"Voor futureproof ondernemen in flex"
SLUIT MENU

Jeroen Brouwer, ABU: privacy regels in de uitzendbranche

Interview met Jeroen Brouwer, jurist, beleidsmedewerker van de ABU

Op 25 mei 2018 treedt de Algemene Verordening Gegevensverwerking (AVG) in werking, die is gericht op bescherming van persoonsgegevens. Hoe informeert de Algemene Bond Uitzendondernemingen (ABU) de eigen leden over de consequenties van deze Europese richtlijn?

Privacy als grondrecht
“Privacy is een grondrecht. Het is belangrijk er serieus mee om te gaan. In de uitzendbranche worden veel persoonsgegevens verwerkt. Uitzendondernemingen zien het belang van een veilige en zorgvuldige verwerking van die gegevens,” zegt Jeroen Brouwer.

Privacy scan
“Wij hebben ter bewustwording onder meer een privacy scan voor uitzendondernemingen ingericht. Aan de hand daarvan kunnen uitzendorganisaties, die lid zijn van de ABU, checken hoe ver zij zijn met de implementatie van de AVG. Dit leidt tot een rapport dat ofwel een groen signaal toont – de organisatie is op de goede weg – ofwel een rood signaal, wat betekent dat er nog onvoldoende aandacht aan is besteed,” zo licht Brouwer toe. “De privacy scan is inmiddels circa 200 keer ingevuld.

Als ABU zien wij overigens alleen hoe vaak de scan is ingevuld, details over welke organisatie de scan invult en op welke punten men goed of minder goed scoort, zien wij niet,” voegt hij hieraan toe. “Voor ons is het belangrijk dat er aandacht is voor het onderwerp privacy. Wij concentreren ons vooral op kennisoverdracht. We bieden online FAQ’s (vragen en antwoorden) met handvatten voor wat wel/niet mag in het uitzendproces in het kader van de AVG. We hebben voor leden een model verwerkersovereenkomst, een model verwerkingsregister, een Handreiking Privacy Do’s & Don’ts en we organiseren informatiebijeenkomsten.”

Meer nadruk op intern toezicht
“Minimaal 70% van de regelgeving in de AVG is al voorgeschreven in de huidige Wet bescherming persoonsgegevens (Wbp). Wanneer straks de AVG in de plaats komt van de Wbp, ligt er meer nadruk op het feit dat organisaties intern toezicht moeten houden op hun werkprocessen; zijn persoonsgegevens daarin voldoende beschermd?”

Verschillen tussen WBP en AVG
Download: Overzicht verschillen Wbp en AVG, bron ABU

De eis tot intern toezicht met behulp van een verwerkingsregister en een functionaris voor de gegevensbescherming is de belangrijkste verandering. Verder is het recht op dataportabiliteit geïntroduceerd, personen mogen hun gegevens opvragen en meenemen, en de boetes zijn verhoogd. In principe kan de Autoriteit Persoonsgegevens direct een boete opleggen, terwijl die tot nu toe eerst een waarschuwing moest geven.”

Nadruk op boetes overdreven?
“Momenteel wordt het risico op boetes sterk benadrukt door organisaties die er een commercieel belang bij hebben, omdat zij hun dienstverlening hierop baseren. De Autoriteit Persoonsgegevens (AP) mag inderdaad vanaf 25 mei a.s. direct een boete geven als blijkt dat bedrijven de processen voor het verwerken van persoonsgegevens niet op orde hebben. Zelf hoop ik echter dat de AP begint met een waarschuwing aan goedwillende bedrijven die steken hebben laten vallen, waarna zij een verbetertraject kunnen inzetten. Bij lichte overtredingen of tekortkomingen is het direct opleggen van een hoge boete niet proportioneel.”

Waar moet een uitzendorganisatie mee beginnen?
“Begin eerst met het inrichten van een verwerkingsregister. Dit is een document (in Word, Excel of anders) waarin je alle categorieën persoonsgegevens die voorkomen in je werkproces op een rij zet en registreert. Dit overzicht helpt je om aan alle andere verplichtingen te voldoen. Vervolgens is het ook nodig te registreren per categorie hoe lang je die gegevens bewaart. De meeste ondernemingen houden dit verwerkingsregister bij in Excel, zo is mijn indruk.”

Doel en rechtsgrond
“Het is belangrijk te weten voor welk doel je de persoonsgegevens registreert. Wat is de rechtsgrond? Toestemming van de uitzendkracht is in principe niet voldoende; vanwege de gezagsrelatie met de werkgever kan hij niet in volledige vrijheid beslissen. Zorg dus dat er een andere grondslag is om gegevens te verwerken. Bijvoorbeeld vanwege de noodzaak om een overeenkomst uit te kunnen voeren waarbij de uitzendkracht partij is. Of omdat er een wettelijke verplichting is. Stel altijd de vraag of het daadwerkelijk noodzakelijk is om die gegevens te registreren. En weet de persoon die het betreft wat je met zijn of haar gegevens doet? Heb je die voldoende informatie gegeven over hoe en waarvoor je de gegevens gebruikt?”

Ziekte en loonbeslag
“Wij krijgen onder meer veel vragen over het proces rond ziektemeldingen: welke gegevens mogen worden vastgelegd rondom een zieke werknemer en welke niet? Momenteel mogen uitzendorganisaties bijna niets meer vastleggen rondom zieke werknemers of uitkeringsgerechtigden die in aanmerking komen voor werk via de uitzendsector, het ter beschikking stellen van arbeid. De rol van de bedrijfsarts wordt veel groter.

Ook ontvangen we veel vragen over de privacy regels omtrent loonbeslagen. Gegevens rondom loonbeslagen mogen uitzendorganisaties nog steeds verwerken – er is immers een wettelijke verplichting – op voorwaarde dat alleen de salarisadministratie de gegevens kan (in)zien.”

Informeren en privacy statement
“Een richtlijn in de AVG is het geven van informatie omtrent privacyrechten. Uitzendorganisaties dienen in dat kader een privacy statement te formuleren waarin staat welke rechten de flexibele arbeidskrachten en de eigen medewerkers hebben in het kader van de AVG.

De tekst in de AVG is nogal ruim geformuleerd: het recht op privacy dient ‘bondig en begrijpelijk’ te worden uitgelegd. Wat is voor wie bondig en begrijpelijk? Per doelgroep kan maatwerk nodig zijn in de formulering. De AVG spreekt in het kader van gegevensbeveiliging ook van ‘passende, technische en organisatorische maatregelen’. Wat dit precies inhoudt zullen organisaties zelf in hun praktijk moeten invullen. Achteraf kan misschien nog blijken dat de Autoriteit Persoonsgegevens het niet voldoende vindt.”

Wat is passend?
“Om die reden dringt de ABU er bij de Autoriteit Persoonsgegevens op aan meer duidelijkheid te geven. Wat is een passende maatregel precies? Wanneer is de gegeven informatie omtrent rechten van uitzendkrachten en de genomen maatregelen toereikend?”

Werkgroep privacy officers
“De praktijk van de toepassing van de regels bespreken we onder meer in een werkgroep van privacy officers werkzaam bij grote en kleinere organisaties, die lid zijn van de ABU. Zij wisselen ervaringen uit en delen kennis met elkaar in het kader van AVG. Dit geeft ons veel zicht op hoe ver deze ABU-leden zijn in hun voorbereiding op de inwerkingtreding van de AVG en waar knelpunten of vraagstukken zijn, die we in voorkomende gevallen toetsen bij de AP. Ook is er regelmatig overleg met andere werkgeversorganisaties en ministeries om ervoor te zorgen dat de regels verenigbaar blijven met andere belangen, zoals een goed functionerende arbeidsmarkt.”

Lees ook het interview met Theo Spijkerman, privacy lead Adecco Group Nederland

Ieders inzet nodig
“Het is nodig dat directies en managementteam doordrongen zijn van het belang van privacybescherming in de werkprocessen in de flexibele arbeidsmarkt. De alertheid van iedereen in de organisatie is vervolgens nodig om een zorgvuldige verwerking van persoonsgegevens te realiseren in lijn met de AVG. Kennisdeling helpt, men is er al intensief mee bezig, zo merken wij.”

Interview: Hinke Wever, FlexNieuws

Hinke Wever is een creatieve verbinder van werk- en levensterreinen. Ze was als redacteur vanaf de start betrokken bij FlexNieuws.