers om oplossingen te vinden voor specifieke problemen binnen de branche. Oplossingen die passen bij hun unieke identiteit. Oplossingen die hen helpen om hun inleners en flexkrachten beter te bedienen.

34 artikelen van Stan