Over AVG, informatie aan betrokkenen en privacy statements

Over AVG, informatie aan betrokkenen en privacy statements

Column onder redactie van Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group

In mijn rol als Functionaris Persoonsgegevens krijg ik regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming). Meestal zijn deze vrij simpel te beantwoorden, maar ik krijg ook vragen waar ik wat langer over moet nadenken. De AVG geeft niet altijd eenduidige en evidente antwoorden. Soms is het handig met iemand te sparren over het juiste antwoord. Dit bracht mij op het idee om een rubriek te starten waarin experts periodiek een ingebrachte vraag of issue bespreken.

In dit blog nodig ik Jolanda Aalten*, advocaat arbeidsrecht en privacyrecht, en Theo Spijkerman**, Data Privacy Lead Adecco Group, uit hun visie te delen.

In april van dit jaar legde de Autoriteit Persoonsgegevens aan TikTok een boete op van 750.000 euro. TikTok had alleen een Engelstalig privacy statement om gebruikers te informeren over de verwerking van persoonsgegevens. Omdat veel gebruikers jonge kinderen zijn en deze geen Engels kennen konden ze geen kennisnemen van de informatie over de verwerking van persoonsgegevens. Volgens de toezichthouder is dit een schending van de privacy. Wat is eigenlijk een privacy statement? Wat moet daarin staan, en moet die er ook in andere talen zijn als ik buitenlanders bemiddel? Vragen die ik dit keer aan onze experts voorleg.

Allereerst: wat is eigenlijk een privacystatement?

Jolanda Aalten:
Het woord privacy statement zul je niet tegenkomen in de AVG. Wel staat er in artikel 13 dat wanneer persoonsgegevens van iemand (bijvoorbeeld
een sollicitant) worden verzameld, de verwerkingsverantwoordelijke (bijvoorbeeld een werkgever) de betrokkene hierover moet informeren. Ook zegt de AVG dat je de betrokkene op een gemakkelijk toegankelijke manier moet informeren. En je moet dit doen op het moment dat je de persoonsgegevens verkrijgt.

Daarnaast wordt in de AVG geregeld dat je de betrokkenen in principe schriftelijk en/of elektronisch informeert. De meest voorkomende vorm is dat je bij online inschrijvingen of sollicitaties naar een document linkt. Vaak worden dit ‘privacy statements’, ‘privacy verklaringen’ of ‘beleid omgang persoonsgegevens’ genoemd. Maar het kunnen natuurlijk ook fysieke documenten zijn. Denk maar aan een privacy statement dat je bijvoorbeeld met een arbeidsovereenkomst per post meestuurt. Of een bordje dat je plaatst om medewerkers te informeren over cameratoezicht.

Tenslotte: het hoeft niet altijd tekst te zijn. In de toelichting van de Autoriteit Persoonsgegevens worden ook strips of icoontjes genoemd als mogelijke informatiedragers.

Welke informatie moet je dan verstrekken?

Dat is opgenomen in de AVG. Op de site van de Autoriteit Persoonsgegevens kun je hier van alles over lezen. Het gaat hier vooral om zaken als:
– Wie is de organisatie aan wie je de persoonsgegevens verstrekt?
– Waarom zijn de persoonsgegevens vereist?
– Aan wie worden de persoonsgegevens verstrekt?
– Hoelang worden deze gegevens bewaard?
– Wat zijn je rechten en bij wie kun je een klacht indienen?

Je zegt dat de informatie toegankelijk moet zijn. Betekent dit dan ook dat het altijd in de taal van de lezer aangeboden moet worden?
De AVG geeft aan dat de informatie “duidelijk en eenvoudig” moet zijn. Ten aanzien van de taal heeft de Autoriteit Persoonsgegevens in haar toelichting opgenomen: “Wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, moet een vertaling in die talen worden verstrekt”. Wel kun je rekening houden met de professionaliteit en kennis van je doelgroep. In de TikTok boete case (zie de link hierboven) gaat het om kinderen die de Engelse taal niet machtig zijn. Een privacy statement in alleen het Engels volstaat dan niet. Voor hoogopgeleide IT’ers waarvan de voertaal vaak Engels is, ligt dit anders. Informeren in het Engels zou dan kunnen volstaan. Voor laagopgeleide migranten betekent het mijns inziens dat de informatie in hun eigen taal moet worden opgesteld.

Het komt regelmatig voor dat je de persoonsgegevens niet van de werkzoekenden zelf hebt verkregen. Bijvoorbeeld omdat je een CV via een jobboard of van de gemeente in het kader van re-integratiebeleid hebt ontvangen. Wie informeert dan de betrokkenen?

De AVG heeft overal aan gedacht! Ook in die gevallen moet je de betrokkenen informeren. In principe gaat het hierbij om dezelfde informatie. Aanvullend hierop moet je de betrokkenen wel laten weten welke persoonsgegevens je van ze verwerkt en hoe je hier aan gekomen bent. Deze gegevens verstrek je wanneer je contact met ze opneemt. Doe je dat (nog) niet dan in ieder geval binnen een maand. Wanneer je een extern CV hebt ontvangen en contact met die persoon opneemt over bemiddeling, laat dan weten van wie je de persoonsgegevens hebt ontvangen en verwijs die persoon dan naar het privacystatement.

Ik zie vaak op websites dat je toestemming moet geven voor een privacy statement. Is dat verplicht?

Theo Spijkerman:
Nee, dat is niet verplicht en feitelijk niet eens aan de orde. Je moet alleen informatie verstrekken. Veel bedrijven vinden het prettig vast te leggen dat er informatie is verstrekt Om die reden wordt ook vaak gevraagd om te bevestigen (bijvoorbeeld door het zetten van een vinkje) dat men het privacystatement heeft gelezen. Ik denk dat je die toestemming op die manier moet zien.

Waar wel een toestemming voor gegeven kan worden is het gebruik van persoonsgegevens. Zoals je weet moet je altijd een geldige grondslag hebben voor het verwerken van persoonsgegevens. Dat kan de overeenkomst, een gerechtvaardigd belang of een toestemming zijn. Bij een toestemming moet je ook echt nee kunnen zeggen, en dat is in een hiërarchische relatie als werkgever en werknemer niet altijd aan de orde.

Toch kom je het in de flexsector vaak tegen. Bijvoorbeeld: “Ik geef toestemming om mijn persoonsgegevens te verwerken voor deze sollicitatie”. Of: “Ik geef toestemming om mijn persoonsgegevens langer te gebruiken ten behoeve van verdere bemiddeling naar werk”. Mijn advies is echter om de verwerking van persoonsgegevens in het kader van een sollicitatie te baseren op het gerechtvaardigd belang als rechtsgrondslag. Belangrijk is dan wel dat dit ook duidelijk tot uitdrukking komt in het privacy beleid. Daarnaast is het mogelijk om in plaats van toestemming te vragen, een bemiddelingsovereenkomst met kandidaten aan te gaan en deze als vereiste grondslag te gebruiken.

Ik lees vaak hele algemene bepalingen in privacystatements. Bijvoorbeeld: “we bewaren je gegevens nooit langer dan nodig is”. Is dit voldoende?

Nee, dan is niet voldoende. De wet heeft het over “de periode gedurende welke de persoonsgegevens worden opgeslagen”. In de toelichting geeft de toezichthouder aan dat een betrokkenen altijd moet kunnen beoordelen wat de bewaartermijnen zijn. Je zult dus per categorie van persoonsgegevens op moeten geven wat de bewaartermijn is. Je hoeft dat allemaal niet in een stuk te zetten. Je kunt er ook voor kiezen om de informatie in lagen te verstrekken. Bijvoorbeeld door via een link naar een document te gaan met bewaartermijnen.

Wat is volgens jou nog meer een aandachtspunt? Wat gaat er vaker fout bij de informatieverstrekking?

Jolanda Aalten:
In de praktijk zie ik dat verwerkingen van persoonsgegevens plaatsvinden op basis van een gerechtvaardigd belang van het bedrijf. Hiervoor dient het bedrijf een belangenafweging te maken en ervoor te zorgen dat het (privacy)belang van bijvoorbeeld de werknemer niet geschaad wordt. Ook hierover moet je informatie verstrekken.

In de statements die ik tegenkom wordt meestal alleen aangegeven dat de werkgever deze belangen zal afwegen. De Autoriteit Persoonsgegevens geeft echter aan dat de informatie ook betrekking moet hebben over de feitelijke afwegingen die gemaakt zijn.

Voorbeelden van verwerkingen op grond van gerechtvaardigde belangen gebeurt bijvoorbeeld bij het verzamelen van functionele cookies, het toezenden van marketingmails of het beveiligen van eigendommen of bedrijfssystemen.

Meestal zie ik ook een cookiestatement op een website? Wat is dit en is dit ook verplicht?

Theo Spijkerman:
Wanneer je een website bezoekt worden vaak cookies op je browser geplaatst. Deze cookies verzamelen informatie over je. En dat kunnen natuurlijk ook persoonsgegevens zijn.
Als het gaat om cookies heb je vooral met de Telecommunicatiewet (ook wel Cookiewet genoemd) te maken. Worden met cookies persoonsgegevens (denk bijvoorbeeld aan je gegevens over je gebruikte computer of telefoon, browser en software) verwerkt dan heb je ook met de AVG van doen.

Op grond van de Cookiewet mag je altijd cookies verwerken die noodzakelijk zijn voor de werking van de dienst. Voor alle overige cookies heb je een toestemming nodig. De AVG stelt vervolgens eisen aan een toestemming (geen cookiewall, geen vooraf ingevuld vinkje) en aan de informatie die je moet verstrekken. Als je een website bezoekt krijg je vaak een verzoek om toestemming te geven voor gebruik van cookies. Daarbij zie je dan ook meestal een link naar het cookiebeleid welke soms ook wel onderdeel is van het privacy statement. Hiermee worden betrokken geïnformeerd over de aard van de cookies, de grondslag, het doel en de bewaartermijnen.

Meer weten:
AVG guidelines
Veilig internetten/privacyverklaring
Bij de ABU en de NBBU kun je terecht voor templates privacy statements.
Volgende keer bespreken we een aantal vragen over de rechten van betrokkenen. Denk aan het recht op inzage of het recht om gegevens over te dragen. Mocht je daar of ergens anders ook vragen over hebben laat het me weten via persoonsgegevens@helloflexgroup.com.

*Jolanda Aalten
Jolanda Aalten is advocaat privacyrecht en arbeidsrecht. Zo is zij als privacyrecht advocaat werkzaam geweest voor de ABU en werkt zij voor de Nationale Politie. Daarnaast is zij voor diverse organisaties, waaronder uitzendorganisaties werkzaam als Functionaris voor de Gegevensbescherming.

**Theo Spijkerman
Theo Spijkerman is al meer dan 25 jaar actief in de uitzend-, detacherings- en payrollbranche waarvan de laatste ruim 15 jaar bij The Adecco Group (AGN). Hier is hij gestart in een commerciële rol met verantwoordelijkheid voor Noord-Oost Nederland waarna hij een stap heeft gemaakt naar de landelijke functie van HR-manager flex. Sinds 2017 is Theo als Data Privacy Lead verantwoordelijk voor het privacy beleid binnen AGN.

Lees ook:
AVG: AI, algoritmes en automatische besluitvorming bij recruitment
AVG en gezondheidsgegevens
AVG en gebruik van social media bij recruitment