053 - 483 75 38
Plan kennismaking

Belangrijk nieuws! Sinds januari zijn wij samengevoegd met ons moederbedrijf Textkernel

Wat betekent de AVG / GDPR voor de uitzendbranche?

De AVG zorgt voor een versterking van de positie van de mensen van wie je gegevens verwerkt. Dit betekent voor je uitzendkrachten en opdrachtgevers dat ze meer privacyrechten krijgen, doordat de bestaande wetten worden verbreed. Daarnaast krijg je als uitzender of payroller meer verplichtingen. Je zult je huidige processen dus opnieuw moeten bekijken en wellicht moeten aanpassen. Een goed voorbeeld daarvan is het sollicitatieproces. Het curriculum vitae is een voorbeeld van een document wat boordevol staat met persoonsgegevens. Je moet zich namelijk kunnen verantwoorden als de wetgever vraagt of je voldoet aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft 10 stappen gepubliceerd. Deze stappen geven goed weer aan welke eisen je straks moet voldoen. Het is wel belangrijk om bij de onderstaande stappen rekening te houden met het verschil tussen opdrachtgever en flexkracht.

Stap 1: Bewustwording

Als eerste zul je een inventarisatie moeten doen, om in te schatten wat de impact van de AVG is op je huidige processen en diensten en welke aanpassingen eventueel nodig zijn om te voldoen aan de nieuwe regels. Daarna is het belangrijk om ervoor te zorgen dat, je werknemers, zoals je intercedenten, op de hoogte zijn van de nieuwe privacyregels. Mocht je nog niet begonnen zijn dan biedt de Autoriteit Persoonsgegevens (AP) meerdere tools die je kunnen helpen om de nieuwe privacyregels na te leven. Dit kan je als flexondernemer erbij helpen om je personeel te trainen. Houd rekening met het feit dat de AP je organisatie zware boetes kan opleggen, als je niet aan de wet voldoet. De boetes zijn maximaal 20 miljoen euro of 4% van je wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. Wat mag niet volgens de AVG? De Excel-sheets die gebruikt worden in de verwerking moeten constant bijgewerkt worden, zodat ze actueel zijn en goed beveiligd. Daarnaast mogen je werknemers bijvoorbeeld geen Excel-sheets maken (met persoonsgegevens) buiten de bestaande processen om. Ook het opnemen van het BSN in een contractsjabloon zal privacyrisico’s met zich meebrengen. Een BSN mag je namelijk alleen gebruiken als ergens in de wet staat dat je organisatie die bevoegdheid heeft of als het BSN puur en alleen wordt gebruikt om een persoon te identificeren. Onder de AVG is het BSN géén bijzonder persoonsgegeven meer. Desondanks blijft het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen.

Stap 2: Rechten van betrokkenen

Bij het intreden van de nieuwe privacyregels krijgt iedereen meer rechten. Je verwerkt gegevens van je flexkrachten. Het is dus van groot belang dat je de toepassing van de privacyregels zo toegankelijk mogelijk maakt, zodat je flexkrachten hun privacyrechten eenvoudig kunnen uitoefenen. Aan welke privacyregels moet je dan denken? Je moet denken aan het recht op inzage, het recht op correctie en verwijdering van persoonsgegevens. Belangrijk is ook om rekening te houden met rechten, zoals het recht op het verplaatsen van data of zoals de AP het noemt, de dataportabiliteit. Dit geeft de personen, van wie je de gegevens bewaart, het recht om hun gegevens op te vragen en te kunnen doorgeven aan een andere organisaties wanneer zij dat willen. Verder kan iedereen tegenwoordig klachten indienen bij de AP over de manier waarop je met persoonsgegevens omgaat. De AP is verplicht deze klachten te behandelen. Het gaat immers om de privacy van je mensen.

Stap 3: Overzicht verwerkingen

De AVG kent een verantwoordingsplicht. Dit houdt in dat je organisatie moet kunnen aantonen dat je in overeenstemming met de AVG/ GDPR handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Dit betekent dat je medewerkers, in een verwerkingsregister, moeten bijhouden welke gegevens verwerkt worden. Daarnaast moet je ook bijhouden waar de gegevens vandaan komen en met wie je ze deelt. Je kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of te verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens heeft gedeeld. De ABU geeft hierbij aan dat het onnodig is dat veel personen binnen een organisatie toegang hebben tot alle persoonsgegevens. Het is dus belangrijk om goed inzichtelijk te hebben wie in welke gegevens inzicht heeft en wie de gegevens verwerkt.

Stap 4: Data protection impact assessment (DPIA)

Wat is een Data Protection Impact Assessment, ook wel een DPIA genoemd? De DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te kunnen brengen, zodat je vervolgens maatregelen kunt nemen om de risico’s te verkleinen. Niet alle organisaties hoeven bij ieder project een DPIA uit te voeren. Een DPIA is alleen verplicht als je onderneming erg veel privacygegevens verwerkt bij een project, zoals je doet bij het invoeren van een urenregistratiesysteem of het digitaal inschrijven via een website of portal. Het is dan belangrijk om goed in kaart te brengen welke privacyrisico’s eventueel naar voren zouden kunnen komen. Een DPIA is daar dan het juiste middel voor. Mocht uit de DPIA blijken dat de beoogde verwerking een hoog risico oplevert, dan is het belangrijk om maatregelen te treffen om het risico te beperken.

Stap 5: Privacy by design & privacy by default

De AP omschrijft Privacy by design als volgt: “Privacy by design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houd rekening met dataminimalisatie: Je verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kun je een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.” Daarnaast zegt de AP het volgende over de privacy by default: “Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.” Op deze manier zul je zo min mogelijk inbreuk maken op de privacy van anderen. Een goed voorbeeld hiervan is dat je, je klanten onnodig om niet relevante gegevens vraagt, wanneer ze zich willen inschrijven voor je nieuwsbrief. Maar ook door je app niet de locatie van je flexkrachten te laten registeren als dat niet nodig is.

Stap 6: De functionaris voor de gegevensbescherming

Als payroller of uitzender ben je vrijwel altijd verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Waar moet een Functionaris Gegevensbescherming aan voldoen? De FG moet controlebevoegdheden hebben, zodat hij of zij toezicht kan houden, meldingen kan bijhouden en vragen en klachten kan behandelen. Verder moet de FG onafhankelijk zijn. Hij of zij mag dus geen instructies ontvangen over zijn of haar taken als FG, je mag de FG niet ontslaan als gevolg van het uitoefenen van de FG-taken en er mogen geen belangenverstrengelingen zijn tussen de taken van de FG en de eventuele andere taken of functies van de FG. Als laatste dient de FG ‘bovengemiddelde vakkennis’ te hebben van de praktijk van gegevensbescherming en van de privacywetgeving. Dat betekent dat hij of zij:

Kennis moet hebben van de Europese privacywet- en regelgeving over gegevensbescherming;

  • Kennis moet hebben van de geldende Nederlandse privacywetgeving;
  • De gegevensverwerkingen in de betrokken organisatie moet begrijpen;
  • Kennis moet hebben van de organisatie en de betrokken sector;
  • Begrip moet hebben van IT en informatiebeveiliging;
  • Vaardigheden moet hebben om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Stap 7: Meldplicht datalekken

De AP zegt het volgende over de meldplicht datalekken: “De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als in de Wbp. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Zo zul je alle datalekken moeten documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht heeft voldaan.” Wanneer is iets een datalek? Als je moet beslissen of iets een datalek is en of je een gebeurtenis moet melden aan de AP en/of de betrokkene, moet je een aantal afwegingen maken. In de onderstaande afbeeldingen staan de verschillende afwegingen.

Lees ook

Flexkrachten onboarden in 5 min? 10 onmisbare features!

Onboarding Automation Checklist De tijd dat alles op papier werd...
Verder lezen

Groeien of juist kosten besparen? Zo haal je het maximale uit je automatisering

Het is voor uitzendbureau door de krapte op de arbeidsmarkt...
Verder lezen

Akyla versnelt onboarding flexkrachten met Rabobank en Signicat

Dit artikel tot stand gekomen in samenwerking met onze partner...
Verder lezen

Meer tijd besparen?

Zet de volgende stap in automatisering.

Plan mijn kennismaking

Geheel vrijblijvend

Vertrouwd door 250+ flexorganisaties

Schuttersveld 17.1
7514 AC Enschede

Product
Oplossingen voor:
Plan mijn kennismaking
Resources
Volg ons op LinkedIn

onderdeel van:

Wij gaan verder als:

Sinds januari zijn wij samengegaan met ons moederbedrijf Textkernel. Onze website zal eind april 2024 overgaan naar Textkernel website. Tot dit tijd vind je nog steeds relevante informatie over ons mid-office platform. 

Meer informatie

Bezoek Textkernel website