AVG stappenplan: de 6 AVG-stappen die de Flexbranche NU moet zetten

De 6 AVG-stappen die de Flexbranche NU moet zetten – bescherming persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) wordt breed uitgemeten, ook op de website van Smyler. Bent u al begonnen met de uitvoering ervan? Er resteren u op het moment van schrijven nog precies 200 dagen ter voorbereiding op 25 mei 2018. Door de vele bomen wordt het bos soms gemist en zo ervaren vele ondernemers de nieuwe privacyregelgeving ook. Laat Smyler, in samenwerking met privacyspecialist en juridisch dienstverlener De Functionaris, nou hebben besloten daar iets aan te doen. Wij hebben een AVG stappenplan ontwikkeld. Deze blog geeft ondernemingen in de flexbranche 6 concrete stappen (met voorbeelden!) op weg naar het volgens de regels verwerken van de gegevens van uw kandidaten en personeel.

Het AVG stappenplan:

STAP 1: Bewustwording: Je werknemers op de hoogte

Start bij bewustwording binnen je eigen organisatie. Zorg dat de mensen die binnen uw bedrijf met persoonsgegevens in aanraking komen op de hoogte zijn van de nieuwe privacyregels en uw (aangepaste) privacybeleid. Bij acties die zij ondernemen waarbij verwerking van gegevens van sollicitanten aan de orde is, kunnen zij zodoende inschatten wat wel en wat niet geoorloofd is. Zij kunnen daarnaast meedenken met aanpassingen die nodig zijn in het recruitmentproces om de privacy van de kandidaat optimaal te borgen. Hoe u dat doet? Organiseer bijvoorbeeld een evenement waarbij u sprekers uitnodigt of licht uw nieuwe beleid toe en test het op de werkvloer. Wijs ook meteen een intern contactpersoon aan inzake gegevensbescherming.

STAP 2: Documentatie: Leg een verwerkingsregister aan

De AVG ontheft uw organisatie van de verplichting om alle verwerkingen van gegevens bij de Autoriteit Persoonsgegevens te melden. Daarvoor in de plaats komt een belangrijk begrip: het accountabilityprincipe (voor de liefhebber: artikel 5 lid 2 AVG). Dit vereist een andere instelling: De bal ligt op uw speelhelft. In alle gevallen moet de organisatie aantoonbaar kunnen maken (bewijzen) dat de AVG wordt nageleefd. Het opzetten en bijhouden van een verwerkingsregister is een eerste belangrijke stap in het voldoen aan uw documentatieplicht. Breng overzichtelijk en systematisch in kaart:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke (Flex bedrijf A)
  • De verwerkingsdoeleinden (het opnemen van contact, of het koppelen aan een vacature)
  • Beschrijving van de categorieën van betrokkenen (Sollicitanten, minderjarigen, etc.)
  • Beschrijving van de categorieën van persoonsgegevens (naam, e-mail, etc.) en bijzondere persoonsgegevens (BSN-nummer, ziekte, ras etc.)
  • Eventuele derden waarmee deze worden gedeeld, bewaartermijnen en een beschrijving van de technische beveiligingsmaatregelen.

STAP 3: Zoek uw verwerkingspartners op: de verwerkersovereenkomst

Ga in gesprek met uw partners die een deel van de verwerking van gegevens voor u uit handen nemen. Denk hierbij aan de salarisadministratie, ziekteverzuimsystemen, klantenservice, ICT of andere externe diensten en systemen die u ondersteunen bij het recruitmentproces. Deze derden gebruiken daarvoor vaak gegevens van de kandidaten die onder uw verantwoordelijkheid vallen. Als verwerkingsverantwoordelijke draagt u het risico dat deze externe partijen op een juiste manier omgaan met deze gegevens. Sluit daarom een verwerkersovereenkomst af en voer gezamenlijk een PIA uit zodat risico’s zichtbaar worden. Als Smyler namens u gegevens verwerkt, dan heeft Smyler daarvoor een model verwerkersovereenkomst, beschikbaar gesteld door De Functionaris.

STAP 4: Verkrijg toestemming: Per verwerking met duidelijk privacybeleid

Onder de Algemene Verordening Gegevensbescherming is toestemming voor verwerking een belangrijk uitgangspunt. Neem als startpunt dat iedere kandidaat of sollicitant (opnieuw) actief toestemming moet geven dat zijn of haar gegevens worden verwerkt en gebruikt, voor iedere verwerking die door uw organisatie plaatsvindt. Naast het verkrijgen van deze toestemming is het verplicht om duidelijk uit te leggen voor welke doeleindes de gegevens precies worden gebruikt. Die uitleg geef je in een (geüpdatet) privacyverklaring. Vergeet de verklaring niet op je website op te nemen. Een organisatie mag niet zomaar de gegevens van een kandidaat gebruiken voor verschillende vacatures. Een kandidaat moet hier expliciet toestemming voor geven. Regel ook de bewaartermijn van de gegevens. De Autoriteit Persoonsgegevens stelt dat bij sollicitaties een bewaartermijn van 4 weken na invulling van de functie geldt. Als de sollicitant toestemming geeft dan mogen de gegevens 1 jaar worden opgeslagen.

STAP 5: Implementeer rechten: De betrokkene moet kunnen inzien, corrigeren en verwijderen

Een kandidaat heeft het recht om de gegevens op te vragen die een organisatie heeft verwerkt over diegene. Als organisatie in de flexbranche verwerkt u van nature veel gegevens van kandidaten en andere betrokkenen. Breng een systeem aan dat het gemakkelijk maakt om de gegevens over kandidaten eenvoudig kunnen worden opgevraagd. Daarnaast is het belangrijk dat ook de aantekeningen van een gesprek met de kandidaat opgevraagd kunnen worden, vaak wordt enkel het cv op de computer opgeslagen, zonder bijgeschreven aanmerkingen. Het verzoek om in te zien, corrigeren of verwijderen moet volgens de regelgeving binnen een maand worden beantwoord door de organisatie.

STAP 6: Stel een (externe) Functionaris Gegevensbescherming aan: de privacy-expert die uw organisatie bij de hand neemt

Wellicht een korte preek voor eigen parochie. Toch is het van belang in te zien dat gegevensverwerking in uw organisatie een primair proces betreft. Gezien de toegenomen risico’s van handhaving en hoge boetes doen organisaties er verstandig aan om zich bij de hand te laten nemen door een privacy expert. Een zogenoemde Functionaris voor de Gegevensbescherming (FG) kan uw organisatie begeleiden, toetsen en toezicht houden. U kunt ervoor kiezen een FG aan te nemen of een externe kracht in te huren. Het is afhankelijk van uw situatie wat de meest verstandige keuze is. Bedenk daarbij steeds dat de vereiste van de AVG is dat een FG in alle gevallen onafhankelijk moet zijn.

Leonard van der Leeden
De Functionaris
www.defunctionaris.nl