Algemene verordening gegevensbescherming (AVG)
De AVG is op 25 mei 2018 in werking getreden. Hiermee is de Wet bescherming persoonsgegevens (Wbp) vervallen. De AVG bevat ten opzichte van de Wbp voor ondernemingen extra verplichtingen. Bovendien zijn de maximale boetes nog hoger geworden: €20 miljoen of 4% van de omzet en heeft de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP), meer bevoegdheden.
Arbeidsbemiddelaars verwerken veel gegevens over de mensen die zij aan het werk helpen. Gegeven de intermediaire rol op de arbeidsmarkt worden bovendien veel persoonsgegevens met (potentiële) opdrachtgevers gedeeld. Het verwerken van persoonsgegeven is aan strenge privacy regels geboden. In dit artikel wordt de AVG in het kort uitgelegd en worden er tips gegeven over hoe je het beste de AVG kan toepassen binnen je bedrijf. Voor meer informatie omtrent specifieke onderwerpen in dit artikel verwijzen wij naar de site van de AP.
Verwerking van persoonsgegevens
Breng in kaart welke persoonsgegevens je verwerkt, je bent verplicht om een register bij te houden van de verwerking van persoonsgegevens. Hierin dient ook te worden vermeld op basis van welke wettelijke grondslag het verwerken van persoonsgegevens plaatsvindt en met welk doel. De persoonsgegevens dienen uitsluitend verwerkt te worden in overeenstemming met het doel waarvoor ze zijn verkregen. De belangrijkste grondslagen in de uitzendbranche zijn de volgende:
- noodzakelijk voor het uitvoeren van een overeenkomst
- noodzakelijk voor de uitvoering van een wettelijke verplichting
- gerechtvaardigd belang van de organisatie
- toestemming van de betrokkene
De grondslag ‘toestemming van de betrokkene’ geldt niet indien er een afhankelijkheidsrelatie bestaat, zoals werknemer en werkgever. Een werknemer kan in beginsel niet ‘vrij’ toestemming geven. Daarnaast zijn er een aantal uitgangspunten bij het verzamelen en verwerken van persoonsgegevens die je als verwerkingsverantwoordelijke in acht moet nemen waaronder; rechtmatigheid, eerlijkheid, transparantie, doelbinding, dataminimalisatie, juistheid, bewaartermijnen, verantwoordingsplicht en noodzakelijkheid, proportionaliteit en subsidiariteit.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens waarmee je een natuurlijk persoon kan identificeren. Bijvoorbeeld NAW-gegevens, e-mailadressen, telefoonnummers, personeelsnummers, geboortedata, geslacht, nationaliteit, werkervaring en opleidingen, IP-adressen enzovoorts.
Wat is verwerken?
Onder verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens verstaan zoals; verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden of op andere wijze ter beschikking stellen, doorzenden, wissen of vernietigen.
Bijzondere persoonsgegevens
Onder bijzondere persoonsgegevens vallen, iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid, strafrechtelijk gedrag, seksuele leven of het lidmaatschap van een vakbond. Het verwerken van dit soort bijzondere persoonsgegevens is verboden tenzij een wettelijke uitzondering van toepassing is en het strikt noodzakelijk is om ze daarvoor te verwerken. Indien je deze persoonsgegevens verwerkt ben je verplicht om een FG aan te stellen.
De betrokkene en persoonsgegevens
De betrokkene dient voordat je zijn/haar persoonsgegevens verwerkt, te worden geïnformeerd over welke persoonsgegevens worden verwerkt, met welk doel, de ontvangers van de gegevens, hoe lang de gegevens worden bewaard, hoe de gegevens zijn beveiligd en welke rechten hij/zij heeft. Dit kan worden opgenomen in een privacystatement welke je op je website kan plaatsen. Betrokkenen hebben onder de AVG meer en verbeterde privacyrechten. Het moet duidelijk zijn voor de betrokkene wat er met hun persoonsgegevens gebeurd. De betrokkene heeft de volgende rechten:
- het recht op vergetelheid
- het recht op inzage
- het recht op dataportabiliteit
- het recht op rectificatie en aanvulling
- het recht op beperking van de verwerking
- het recht m.b.t. geautomatiseerde besluitvorming en profilering
- het recht om bezwaar te maken tegen de gegevensverwerking
Bewaren en beveiliging
Stel regels op omtrent het bewaren en vernietigen van persoonsgegevens. Denk hierbij ook aan persoonsgegevens in diverse systemen, e-mailboxen etc. Er gelden verschillende bewaartermijnen voor verschillende soorten persoonsgegevens, zorg ervoor dat deze in acht worden genomen en check dit regelmatig. Stel daarnaast een informatiebeveiligingsbeleid op met betrekking tot beveiliging van je apparatuur, omgeving, toegang en informatiesystemen en maak dit bekend binnen je bedrijf. Werknemers moeten weten hoe zij hiermee moeten omgaan. Daarnaast is het aan te bevelen om een procedure op te stellen waarin staat hoe er moet worden omgegaan met een datalek binnen je bedrijf. Van een datalek is sprake indien persoonsgegevens in handen vallen van derden die geen toegang tot de gegevens zouden mogen hebben. In sommige gevallen moeten datalekken worden gemeld bij de AP. Tot slot kan je je, indien gewenst, verzekeren tegen beveiligingsincidenten en datalekken.
Verwerkers(overeenkomsten)
Als je gebruik maakt van dienstverleners die in jouw opdracht persoonsgegevens verwerken ben je verplicht om met hen een verwerkersovereenkomst te sluiten. Hierin worden afspraken gemaakt over onder andere de verwerking van persoonsgegevens, beveiliging, geheimhouding en controlebevoegdheid van de verwerkingsverantwoordelijke.
DPIA
DPIA staat voor Data Protection Impact Assesment. Als je persoonsgegevens verwerkt met een hoog privacyrisico, moet je eerst een DPIA uitvoeren. Dit is het geval bij het gebruik van nieuwe verwerkingen of systemen waarin je bijzondere persoonsgegevens verwerkt of systemen die gebruikt worden voor profilering van personen.
ABU
Ben je lid van de ABU? Op de website en het ledennet van de ABU kan je handige en informatieve AVG-checklists vinden die zijn toegespitst op de branche. De ABU heeft daarnaast een app ontwikkeld om je te helpen de AVG goed toe te passen in het dagelijkse werkproces. Deze app is speciaal bedoeld voor intercedenten en backofficemedewerkers. Alle ABU-leden kunnen kosteloos gebruikmaken van de app. Dit kan handig zijn om te checken of je de AVG (nog steeds) goed toepast of bij het inwerken van nieuwe werknemers.
Heb je meer praktische vragen en wil je telefonisch overleg, dan kun je natuurlijk ook contact met ons opnemen – info@backofficer.nl of direct met Backofficer op +31 (0)85 0761 410.