Persoonsgegevens – privacy in de flexbranche

0
1755

Op 3 november j.l. organiseerde FlexService een seminar over de Wet bescherming persoonsgegevens.

Veel belangstellenden, waaronder vertegenwoordigers van uitzendorganisaties, detacheringsbureaus, backoffice- of payrollbedrijven en softwareleveranciers, waren op die dag naar Bunnik gekomen om de praktische uitleg te horen en vooral ook veel vragen vanuit hun eigen praktijk te kunnen stellen.

Han R. de Groot, gastheer Wbp seminar, georganiseerd door FlexService

Gastheer Han de Groot, oprichter van FlexService en bestuursvoorzitter van FSGroep, heette ieder van harte welkom en waarschuwde ervoor dat het een interessant, maar misschien ook saai seminar zou kunnen worden. Niets bleek minder waar.

Het onderwerp riep veel zinvolle vragen en discussie op. Issues rondom privacy van persoonsgegevens worden serieus genomen, zo bleek uit de reacties. De voorbeelden uit het publiek bij de stapsgewijze verkenning van de regels in de praktijk, uitgelegd door Marcel van Loon, analist bij FSGroep, lieten een brede waaier van implicaties en ook veel praktische suggesties voor oplossingen zien.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

Richtlijnen
Richtlijnen voor privacy van persoonsgegevens zijn aangegeven in de Wet bescherming persoonsgegevens (Wbp).

Het College Bescherming Persoonsgegevens (CBP) bemiddelt bij een geschil over privacy. Het CBP geeft op haar site veel informatie over wat wel en niet mag.

CBP mag boetes opleggen in 2016
Vanaf januari 2016 heeft het College Bescherming Persoonsgegevens (CBP) – dat dan Autoriteit Persoonsgegevens zal heten – niet alleen de taak om controles uit te voeren op toepassing van het privacyrecht bij de verwerking van persoonsgegevens, maar ook de bevoegdheid om boetes op te leggen. Die boetes kunnen oplopen tot 10% van de omzet van de betreffende organisatie.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

De flexbranche verwerkt veel persoonsgegevens bij de bemiddeling en verloning van personeel.
Vorig jaar kwam het CBP tot de conclusie dat twee grote uitzendorganisaties de privacywetgeving hebben overtreden. Zie de onderzoeken, die 20 november 2014 werden gepubliceerd.

Waar wordt door het CBP op gecontroleerd? Wat zijn de richtlijnen? Wat behoort tot het ‘grijze’ gebied.
Wat is in elke omstandigheid een verstandige manier van handelen?

Bewustwording
De gouden regel is: je mag persoonsgegevens alleen verwerken en opslaan voor zover dat nodig is voor de uitoefening van je bedrijf. Alles wat daarvoor strikt genomen niet nodig is, overschrijdt het privacyrecht. Ook e-mailverkeer valt onder de verwerking van persoonsgegevens. Daarom strekken de bewaartermijnen zich ook daartoe uit. Let op: ook voor back-ups van datasystemen gelden de bewaartermijnen.

Lees meer over bewaartermijnen van persoonsgegevens.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

Kopie paspoort
Een kopie paspoort mag alleen worden opgevraagd en bewaard op het moment dat er daadwerkelijk een arbeidsovereenkomst wordt gesloten. Zolang er nog geen sprake is van een contract, moet worden volstaan met het bekijken van het paspoort voor het checken van het ID, maar dan mag er nog geen kopie gemaakt, laat staan opgeslagen worden.

Bijzondere persoonsgegevens zoals ras of religie
Verder controleert het College Bescherming Persoonsgegevens ook op bijzondere persoonsgegevens die niet nodig zijn voor de bedrijfsvoering en die bovendien discriminatie in de hand kunnen werken. Het is bijvoorbeeld niet toegestaan om bij de persoonsgegevens te noteren of iemand een hoofddoek draagt.

Het bewaren van een CV met een foto kan al problematisch zijn, omdat aan de hand van de foto mogelijk informatie wordt overgedragen over iemands ras of religie. Ook iemands nationaliteit mag alleen in het kader van een daadwerkelijke arbeidsovereenkomst worden vastgelegd.

Het BSN (Burgerservicenummer) behoort eveneens tot de privacygevoelige informatie. Het hoort te worden afgedekt wanneer een loonstrook aan een opdrachtgever wordt getoond.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

Dit geldt ook voor informatie over loonbeslagen. Die zou alleen zichtbaar moeten zijn voor de financiële administratie, niet voor andere medewerkers of opdrachtgevers.

Aanvragen voor Verklaring omtrent gedrag (VOG) dienen zorgvuldig te worden behandeld. Het wel afgegeven zijn van een VOG is geen probleem, want dat legt geen strafrechtelijke gegevens vast. Het niet afgegeven zijn van een VOG impliceert een strafrechtelijk verleden, het is verboden hierover te informeren.

Ziekmeldingen
Wanneer een flexkracht zich ziek meldt, hoort alleen te worden genoteerd dat iemand ziek is en hoe lang hij/zij verwacht ziek te zijn. Details over de ziekte, de oorzaak enzovoort mogen niet worden genoteerd door de werkgever.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

Kijk uit met overdrachtsnotities
Bemiddelaars, intercedenten, vaste medewerkers van uitzendbureaus noteren in de flow van hun dagelijks werk veel details van alledag over uitzendkrachten – bijvoorbeeld in de ‘vrije velden’ van de uitzendsoftware – mede omdat dat handig is voor de uitwisseling van informatie met collega’s. Toch is het raadzaam om zo weinig mogelijk gegevens vast te leggen die niet strikt noodzakelijk zijn voor de uitvoering van het werk.

Interne richtlijnen opstellen
Het opstellen van interne richtlijnen kan al veel bijdragen aan het zorgvuldig omgaan en zeer beperkt vastleggen van persoonlijke gegevens.

Jetse Sprey, advocaat: “Volgens de privacywet mag je niet meer data bewaren en gebruiken dan nodig is. Maar wat is ‘nodig’ in deze tijden van big data?”

Stel dat je deze gegevens noteert vanuit goede bedoelingen in het kader van ‘goed werkgeverschap’ en goed menselijk contact?

Seminar Wbp, 3 november 2015, georganiseerd door FlexService

Sprey: “Dan geldt dit ook. Deze uitgangspunten gelden altijd. De wet heeft geen categorie ‘aardig’ of ‘menselijk’. Goed werkgeverschap is onderdeel van dat wat een werkgever moet doen bij het uitvoeren van zijn contract met de uitzendkracht. Als je om goed werkgever te zijn per se die gegevens nodig hebt, zou het nog kunnen dat je die mag bewaren. Anders niet.”

Europese privacy richtlijnen vs Amerikaanse
Recent zijn er ontwikkelingen in de Europese privacyrechtspraak die het werken in de cloud kunnen bemoeilijken, wanneer de servers van deze bedrijven op Amerikaanse bodem staan.

Gebruik van diverse tools
Wat zou de policy moeten zijn als de medewerkers van het flexbureau niet alleen werken in hun uitzendsoftwaresysteem, maar ook werken in iCloud, OneDrive, Google+, Google Hangout, enzovoort, waarvoor het bovenstaande geldt?

Jetse Sprey: “Als dat gaat over hun flexwerkers, verwerken zij daarmee persoonsgegevens. Deze bedrijven hosten in de VS. Alles wat in de VS staat, heeft een onduidelijke status. De Duitse toezichthouder vindt dat daar geen gegevens van Europeanen mogen staan. De policy zou moeten zijn op zoek te gaan naar een Europese provider of een provider die ook kantoor en een cloud heeft op Europese bodem. En als dat niet lukt zou ik proberen de afhankelijkheid van deze providers te verminderen. In ieder geval is het verstandig precies te weten met welke systemen je werkt, en waar die gehost zijn, zodat je snel kunt handelen bij veranderende richtlijnen.” Lees meer

Grensoverschrijdend werken
Heb je een advies voor bureaus die een privacy beleid willen ontwikkelen voor grensoverschrijdend werken met dataverkeer?

“Wees je bewust van het risico en zorg dat je niet vast zit aan diensten van Amerikaanse bedrijven. Het kan namelijk zijn dat je daar snel weg moet.”

Tijdens het seminar gaf Jos Swinkels, verbonden aan Versteeg Wigman Sprey Advocaten, een toelichting op het conflict over privacyrecht tussen Europa en de VS.

Wbp seminar, 3 november 2015, georganiseerd door FlexService

Voor het volgen van de Nederlandse privacy richtlijnen is het voor organisaties in de flexbranche raadzaam periodiek te controleren welke gegevens hun interne medewerkers noteren over flexwerkers. Het regelmatig opschonen van databases helpt ook.

Verslag: Hinke Wever, FlexNieuws

Seminar Wbp, 3_november 2015, netwerken en napraten