Privacyregels stevig aangescherpt



Hoe zorgt u ervoor dat uw organisatie netjes aan alle privacyregels voldoet? Hoe voorkomt u dat persoonsgegevens uitlekken? Vragen die bij uitzendondernemingen hoog op de agenda moeten staan, nu de regels zijn aangescherpt. “Slordigheid en niet-naleving kunnen veel geld kosten.”

 
 

privacyweetje #1

Mag ik, als een kandidaat komt voor een open inschrijving, al een kopietje van een identiteitsbewijs maken?

Nee

De identiteit van een uitzendkracht mag gecontroleerd worden door de betrokkene te vragen zijn/haar identiteitsbewijs te tonen. Er mag pas een kopie worden verwerkt indien vaststaat dat de uitzendkracht werkzaamheden gaat verrichten.

Nationale en Europese privacyregels worden strenger en zijn sterk in beweging. Ernstige datalekken moeten bijvoorbeeld sinds 1 januari 2016 direct gemeld worden bij de Autoriteit Persoonsgevens (voorheen College bescherming persoonsgegevens). Verder kan deze ‘privacywaakhond’ hoge boetes opleggen als de regels niet of onvoldoende zijn nageleefd. En dat laatste gebeurde: de toezichthouder kreeg jaren achtereen klachten van werknemers die vonden dat hun werkgever de Wet bescherming persoonsgegevens (Wbp) onvoldoende respecteerde. Volgens de Autoriteit Persoonsgevens is het voor werknemers lastig niet te voldoen aan verzoeken van de werkgever, ook als die de persoonlijke levenssfeer raken. Mede om die reden zijn de regels inmiddels aangescherpt.

‘Nieuw is de
Wet Datalekken, die een meldplicht voor lekken bevat’
Lucy Guardiola-Dieduksman

Mr. Lucy Guardiola-Dieduksman, jurist bij de NBBU: “De Wet bescherming persoonsgegevens is niet gewijzigd, maar de handhavingsbevoegdheid van de Autoriteit Persoonsgevens is wel vergroot. De financiële sancties kunnen oplopen tot wel 10 procent van de jaaromzet van een organisatie. Wel nieuw is de Wet meldplicht datalekken, die een meldplicht voor lekken bevat. De wet moet voorkomen dat beheerders van data onzorgvuldig omgaan met privacygevoelige informatie. Is er sprake van een ernstig datalek, dan moet de verantwoordelijke partij melding doen bij de toezichthouder en soms aan de betrokkenen. Ook hier kunnen slordigheid en niet-naleving van privacyregels veel geld kosten.”

 
 

Grootverbruiker in persoonsgegevens

Een deel van de meldingen over privacyschending kwam volgens de Autoriteit Persoonsgevens van uitzendkrachten. Guardiola kijkt daar niet van op. De Wbp bevat volgens haar voor de flex-branche veel haken en ogen, omdat sprake is van driehoeksrelaties tussen uitzend- of payroll-kracht, flexbedrijf/verloner en inlener/opdrachtgever. “De uitzendbranche is ‘grootverbruiker’ in persoonsgegevens. De kwetsbaarheid neemt daarmee ook toe.”

De meeste overtreders doen dat volgens Guardiola niet willens en wetens, maar uit praktisch oogpunt, of omwille van het gemak. “Mag je bijvoorbeeld een kopietje maken van het identiteitsbewijs van iemand die zich voor het eerst meldt? Mag je BSN-gegevens verstrekken aan een inlenende partij? Het mag geen van beide. Het kopietje mag niet eerder in je administratie opgenomen worden dan wanneer iemand voor je gaat werken. Het burgerservicenummer moet worden weggelakt als een loonstrook aan een opdrachtgever wordt getoond. Naar zulke punten moet je als onderneming met een vergrootglas kijken. Besteed daarbij veel aandacht aan preventie van overtredingen door middel van een goed privacybeleid, adviseren wij.”

Soms zit een ‘bedrijfsongeval’ in een klein hoekje. Zo kan het bewaren van een cv met pasfoto al problemen geven, omdat aan de hand van zo’n portretje mogelijk informatie wordt overgedragen over ras of religie, bijvoorbeeld als de vrouw op de foto een hoofddoek draagt.

 
 

privacyweetje #2

Mag ik iemands nationaliteit noteren?

Ja

Maar die mag uitsluitend worden vastgelegd als er een match plaatsvindt en een arbeidsovereenkomst wordt aangegaan met de werknemer.

 
 

De NBBU voert campagne om de achterban meer bewust te maken van de regels. “Zonder de werkbaarheid uit het oog te verliezen, willen we leden zoveel mogelijk helderheid verschaffen over de geldende regels en over de sancties als die regels niet gerespecteerd worden”, zegt Guardiola. De NBBU deed dat onder meer door voorlichtingsbijeenkomsten te organiseren, waar veel praktijkvoorbeelden aan de orde kwamen. Daarnaast is er, samen met de ABU, een voor leden te downloaden handleidingKlik hier om de handleiding Privacy te downloaden (alleen voor NBBU-leden) gemaakt over ‘do’s en don’ts’ bij het verzamelen, bewerken, distribueren en bewaren van persoonsgevoelige informatie, zoveel mogelijk zonder moeilijke juridische taal.

Met een stofkam door je processen

De gouden regel is volgens Guardiola dat persoonsgegevens alleen gevraagd, bewaard en doorgegeven mogen worden als dit verenigbaar is met het doel waarvoor deze gegevens worden gevraagd, bewaard en doorgegeven en als dat strikt genomen en op dat moment noodzakelijk is of gebaseerd is op wetgeving. Ook doelbinding is een centraal begrip. “Belangrijk is je telkens af te vragen met welk doel je informatie vraagt, verwerkt en verstrekt. Is dat proportioneel of niet en kan het misschien ook op een andere manier? Het antwoord op zo’n vraag kan per organisatie verschillen. Alles begint ermee dat je als flexbedrijf je werkprocessen goed inricht. Ga daar regelmatig met de stofkam doorheen, adviseren wij. Je moet bijvoorbeeld goed regelen welke personen binnen je bedrijf toegang krijgen tot bepaalde gegevens. Maar ook wie die gegevens ver- en bewerken. Je moet nadenken over wat je vraagt aan kandidaten en wat je verwerkt.” Daarbij is ‘verwerken’ een ruim begrip: ook email-verkeer valt onder verwerking.

 
 

privacyweetje #3

Mag ik uit belangstelling vragen wat eraan scheelt als een flexkracht zich ziek meldt en het antwoord noteren?

Nee

Er mag alleen gevraagd en geregistreerd te worden dat iemand ziek is en hoe lang hij/zij verwacht ziek te zijn.

 
 

Vanuit de branche is gemopperd over de werkbaarheid van sommige regels. Guardiola: “Wij zien wel een paar regels die verbeterd kunnen worden. In gesprekken met verschillende ministeries, de Belastingdiensten en de Autoriteit Persoonsgegevens zelf zullen we daar de aandacht op vestigen.” Het is volgens haar te gemakkelijk om de toegenomen aandacht voor privacy af te doen als overbodige rompslomp. “Laten we niet vergeten: het fenomeen cybercrime neemt toe; er worden door slordigheid of onvoldoende beveiliging complete identiteiten overgenomen. We krijgen ook in Europa steeds meer te maken met terrorisme. Er is wel voldoende aanleiding om zorgvuldig met persoonsgegevens om te gaan.”

Beperkte clementie

Sommigen spreken de verwachting uit dat de Autoriteit Persoonsgegevens zowel met betrekking tot naleving van privacyregels als het respecteren van de Wet meldplicht datalekken snel een punt wil maken uit preventieve overwegingen. Guardiola denkt dat de waakhond de komende tijd wel z’n tanden laat zien, maar niet direct bijt. “Met een belangrijke kanttekening: die clementie zal naar mijn idee gelden voor bedrijven die kunnen laten zien dat ze de wetgeving serieus nemen en ermee bezig zijn. Voor ondernemingen die herhaaldelijk de regels in de wind slaan ligt het anders. Daarom benadrukt de NBBU: laat je goed voorlichten en maak er werk van.”

 
 

privacyweetje #4

Mag je behalve van je eigen uitzendsoftwarepakket ook platforms als iCloud, Google+ en OneDrive inzetten in de bedrijfsvoering?

Ja

Ja, maar het gebruik van persoonsgegevens kun je daarin beter achterwege laten. Maak liever gebruik van dienstverleners die in Europa hosten.

 
Jan Spekschoor directeur Bas Netwerk

‘Dit vergt veel van onze organisatie’

“Wij hadden ons niet gerealiseerd dat er door de aangescherpte privacyregels en de Wet Datalekken zoveel op ons bordje zou komen”, zegt Jan Spekschoor, directeur van Bas Netwerk, een regionaal uitzendbureau in Eibergen. Zijn bedrijf is met name actief in techniek, bouw en productie in Twente en de Achterhoek.
Voor uitzendbureaus betekenen de regels naar zijn idee een flinke administratieve lastenverzwaring: “Dit onderwerp vergt het nodige van de organisatie. Je moet er behoorlijk wat voor doen en laten en al je processen kritisch nalopen en dat blijven doen. En bijvoorbeeld de toegang tot allerlei gegevens tussen de front- en de backoffice goed scheiden, want niet iedereen mag toegang hebben tot alle persoonsgegevens van kandidaten.”

“We hadden ons er wel wat in verdiept, maar alle ins en outs en de veelomvattendheid van het vraagstuk zijn pas echt goed doorgedrongen na de voorlichtingsbijeenkomst van de NBBU”, aldus Spekschoor. De noodzaak van strengere regels ziet hij wel in. “Terrorisme, identiteitsdiefstal, cybercrime; het is nodig om zorgvuldig om te gaan met allerlei gegevens. Op ons rust de plicht om goed te letten op wat we vastleggen en verspreiden naar de opdrachtgever. Maar vanochtend nog kwam er een cv binnen met daarop een BSN-nummer. Het is makkelijk en efficiënt om zo’n cv meteen door te sturen naar een potentiële opdrachtgever die om een kandidaat zit te springen, maar dat kan dus niet meer.”

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *