Over AVG, informatie aan betrokkenen en privacy statements
Column onder redactie van Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group
In mijn rol als Functionaris Persoonsgegevens krijg ik regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming). Meestal zijn deze vrij simpel te beantwoorden, maar ik krijg ook vragen waar ik wat langer over moet nadenken. De AVG geeft niet altijd eenduidige en evidente antwoorden. Soms is het handig met iemand te sparren over het juiste antwoord. Dit bracht mij op het idee om een rubriek te starten waarin experts periodiek een ingebrachte vraag of issue bespreken.
In dit blog nodig ik Jolanda Aalten*, advocaat arbeidsrecht en privacyrecht, en Theo Spijkerman**, Data Privacy Lead Adecco Group, uit hun visie te delen.
In april van dit jaar legde de Autoriteit Persoonsgegevens aan TikTok een boete op van 750.000 euro. TikTok had alleen een Engelstalig privacy statement om gebruikers te informeren over de verwerking van persoonsgegevens. Omdat veel gebruikers jonge kinderen zijn en deze geen Engels kennen konden ze geen kennisnemen van de informatie over de verwerking van persoonsgegevens. Volgens de toezichthouder is dit een schending van de privacy. Wat is eigenlijk een privacy statement? Wat moet daarin staan, en moet die er ook in andere talen zijn als ik buitenlanders bemiddel? Vragen die ik dit keer aan onze experts voorleg.
Allereerst: wat is eigenlijk een privacystatement?
Jolanda Aalten:
Het woord privacy statement zul je niet tegenkomen in de AVG. Wel staat er in artikel 13 dat wanneer persoonsgegevens van iemand (bijvoorbeeld een sollicitant) worden verzameld, de verwerkingsverantwoordelijke (bijvoorbeeld een werkgever) de betrokkene hierover moet informeren. Ook zegt de AVG dat je de betrokkene op een gemakkelijk toegankelijke manier moet informeren. En je moet dit doen op het moment dat je de persoonsgegevens verkrijgt.
Daarnaast wordt in de AVG geregeld dat je de betrokkenen in principe schriftelijk en/of elektronisch informeert. De meest voorkomende vorm is dat je bij online inschrijvingen of sollicitaties naar een document linkt. Vaak worden dit ‘privacy statements’, ‘privacy verklaringen’ of ‘beleid omgang persoonsgegevens’ genoemd. Maar het kunnen natuurlijk ook fysieke documenten zijn. Denk maar aan een privacy statement dat je bijvoorbeeld met een arbeidsovereenkomst per post meestuurt. Of een bordje dat je plaatst om medewerkers te informeren over cameratoezicht.
Tenslotte: het hoeft niet altijd tekst te zijn. In de toelichting van de Autoriteit Persoonsgegevens worden ook strips of icoontjes genoemd als mogelijke informatiedragers.
Welke informatie moet je dan verstrekken?
Dat is opgenomen in de AVG. Op de site van de Autoriteit Persoonsgegevens kun je hier van alles over lezen. Het gaat hier vooral om zaken als:
– Wie is de organisatie aan wie je de persoonsgegevens verstrekt?
– Waarom zijn de persoonsgegevens vereist?
– Aan wie worden de persoonsgegevens verstrekt?
– Hoelang worden deze gegevens bewaard?
– Wat zijn je rechten en bij wie kun je een klacht indienen?
Je zegt dat de informatie toegankelijk moet zijn. Betekent dit dan ook dat het altijd in de taal van de lezer aangeboden moet worden?
De AVG geeft aan dat de informatie “duidelijk en eenvoudig” moet zijn. Ten aanzien van de taal heeft de Autoriteit Persoonsgegevens in haar toelichting opgenomen: “Wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, moet een vertaling in die talen worden verstrekt”. Wel kun je rekening houden met de professionaliteit en kennis van je doelgroep. In de TikTok boete case (zie de link hierboven) gaat het om kinderen die de Engelse taal niet machtig zijn. Een privacy statement in alleen het Engels volstaat dan niet. Voor hoogopgeleide IT’ers waarvan de voertaal vaak Engels is, ligt dit anders. Informeren in het Engels zou dan kunnen volstaan. Voor laagopgeleide migranten betekent het mijns inziens dat de informatie in hun eigen taal moet worden opgesteld.
Het komt regelmatig voor dat je de persoonsgegevens niet van de werkzoekenden zelf hebt verkregen. Bijvoorbeeld omdat je een CV via een jobboard of van de gemeente in het kader van re-integratiebeleid hebt ontvangen. Wie informeert dan de betrokkenen?
De AVG heeft overal aan gedacht! Ook in die gevallen moet je de betrokkenen informeren. In principe gaat het hierbij om dezelfde informatie. Aanvullend hierop moet je de betrokkenen wel laten weten welke persoonsgegevens je van ze verwerkt en hoe je hier aan gekomen bent. Deze gegevens verstrek je wanneer je contact met ze opneemt. Doe je dat (nog) niet dan in ieder geval binnen een maand. Wanneer je een extern CV hebt ontvangen en contact met die persoon opneemt over bemiddeling, laat dan weten van wie je de persoonsgegevens hebt ontvangen en verwijs die persoon dan naar het privacystatement.
Ik zie vaak op websites dat je toestemming moet geven voor een privacy statement. Is dat verplicht?
Theo Spijkerman:
Nee, dat is niet verplicht en feitelijk niet eens aan de orde. Je moet alleen informatie verstrekken. Veel bedrijven vinden het prettig vast te leggen dat er informatie is verstrekt Om die reden wordt ook vaak gevraagd om te bevestigen (bijvoorbeeld door het zetten van een vinkje) dat men het privacystatement heeft gelezen. Ik denk dat je die toestemming op die manier moet zien.
Waar wel een toestemming voor gegeven kan worden is het gebruik van persoonsgegevens. Zoals je weet moet je altijd een geldige grondslag hebben voor het verwerken van persoonsgegevens. Dat kan de overeenkomst, een gerechtvaardigd belang of een toestemming zijn. Bij een toestemming moet je ook echt nee kunnen zeggen, en dat is in een hiërarchische relatie als werkgever en werknemer niet altijd aan de orde.
Toch kom je het in de flexsector vaak tegen. Bijvoorbeeld: “Ik geef toestemming om mijn persoonsgegevens te verwerken voor deze sollicitatie”. Of: “Ik geef toestemming om mijn persoonsgegevens langer te gebruiken ten behoeve van verdere bemiddeling naar werk”. Mijn advies is echter om de verwerking van persoonsgegevens in het kader van een sollicitatie te baseren op het gerechtvaardigd belang als rechtsgrondslag. Belangrijk is dan wel dat dit ook duidelijk tot uitdrukking komt in het privacy beleid. Daarnaast is het mogelijk om in plaats van toestemming te vragen, een bemiddelingsovereenkomst met kandidaten aan te gaan en deze als vereiste grondslag te gebruiken.
Ik lees vaak hele algemene bepalingen in privacystatements. Bijvoorbeeld: “we bewaren je gegevens nooit langer dan nodig is”. Is dit voldoende?
Nee, dan is niet voldoende. De wet heeft het over “de periode gedurende welke de persoonsgegevens worden opgeslagen”. In de toelichting geeft de toezichthouder aan dat een betrokkenen altijd moet kunnen beoordelen wat de bewaartermijnen zijn. Je zult dus per categorie van persoonsgegevens op moeten geven wat de bewaartermijn is. Je hoeft dat allemaal niet in een stuk te zetten. Je kunt er ook voor kiezen om de informatie in lagen te verstrekken. Bijvoorbeeld door via een link naar een document te gaan met bewaartermijnen.
Wat is volgens jou nog meer een aandachtspunt? Wat gaat er vaker fout bij de informatieverstrekking?
Jolanda Aalten:
In de praktijk zie ik dat verwerkingen van persoonsgegevens plaatsvinden op basis van een gerechtvaardigd belang van het bedrijf. Hiervoor dient het bedrijf een belangenafweging te maken en ervoor te zorgen dat het (privacy)belang van bijvoorbeeld de werknemer niet geschaad wordt. Ook hierover moet je informatie verstrekken.
In de statements die ik tegenkom wordt meestal alleen aangegeven dat de werkgever deze belangen zal afwegen. De Autoriteit Persoonsgegevens geeft echter aan dat de informatie ook betrekking moet hebben over de feitelijke afwegingen die gemaakt zijn.
Voorbeelden van verwerkingen op grond van gerechtvaardigde belangen gebeurt bijvoorbeeld bij het verzamelen van functionele cookies, het toezenden van marketingmails of het beveiligen van eigendommen of bedrijfssystemen.
Meestal zie ik ook een cookiestatement op een website? Wat is dit en is dit ook verplicht?
Theo Spijkerman:
Wanneer je een website bezoekt worden vaak cookies op je browser geplaatst. Deze cookies verzamelen informatie over je. En dat kunnen natuurlijk ook persoonsgegevens zijn.
Als het gaat om cookies heb je vooral met de Telecommunicatiewet (ook wel Cookiewet genoemd) te maken. Worden met cookies persoonsgegevens (denk bijvoorbeeld aan je gegevens over je gebruikte computer of telefoon, browser en software) verwerkt dan heb je ook met de AVG van doen.
Op grond van de Cookiewet mag je altijd cookies verwerken die noodzakelijk zijn voor de werking van de dienst. Voor alle overige cookies heb je een toestemming nodig. De AVG stelt vervolgens eisen aan een toestemming (geen cookiewall, geen vooraf ingevuld vinkje) en aan de informatie die je moet verstrekken. Als je een website bezoekt krijg je vaak een verzoek om toestemming te geven voor gebruik van cookies. Daarbij zie je dan ook meestal een link naar het cookiebeleid welke soms ook wel onderdeel is van het privacy statement. Hiermee worden betrokken geïnformeerd over de aard van de cookies, de grondslag, het doel en de bewaartermijnen.
Meer weten:
AVG guidelines
Veilig internetten/privacyverklaring
Bij de ABU en de NBBU kun je terecht voor templates privacy statements.
Volgende keer bespreken we een aantal vragen over de rechten van betrokkenen. Denk aan het recht op inzage of het recht om gegevens over te dragen. Mocht je daar of ergens anders ook vragen over hebben laat het me weten via persoonsgegevens@helloflexgroup.com.
*Jolanda Aalten
Jolanda Aalten is advocaat privacyrecht en arbeidsrecht. Zo is zij als privacyrecht advocaat werkzaam geweest voor de ABU en werkt zij voor de Nationale Politie. Daarnaast is zij voor diverse organisaties, waaronder uitzendorganisaties werkzaam als Functionaris voor de Gegevensbescherming.
**Theo Spijkerman
Theo Spijkerman is al meer dan 25 jaar actief in de uitzend-, detacherings- en payrollbranche waarvan de laatste ruim 15 jaar bij The Adecco Group (AGN). Hier is hij gestart in een commerciële rol met verantwoordelijkheid voor Noord-Oost Nederland waarna hij een stap heeft gemaakt naar de landelijke functie van HR-manager flex. Sinds 2017 is Theo als Data Privacy Lead verantwoordelijk voor het privacy beleid binnen AGN.
Lees ook:
AVG: AI, algoritmes en automatische besluitvorming bij recruitment
AVG en gezondheidsgegevens
AVG en gebruik van social media bij recruitment
Even een reactie op deze alinea: “Mijn advies is echter om de verwerking van persoonsgegevens in het kader van een sollicitatie te baseren op het gerechtvaardigd belang als rechtsgrondslag.”
De AP hanteert nog steeds deze richtlijn: 4 weken obv gerechtvaardig belang en 1 jaar met toestemming.
Ook de overheid hanteert dit zelf. https://www.avgregisterrijksoverheid.nl/verwerkingen/werven-in-en-extern-personeel.
Hi Sander, dank voor je reactie. Ik lees in het door jou toegezonden register van het Rijk dat ze ook uitgaan van vier weken bewaartermijn, te verlengen naar een 1 jaar moet toestemming. Als grondslag voor de verwerking van sollicitatiegegevens gebruiken ze de toestemming en niet het gerechtvaardigd belang zoals jij noemt.
• Gegevens: a) NAW-gegevens, e-mailadres, tel.nummer b) CV-gegevens: naam, geboortedatum, nationaliteit, opleiding, werkervaring, vaardigheden, (foto) c) Motivatie werken bij PBL d) Contactgegevens referenties: Naam, organisatie, mailadres, tel.nummer e) Reactie PBL f) Toestemming sollicitant
Het gebruik van toestemming bij een sollicitatie is wat mij betreft niet altijd voor de hand liggend omdat deze toestemming vrijelijk gegeven moet zijn. En daar is tussen sollicitant en potentiële werkgever niet altijd sprake van. De Europese toezichthouder heeft hierover geschreven: “Daarom is de EDPB van mening dat het voor werkgevers problematisch is om persoonsgegevens van huidige of toekomstige werknemers te verwerken op basis van toestemming, omdat het onwaarschijnlijk is dat deze vrijelijk wordt verleend”. Toestemming kan alleen gebruikt worden als de werkgever kan “aantonen dat toestemming daadwerkelijk vrijelijk is verleend” … en “wanneer het feit of zij wel of geen toestemming verlenen totaal geen negatieve gevolgen heeft”. Die afweging laat ik graag over aan het Rijk.
Mijn naam is Marc Groen en ik ben aan het afstuderen aan de hogeschool NTI te Leiden.
Mijn afstudeer bedrijf is VluchtelingenWerk Nissewaard waar ik onderzoek doe naar de vraag: Hoe kan de maatschappelijke begeleiding van VluchtelingenWerk Nissewaard persoonsgegevens van inburgeringsplichtigen op casusniveau uitwisselen met de gemeente Nissewaard, gelet op de relevante wetgeving en de nieuwe wet inburgering?
Voor mijn scriptie heb ik verschillende “experts” geïnterviewd. Maar het is erg moeilijk om mensen te vinden om te interviewen. Daarom heb ik een relatief korte vragenlijst opgesteld.
Mocht iemand mij hiermee kunnen helpen dan hoor ik het graag.
Het gaat om de volgende vragen:
Openvragenlijst
U kunt deze vragenlijst volledig anoniem invullen. Verder is deze vragenlijst bedoeld om achter het antwoord op de volgende stelling te komen:
Hoe moet de maatschappelijke begeleiding van vluchtelingenWerk in het algemeen persoonsgegevens op casus niveau delen met gemeentes i.v.m. de nieuwe Wet inburgering?
• Wie bent u?
• Wat is uw ervaring met de AVG?
• Hoe ziet uw ideaalbeeld eruit omtrent de gegevensuitwisseling van gewone, bijzondere en strafrechtelijke persoonsgegevens?
• Waar moet volgens u extra opgelet worden bij de uitwisseling van gewone, bijzondere en strafrechtelijke persoonsgegevens?
• Waarop moet volgens u gelet worden als de uitwisseling van persoonsgegevens plaats vindt op basis van toestemming/machtiging?
• Hoe moet er volgens gegevensuitwisseling plaats vinden op casusniveau?
• Moet er nog extra gelet worden op de basisbeginselen uit de AVG of andere wetgeving bij gegevensuitwisseling op casusniveau?
• Hoe moeten gemeentes volgens u gewone, bijzondere en strafrechtelijke persoonsgegevens uitwisselen met derde? (Zoals voor mijn onderzoek VluchtelingenWerk)
• Waarop moet de maatschappelijke begeleiding van VluchtelingenWerk letten tijdens de gegevensuitwisseling met gemeentes op basis van de nieuwe wet inburgering?
• Zijn er nog overige dingen waarop ik moet letten of heeft u nog tips en tricks?
Hi Marc,
Leuk dat je reageert op ons artikel.
Interessant ook dat je onderzoek doet naar de kaders voor het uitwisselen van persoonsgegevens. De beantwoording van je vragenlijst laat ik achterwege omdat dit echt wel specialistenwerk is. Ik wil er wel een paar algemene opmerkingen over maken.
– tussen welke partijen worden persoonsgegevens uitgewisseld en wat zijn de rollen: (gezamenlijke) verwerkingsverantwoordelijke of verwerkers?
– wat is er geregeld in de relevante wetten en besluiten (wettelijke grondslag/algemeen belang)?
– het beste is zo weinig mogelijk persoonsgegevens te delen en als je ze deelt alleen de noodzakelijke.
– toestemming zal bij deze kwetsbare doelgroep zelden een passende grondslag zijn
– als je gegevens uitwisselt: doe het veilig
– als je gegevens uitwisselt: vertel het de vluchtelingen/de betrokkenen
– zorg voor tijdig wissing van persoonsgegevens
Misschien heb je wat aan: https://www.programmasociaaldomein.nl/trajecten/uitwisseling-persoonsgegevens-en-privacy-upp/nieuws/2019/10/14/privacy-en-gegevens-delen-in-het-sociaal-domein-5-handreikingen
Succes ermee.