Gevolgen privacywet AVG voor uitzendbureaus

Een blog, samengesteld door Paytra.nl

Dat er veranderingen zijn op het gebied van privacyregels, is je vast niet ontgaan. Wat de gevolgen zijn van de Wet AVG, zoals de nieuwe privacywet officieel heet, voor jouw uitzendbureau is je wellicht wel ontgaan. De gevolgen van deze wet zijn verstrekkend voor de manier waarop je moet werken. Hoewel er nog veel niet duidelijk is, is er ook al heel veel wel duidelijk. Wij vertellen je graag wat wij tot nu toe weten over deze nieuwe privacywet en de gevolgen voor jouw uitzendbureau. Daarbij beginnen we met een samenvatting, zodat je direct de belangrijkste veranderingen voor jouw uitzendbureau kunt lezen. We raden je natuurlijk aan de volledige blog te lezen voor meer informatie.

Samenvatting Wet AVG
Persoonsgegevens van een flexkracht mogen vanaf 25 mei enkel en alleen worden gebruikt voor bemiddeling en verloning van de flexkracht. Gegevens die je niet meer gebruikt moeten worden verwijderd of anoniem worden gemaakt, tenzij er sprake is van een wettelijke bewaarplicht. Ook heeft uitzendkracht het recht zijn toestemming voor het verwerken van zijn persoonsgegevens op elk moment weer in te trekken en een overzicht op te vragen van elke partij die gegevens van hem heeft. Het intrekken van deze toestemming of de aanvraag tot verwijdering van zijn persoonsgegevens dient even makkelijk te zijn als het geven ervan. Per categorie uitzendkracht, van kandidaat tot niet meer werkzaam, gelden verschillende regels over welke persoonsgegevens wel en niet mogen worden verwerkt en de bijbehorende bewaartermijnen. Een arbeidsbemiddelingsbureau heeft de verplichting om een DPIA (Data protection impact assessment) uit te voeren bij nieuwe verwerkingen of wijzigingen in de huidige verwerking. Ook ben je verplicht om te onderzoek of een FG (functionaris voor de gegevensbescherming) aangesteld moet worden. De verantwoordelijkheid voor de juiste navolging van de privacywet ligt bij het arbeidsbemiddelingsbureau.

Oorzaak van een nieuwe privacywet
De regels die tot op dit moment zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp) met betrekking tot het verwerken van persoonlijke informatie, gaan uit van een ‘ouderwetse’ situatie. De Wbp is vastgesteld in 1995, toen internet nog in de kinderschoenen stond. 1995: het jaar van “Het is een nacht”, de eerste playstation op de markt kwam en we nog gewoon met guldens betaalden. Lang geleden dus. Hoog tijd voor verandering! Je kunt je voorstellen dat er ondertussen het een en ander is veranderd in de manier waarop gegevens worden opgeslagen (in de cloud) en worden verwerkt en bewerkt (meerdere partijen). Elke lidstaat van de EU heeft totdat de nieuwe wet ingaat zijn eigen wet op het gebied van privacy. De Wet AVG legt het gebruik en de verwerking van persoonsgegevens tussen de diverse partijen vast. Privacyrechten van iedereen worden in de nieuwe wet versterkt en uitgebreid.

Inhoud van de Wet AVG
Per 25 mei gaat er een algemene wet voor alle landen van de EU gelden: de Wet Algemene Verordening Persoonsgegevens. Kort gezegd: de Wet AVG. De kern van de nieuwe Privacywet is simpel: gebruik persoonsgegevens enkel waarvoor ze zijn bedoeld. De verantwoordelijkheid van de wet AVG ligt bij de organisatie die de persoonsgegevens verwerkt. Zij hebben een verantwoordingsplicht waardoor ze moeten aantonen dat ze zich aan de wet houden.

Begrippenverklaring Wet AVG

• Verwerken is elke handeling met betrekking tot persoonsgegevens. Dit kan zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, delen, combineren, afschermen, wissen of vernietigen van persoonsgegevens.
• Persoonsgegevens zijn gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, in uw geval de uitzendkracht. Bijvoorbeeld: naam, BSN, contactgegevens en cv.
• Een Functionaris voor de gegevensbescherming (FG) is iemand die verantwoordelijk is voor de controle op de toepassing en naleving van de AVG.
• Een Data protection impact assessment (DPIA) is een middel om privacyrisico’s van de verwerking van persoonsgegevens in kaart te brengen. In het rapport dat daaruit volgt moeten de maatregelen worden vastgelegd die u als uitzendbureau neemt om de risico’s te verkleinen.
• Een arbeidsbemiddelingsbureau/arbeidsbemiddelaar is elke vorm van flexbureau zoals die bekend is. Meestal wordt hier een uitzendbureau mee bedoeld, maar dit kan ook een detacheringsbureau of werving- en selectiebureau zijn. Overal waar in deze blog het woord uitzendbureau staat, kan dit vervangen worden door elk type arbeidsbemiddelingsbureau.
• Een flexkracht is elke arbeidskracht die via een arbeidsbemiddelaar arbeid verricht.

Veranderingen voor de uitzendkracht
Elke organisatie waaraan de uitzendkracht zijn persoonsgegevens toevertrouwt, moet toestemming vragen aan de uitzendkracht voor het opslaan van die gegevens. Ook moet de organisatie daarbij vermelden wat de organisatie gaat doen met deze gegevens. Daarnaast heeft de uitzendkracht de volgende aanvullende rechten:

• Recht op vergetelheid: Wil je de toestemming voor het gebruik van jouw persoonsgegevens terugtrekken? Dat mag. Ook eventueel derde partijen moeten dan jouw gegevens volledig uit hun systeem verwijderen.
• Recht op dataportabiliteit: Benieuwd welke gegevens een bedrijf van je heeft? Onder bepaalde voorwaarden heb je nu het recht om een standaardformat op te vragen bij het bedrijf waardoor inzichtelijk wordt welke gegevens een bedrijf van jou heeft.

Veranderingen voor het uitzendbureau
Doordat de verantwoordingsplicht van de nieuwe privacywet bij de organisatie ligt, moet elke organisatie te allen tijde kunnen aantonen met documenten dat je alle organisatorische en technische maatregelen heeft genomen om aan de eisen van de Wet AVG te voldoen. Voor alle persoonsgegevens die je verwerkt moet je toestemming hebben van de persoon in kwestie. Daarnaast ben je verplicht om:

• Een data protection impact assessment uit te voeren;
• Een functionaris voor de persoonsgegevens aan te stellen;
• Zoals boven gemeld: op iemands verzoek zijn of haar gegevens volledig te verwijderen uit je systeem of een uitdraai te maken van alle persoonsgegevens die je van die persoon hebt;
• Datalekken melden. Heeft er zich onverhoopt een datalek voorgedaan, dan ben je verplicht dit te melden aan de uitzendkracht.

Op 25 mei moet je van alle persoonsgegevens die je vanaf dat moment verwerkt kunnen aantonen dat de uitzendkracht daarvoor toestemming heeft gegeven. ‘Oude’ en nieuwe uitzendkrachten.

Voor elk type kandidaat gelden andere bewaartermijnen en regels. Later meer hierover en de vertaling ervan naar de praktijk van jouw uitzendbureau. Denk ook aan het verzamelen van gegevens via je website. De bekende cookiewall zoals vele bedrijven die nu hebben, mag dan niet meer. Een voorbeeld van een goede melding bij het versturen van een nieuwsbrief naar bijvoorbeeld uitzendkrachten:
Wat zijn de gevolgen van de nieuwe privacywet (AVG) voor jouw uitzendbureau?

Wat zijn de gevolgen van de nieuwe privacywet voor mijn uitzendbureau?
Als uitzendbureau ben je vanaf 25 mei verantwoordelijk voor de naleving van de nieuwe privacyregels. Deze regels hebben vooral betrekking op de verwerking van de persoonsgegevens van uitzendkrachten. Hieronder werken we per type uitzendkracht voor je uit wat de consequenties zijn. Daarbij maken we onderscheid tussen:

• ingeschreven kandidaat
• werkzame uitzendkracht
• zieke uitzendkracht
• niet meer werkzame uitzendkracht

Ingeschreven kandidaat
Bij het inschrijven van een uitzendkracht mag je alleen die persoonsgegevens noteren in een systeem die nodig zijn voor de arbeidsbemiddeling. Daarbij moet je sowieso toestemming vragen om deze gegevens te noteren in jouw CRM-systeem. Met dat akkoord mogen de gegevens van een kandidaat maximaal 2 jaar worden bewaard.

De volgende persoonsgegevens mogen worden opgeslagen:

• NAW-gegevens
• E-mailadres
• Telefoonnummer
• Relevante werkervaring
• Opleiding(en), cursussen, certificaten

De volgende persoonsgegevens mogen niet worden opgeslagen:

• Kopie identiteitsbewijs. Je mag een kopie voor maximaal 4 weken opslaan. Tijdens het intakegesprek mag/moet je het ID-bewijs wel checken op echtheid
• BSN
• Gezondheidsgegevens
• Godsdienst (religie)

Werkzame uitzendkracht
Alle gegevens voor het correct uitvoeren van de salarisadministratie mogen worden verwerkt:

• NAW-gegevens
• Bankrekeningnummer
• BSN
• Kopie identiteitsbewijs

Je hebt bovenstaande gegevens nodig voor het vaststellen van de identiteit van de uitzendkracht.
N.B. Het BSN van de uitzendkracht mag je alleen verstrekken aan de inlener mits dit noodzakelijk is voor vaststelling van de aansprakelijkheid (in het kader van de wet ketenaansprakelijkheid) van de inlener.

Zieke uitzendkracht
Als de uitzendkracht ziek wordt, dan mag niet alles van en over deze ziekteperiode worden geregistreerd. De uitzendkracht heeft het recht om de aard van het verzuim niet te melden. Bij het verwerken van de ziektegegevens mogen de onderstaande punten wel worden verwerkt:

• Telefoonnummer (verpleeg) adres
• Vermoedelijke duur van het verzuim
• Werknemer valt onder vangnetbepaling Ziektewet (no risk)
• Ziekte staat in directe relatie arbeidsongeval
• Verzuim wordt veroorzaakt door verkeersongeval

Deze gegevens mogen niet worden verwerkt:

• De aard en oorzaak van verzuim (ook niet de naam van de ziekte)
• Eigen waarnemingen over de toestand van de uitzendkracht
• Afspraken met artsen, therapeuten enz.

Niet meer werkzame uitzendkracht
De persoonsgegevens van een uitzendkracht die voor je heeft gewerkt, moeten uiterlijk 2 jaar na de laatste dag waarop de uitzendkracht werkzaam is geweest worden verwijderd. Voor een overzicht van de bewaarplicht per type document, zie onderstaande lijst:

• Administratie en fiscale bewaarplicht: Voor de administratie die noodzakelijk is voor de controle op de belasting en vennootschappelijke administratieplicht (bijvoorbeeld de salarisadministratie, uitzendovereenkomst en voor zover noodzakelijk pensioenverplichtingen) geldt een bewaartermijn van ten minste 2 jaar.
• Loonbelasting: Verzoeken tot loonheffingskorting, NAW-gegevens, BSN, geboortedatum en afschriften van documenten ter identificatie moeten worden bewaard tot ten minste 5 jaar na einde van het kalenderjaar waarin de dienstbetrekking eindigt.
• Bijzondere situatie: Bij een concrete klacht of claim mogen de daarvoor noodzakelijke gegevens worden bewaard tot definitieve afhandeling of verjaring van de claim.

Deze regels hebben we voor je in een handige overzicht verwerkt.

Persoonsgegevens van uitzendkracht delen met derden
Met elke partij die inzage heeft in de persoonsgegevens van een uitzendkracht moet van tevoren een bewerkersovereenkomst worden. Voorbeelden van zulke derde partijen: je verloningspartij, accountantsbedrijf, softwareleverancier(s), enz. Ook een inlener mag niet zomaar inzage hebben in de persoonsgegevens van de uitzendkracht die hij heeft ingeleend. In het volgende hoofdstuk behandelen we welke gegevens je met de inlener mag delen.
Tussen jouw uitzendbureau en elke derde partij waarmee je persoonsgegevens deelt, dient een bewerkersovereenkomst te zijn. Hierin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Onderwerpen die o.a. in een bewerkersovereenkomst worden vastgesteld zijn: aansprakelijkheid, beveiligingsmaatregelen en geheimhouding. Meer informatie over een bewerkersovereenkomst vind je hier.

[Toevoeging redactie FlexNieuws: ABU.nl gaat uit van het standpunt: ‘in principe hoeven uitzendondernemingen geen verwerkersovereenkomst te sluiten met inleners’. Toch zijn de meningen hierover verdeeld. De uitleg van de AVG is niet eenduidig. Zie reacties onder dit artikel.]

Welke persoonsgegevens van een uitzendkracht mag ik aan een inlener verstrekken?
Nadat er tussen jou en de inlener een bewerkingsovereenkomst is opgesteld en ondertekend, mag je de volgende gegevens delen:

• Adres
• Geslacht
• Geboortedatum
• Telefoonnummer
• E-mailadres
• Relevante werkervaring, opleidingen en cursussen
• BSN (enkel als vrijwaring van de inlenersaansprakelijkheid en ketenaansprakelijkheid)

Welke gegevens mogen niet worden gedeeld:

• Uittreksel basisgegevens (BRP)
• Bankrekeningnummer
• Kopie ID-bewijs
• Strafrechtelijke gegevens
• Gezondheidsgegevens, tenzij dit strikt noodzakelijk is

Daarbij geldt:

• Verstrekking van de persoonsgegevens mag enkel nadat de uitzendkracht van tevoren is geïnformeerd
• Overdracht gegevens gebeurt via versleutelde bestanden en een beveiligde verbinding
• Er is een ondertekende bewerkersovereenkomst tussen inlener en uitzendbureau

De gegevens van een uitzendkracht die je aan een inlener mag verstrekken, hebben we weer voor je verwerkt in een handig overzicht.

Tot slot
Er is veel over gezegd en veel over te zeggen, deze wet. Alles wat wij op dit moment weten hebben we geprobeerd zo goed mogelijk samen te vatten en te verwerken in een handout. De handout Wet AVG is hier te downloaden. Volg ons om op de hoogte te blijven van de ontwikkelingen.

Bron: Paytra.nl