Terug naar blogs

General Data Protection Regulation (GDPR) ofwel AVG

van op

In mei 2016 is de nieuwe wet GDPR in werking getreden en de wet zal met ingang van 25 mei 2018 ook daadwerkelijk gehandhaafd worden. De General Data Protection Regulation (GDPR) ofwel Algemene Verordening Gegevensbescherming (AVG) gaat over de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Deze wet is van groot belang voor alle organisaties die persoonlijke data verwerken. Ook voor recruiters is het zaak klaar te zijn voor dat belangrijke moment.

Wat / Wanneer / Waarom de GDPR?

  • Met de AVG/GDPR wordt de regelgeving internationaal gelijkgeschakeld en gelden voor alle lidstaten van de EU dezelfde richtlijnen. Hierdoor weet je voor een groot deel waar je aan toe bent als je zaken doet met organisaties uit EU-lidstaten.
  • Van organisaties wordt verwacht dat zij hun bedrijfsvoering in overeenstemming brengen met de AVG/GDPR. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna wordt gehandhaafd.
  • Overtreed je de regels, dan staat je een flinke boete te wachten, die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Wat verandert er voor HR en recruitment?

Meer data vallen onder de privacywet
Onder persoonsgegevens vallen naast bestanden met namen, adressen etc. nu ook gegevens die zijn gekoppeld aan IP-adressen, Media Acces Control (MAC)-adressen, cookies en dergelijke onder de wet. Ook als degene achter een cookie niet bekend is, moet je zijn gegevens behandelen als privacygevoelig.

Eigenaar vs verwerker
Er komt een duidelijkere scheiding tussen de verantwoordelijkheid van de data-eigenaar en die van de data-verwerker. In ons geval zijn onze klanten de eigenaar van kandidaat- en klantdata. Zij worden in de wet de Controller genoemd. Bullhorn is de verwerker van kandidaat- en klantdata en wordt door de wet de Processor genoemd.

Algemene regels
De Wet Bescherming Persoonsgegevens (WbP) is vervangen door de AVG. Er gelden nu algemene, internationale regels voor de beveiliging van persoonsgegevens. Bovendien hebben lidstaten op bepaalde vlakken de mogelijkheid zelf zaken toe te voegen.

Meer rechten voor kandidaten
De rechten van personen voor wat betreft de opslag van hun gegevens worden uitgebreid. Zo kan een kandidaat een organisatie verzoeken zijn gegevens aan te passen of te verwijderen.

Privacy statements verplicht
Elke organisatie is verplicht op elk moment van het verzamelen van gegevens een privacy statement te publiceren. Hierin moet staan wat het doel van de dataverzameling is, of derde partijen toegang hebben en hoe lang de gegevens bewaard zullen worden. Dit betekent dus dat je voor een job alert een ander privacy statement moet opstellen dan voor een sollicitatieformulier.

Datalekken moeten worden gedocumenteerd
De AVG stelt verplicht om alle datalekken intern te documenteren, óók datalekken die niet te hoeven worden gemeld aan de toezichthouder. Wie privacygevoelige data voor opdrachtgevers verwerkt, is wettelijk verplicht alle datalekken aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden.

Data Protection Officer aanstellen?
Bedrijven kunnen verplicht worden gesteld een Data Protection Officer aan te stellen. Vooralsnog geldt dit alleen voor organisaties voor wie dataverwerking het primaire proces is.

Wat kan je nu doen?

We hebben nog maar tot mei 2018 de tijd, dus onderschat het niet. Er is veel werk aan de winkel en het is zaak dit snel en serieus aan te pakken. Een paar belangrijke tips:

  1. zorg dat je organisatie vóór mei 2018 ingericht is op de nieuwe wetgeving
  2. stel hiervoor één persoon verantwoordelijk
  3. maak een projectgroep
  4. breng de beveiliging van de persoonsgegevens op orde
  5. breng in kaart met welk doel je welke informatie verzamelt
  6. bepaal hoe lang het wenselijk is de data te bewaren (afhankelijk van doel en context)
  7. breng in kaart op welke manier je welke informatie vastlegt (record keeping)
  8. breng in kaart met welke derde partijen (Bullhorn, testleveranciers) je de data deelt
  9. bepaal wat je doet met gegevens die over de ‘houdbaarheidstermijn’ zijn
  10. ken de rechten van kandidaat en bedenk hoe je daar intern mee omgaat
  11. zorg voor heldere communicatie naar de kandidaat

Blijf op de hoogte

De wet is op sommige punten nog wel wat onduidelijk. Op dit moment zijn de Autoriteiten Persoonsgegevens van elk land bezig om de richtlijnen concreet uit te werken. De contouren zijn helder, de precieze vormgeving van de wet wordt gaandeweg steeds verder geconcretiseerd. Zorg dat je als organisatie op de hoogte blijft van alle relevante ontwikkelingen. In onze GDPR voor Recruitment Hub vind je een verzameling artikelen, blogs en webinars die je als recruitment professional helpen voor te bereiden op de nieuwe wetgeving. Neem een kijkje in de GDPR voor Recruitment Hub en meld je aan voor onze updates. Dan ben je altijd als eerste op de hoogte van nieuwe content!

GDPR voor recruitment e-book