Persoonsgegevens uitzendbranche – Elze ’t Hart, VBK.nl

0
2302

Interview met Elze ’t Hart, advocaat Van Benthem & Keulen, over bescherming van persoonsgegevens in de uitzendbranche.

Op 25 mei 2018 treedt de AVG, de Algemene Verordening Gegevensbescherming in werking.

Deze verordening geldt voor alle bedrijven, die persoonsgegevens verzamelen, al is het maar van de eigen medewerkers.

Ook in de uitzendsector worden persoonsgegevens verzameld, zoals kopie identiteitsbewijs, ziekmeldingen, verklaring omtrent gedrag (VOG).

Toetsing en preventie
Elze ’t Hart werkt als advocaat bij Van Benthem & Keulen. Zij is gespecialiseerd in privacy wetgeving. “In het verleden zijn wij regelmatig door organisaties uitgenodigd om onderzoek te doen naar een bepaald aspect van de gegevensverwerking. Vaak gaf het aanleiding tot een breder assessment om werkprocessen te toetsen.
Van Benthem & Keulen
Soms schakelen organisaties ons in voor de melding van een datalek.

Steeds vaker ook worden we preventief ingezet door bedrijven om de juiste verwerking van hun persoonsgegevens te beoordelen en advies te geven voor verbetering. We werken ook veel voor organisaties in de uitzendbranche.”

Invoering AVG
“De aandacht in de media rondom de invoering van de Algemene Verordening Gegevensbescherming (AVG), de Nederlandse vertaling van de Europese verordening General Data Protection Regulation, waaraan moet worden voldaan vanaf 25 mei 2018, zorgt ervoor dat meer bedrijven hun werkprocessen rondom het gebruik, de bewerking en de opslag van persoonsgegevens aanpassen. Deze wetgeving is namelijk van toepassing op alle informatie die direct of indirect herleidbaar is tot een persoon (een persoonsgegeven).”

Niet nieuw
“Toch is privacy wetgeving niet nieuw,” vertelt ’t Hart. “Sinds 2001 gold al de Wet bescherming persoonsgegevens (Wbp) en daaraan voorafgaand bestond er ook al wetgeving, gericht op de bescherming van persoonsgegevens en privacy. Desondanks waren weinig mensen en bedrijven zich hiervan bewust en hield men zich niet of nauwelijks aan de regels. Er was ook minder aandacht voor bij de overheid en de wet werd niet heel hard gehandhaafd door de toezichthouder.

Sinds een aantal jaren verandert dit. In 2012 werd het eerste concept gepubliceerd van de AVG, die in 2016 definitief is goedgekeurd door het Europees Parlement. Sindsdien is er steeds meer aandacht voor de wetgeving.”

Meer controle en aandacht
“De Autoriteit Persoonsgegevens (AP), vroeger bekend onder de naam College Bescherming Persoonsgegevens (CBP), doet steeds vaker onderzoek en stuurt in toenemende mate brieven, bijvoorbeeld om organisaties erop te attenderen dat ze een datalek moeten melden zodra het zich voordoet. Dit is namelijk sinds januari 2016 verplicht. Iedere grote organisatie wordt wel eens geconfronteerd met diefstal van een laptop of het verlies van een harde schijf of USB-stick met persoonsgegevens of een hack door ransomware. Er komt steeds meer druk vanuit de AP om dat echt te melden.”

Onderzoeken in de uitzendbranche
“In de uitzendbranche zijn verschillende onderzoeken gedaan.
Eind 2014 werd een rapport van het CBP gepubliceerd over de situatie rondom gegevensbescherming bij Randstad en Adecco. Uit dit onderzoek bleek dat de uitzendbranche op veel punten nog niet voldeed aan de wet. De uitzendbranche heeft om die reden enorm moeten investeren om aan de regelgeving te voldoen.”

Werkprocessen aanpassen en klanten informeren
“Uitzendbureaus hebben niet alleen hun eigen processen onder de loep moeten nemen en herinrichten, ze moesten ook hun klanten informeren over het feit dat ze niet zomaar alle gegevens aan hen mochten verstrekken. Klanten reageren er nogal eens geïrriteerd op als een intercedent weigert bepaalde gegevens van een uitzendkracht te verstrekken.
Vroeger dacht men in de uitzendbranche altijd ‘de klant is koning’; als die iets vraagt, leveren wij het. Door de onderzoeken van de AP is het voor de uitzendbranche duidelijk geworden, dat niet alle gegevens van uitzendkrachten zomaar mogen worden verstrekt aan een opdrachtgever. Eerst moet worden getoetst of er een grondslag bestaat voor de verstrekking van deze persoonsgegevens onder de Wbp, en straks de AVG. Als deze er niet is mogen gegevens niet worden verstrekt. Zo mag een uitzendbureau geen kopie van een identiteitsbewijs verstrekken aan een klant, maar wel het burgerservicenummer (BSN).”

Bewaartermijnen
“Een ander onderwerp is de bewaartermijn van persoons- en/of personeelsgegevens. Het komt soms voor dat gegevens 30 jaar worden opgeslagen van werknemers die al lang niet meer bij de organisatie werken. Dit is niet toegestaan, omdat het niet noodzakelijk is om het gegeven te bewaren voor het doeleinde waarvoor het gegeven is verzameld. Daarom is het van belang steeds te bekijken met welk doel het persoonsgegeven is verzameld en hoe lang het noodzakelijk is om de gegevens te verzamelen. Hierbij moet ook worden gelet op wettelijke verplichtingen. Zo dient een kopie van een identiteitsbewijs tot 5 jaar na uitdiensttreding te worden bewaard en geldt voor andere gegevens een bewaartermijn van 7 jaar. Een voorbeeld zijn loonstroken die tot 7 jaar na het actuele boekjaar, dus niet vanaf uitdiensttreding, bewaard mogen worden.”

Gegevens verwijderen, automatisch of handmatig
“Naast alle andere verplichtingen onder de AVG, zijn de regels omtrent bewaartermijnen vaak moeilijk te implementeren binnen bedrijven. De handmatige bewaking van dergelijke bewaartermijnen is heel veel werk. Veel software systemen zijn nog niet dermate instelbaar dat ze de gegevens automatisch op een bepaalde, voorgeschreven datum kunnen verwijderen of een waarschuwend signaal kunnen geven dat de bewaartermijn is verstreken.

Daarom is het raadzaam er pragmatisch mee om te gaan.
Ik adviseer organisaties te kiezen voor software die wel de mogelijkheid biedt om persoonsgegevens op gezette data te verwijderen. Zorg er in ieder geval voor dat de persoonsgegevens niet eindeloos worden bewaard en in elk geval kunnen worden verwijderd. Op die manier laat je als bedrijf zien dat je de privacyregels in acht wilt nemen en er bewust mee omgaat.”

Tijd voor herstel, last onder dwangsom
Hoe groot is de kans op boetes?
“De Autoriteit Persoonsgegevens heeft al jaren geen boete opgelegd, omdat zij in beginsel bedrijven eerst een termijn moeten geven om de overtreding te herstellen. Echter, overtreding van de regels kan wel leiden tot reputatieschade, omdat de AP dit publiceert. Ook is het mogelijk dat betrokkenen schadeclaims indienen.
Bij de introductie van de AVG (Algemene Verordening Gegevensbescherming) mag de AP direct een boete opleggen. Naar verwachting zal de AP ook dan in de meeste gevallen gebruik maken van een zogenoemde ‘last onder dwangsom’. Dit betekent dat een bedrijf de mogelijkheid krijgt om de overtreding te herstellen voordat er een boete wordt opgelegd.”

Elze 't Hart, VBK

Bewustzijn creëren
“Bewustzijn van de situatie – wat mag wel en niet? – is van groot belang voor organisaties. Het hele bedrijf moet ervan doordrongen zijn dat persoonsgegevens goed moeten worden beschermd. Hier ligt ook een belangrijke taak voor het management. Als het management privacy niet belangrijk vindt, zal de organisatie dit ook niet snel zelf oppakken. Bescherming van persoonsgegevens is niet alleen een zaak voor de juridische afdeling van een bedrijf: dit is een veel breder thema. Het gaat ook om de inrichting van de softwareprocessen en de bedrijfsadministratie en de commerciële activiteiten die plaatsvinden binnen het bedrijf. Om die reden is het van belang dat vanuit alle bedrijfsonderdelen personen worden betrokken bij de compliance. Dit team kan dan gezamenlijk uitvoering geven aan de compliance binnen het bedrijf.”

Toekomst van privacy
“In een digitale wereld is het de vraag of privacy überhaupt nog bestaat en in hoeverre persoonsgegevens daadwerkelijk goed zijn beschermd. Het is tegenwoordig heel makkelijk om veel van iemand te weten te komen. Ik verwacht om die reden dat de verboden op het uitwisselen van persoonsgegevens in de toekomst minder belangrijk zullen worden. Daarentegen verwacht ik dat er steeds meer aandacht zal komen voor de rechten van het individu. Doordat een burger weet wie welke informatie over hem of haar heeft, krijgt de burger wat meer controle over zijn of haar gegevens. In de AVG is al veel aandacht gegeven aan de rechten van burgers om persoonsgegevens aan te kunnen passen, te verwijderen, te beperken en over te dragen aan een derde. Ik verwacht dat er steeds meer tools en mogelijkheden komen om de burger meer inzicht en daarmee ook controle te geven over zijn of haar gegevens.”

Interview: Hinke Wever, FlexNieuws

In de komende maanden geven we op FlexNieuws.nl in een serie interviews en columns aandacht aan bescherming van persoonsgegevens in de flexbranche en de vereisten van de AVG.