Dataprivacy. Wat je altijd al wilde vragen over de GDPR ofwel AVG
Er zijn talloze blogs en artikelen verschenen rondom dataprivacy en de nieuwe Algemene Verordening Gegevensbescherming (AVG) ofwel GDPR. Veel recruiters en bureaus zijn nog volop bezig met de voorbereidingen om aan de nieuwe wetgeving te voldoen. Dat bleek eens te meer uit de enorme belangstelling voor ons Webinar GDPR voor Recruitment, dat je hier online kunt terugkijken.
Tijdens het webinar stelden deelnemers een aantal interessante vragen aan Data Privacy Expert Martijn Faber (MF) van Priviteers. We zetten de vragen en antwoorden hieronder voor je op een rijtje. Wil je meer weten over de GDPR, bezoek dan ook onze kennisbank.
Naar GDPR voor Recruitment Hub
Vraag: Zijn klanten (dus niet kandidaten) wel of geen verwerkers in de zin van de AVG?
MF: Dit kan beide het geval zijn. Het hangt sterk af van de wijze van samenwerking wie exact het doel bepaalt. Dit kan per situatie anders zijn.
Hier is de kernvraag steeds: welke organisatie heeft het doel van de verwerking bepaald. Wanneer ik als organisatie een externe partij vraag om namens mij de selectie van kandidaten te doen en daarbij afspreek dat die organisatie niets anders mag doen met die gegevens dan wat de opdrachtgever bepaalt, dan heb je een verwerkingsverantwoordelijke en verwerker. De één doet iets in opdracht van de ander en bepaalt zelf geen verdere doelen.
Stel: je vraagt een externe partij om kandidaten aan te leveren voor vacatures en de externe partij heeft ook de doelen bepaald. Als hij die gegevens dan bijvoorbeeld aan andere klanten gaat aanbieden, is hij een verwerkingsverantwoordelijke. De externe partij doet dit immers niet in expliciete opdracht van de uitvragende organisatie. In zo’n geval zal je gezamenlijk verwerkingsverantwoordelijke zijn en dus samen afspraken moeten opstellen over hoe je omgaat met de persoonsgegevens en de rechten van betrokkene.
Zoals je ziet hangt het sterk af van de situatie. Er is dus niet één antwoord waarbij je wel of geen verwerker bent.
Vraag: Zijn onze klanten/prospects binnen de GDPR Controllers ofwel Verwerkingsverantwoordelijken? Kortom is er sprake van een gedeelde verantwoordelijkheid?
MF: Dit is sterk afhankelijk van de contractuele afspraken en de daadwerkelijke handelingen die plaatsvinden. Een sluitend antwoord kan hier dan ook niet op worden gegeven met de beperkte informatie die nu beschikbaar is.
Vraag: Indien kandidaten worden voorgesteld bij onze klanten/prospects zijn er dan bepaalde zaken die wij in acht moeten nemen met betrekking tot hoe de gegevens ter beschikking worden gesteld?
MF: De kandidaat moet op de hoogte zijn (informatierecht) wat er met zijn/haar persoonsgegevens gaat gebeuren en voor welk doel. Bij klanten kun je nog zeggen dat je e.e.a. doet vanuit een overeenkomst, maar bij prospects is dat maar de vraag. “Zomaar“ persoonsgegevens delen met potentiële klanten zonder dat daar een opdracht voor is lijkt lastig omdat je dan nergens naar kunt verwijzen in relatie tot de omgang van de persoonsgegevens die je hebt verzonden. M.a.w: hoe houd je grip op de persoonsgegevens waar jij als verzendende organisatie verantwoordelijk voor bent bij een organisatie waar je verder geen contractuele verbintenis mee hebt?
Vraag: Wij zijn een recruitmentorganisatie. Kunnen wij gebruik maken van het gerechtvaardigd belang? Bedrijfsbelangen spelen immers een belangrijke rol (het gaat om de voortgang van ons bedrijf) en bij dataminimalisatie is verlies van belangrijke data klein.
MF: Welke grondslag je gebruikt zal je per verwerking moeten bepalen. Dit is niet iets wat je kiest voor de gehele organisatie. Als recruitmentorganisatie zal je verschillende verwerkingen doen waarvoor vaak ook verschillende grondslagen van toepassing zullen zijn.
Vraag: Hoe moet je volgens de AVG omgaan met klanten en contactpersonen hiervan?
MF: Contactpersonen bij bedrijven zijn ook persoonsgegevens. Je dient deze dus ook veilig en netjes te bewaren. En wanneer er geen vooraf gedefinieerd doel meer geldt, zou je die gegevens dus ook moeten verwijderen.
Vraag: Moet je als recruitment organisatie met iedere klant een verwerkingsovereenkomst te sluiten?
MF: Dit is sterk afhankelijk van de daadwerkelijke werkzaamheden. Dat kan per klant verschillen afhankelijk van wie welk doel heeft bepaald. Er is hier niet één correct antwoord voor.
Vraag: Als met een kandidaat besproken is bij welk bedrijf wij hem voorstellen, moet dan met dat bedrijf een overeenkomst gesloten worden?
MF:In dit geval ben je als bedrijf verwerkingsverantwoordelijke (je hebt het doel zelf gedefinieerd) en zal je iets willen afspreken met de partij aan wie je die gegevens toezendt. Immers, als jij verantwoordelijkheid draagt (alleen of gezamenlijk) dan wil je wel met elkaar afspreken hoe je daar mee omgaat. Als de kandidaat bijvoorbeeld niet in dienst gaat bij die partij, verwijderen zij dan de gegevens of mogen ze die gebruiken, bewaren of weer delen? Dat soort zaken wil je wel afgesproken hebben met elkaar.
Vraag: Wat vindt u van de bewaartermijn, gesteld door de Autoriteit Persoonsgegevens, van 1 jaar op basis van toestemming?
MF: Een jaar lijkt mij een prima uitgangspunt. De gestelde termijn van 1 jaar is op basis van expliciete toestemming van een betrokkene om opgenomen te worden in bijvoorbeeld een talentpool. Je mag voor het aflopen van dit jaar nogmaals om expliciete toestemming vragen om het met weer een jaar te verlengen Of de kandidaat dat wil heeft te maken met de toegevoegde waarde die je als organisatie binnen dat jaar hebt geboden.
Vraag: Langdurig data bewaren van kandidaten is m.i. noodzakelijk als executive search bureau. Kandidaten kom je na vele jaren weer tegen en dan is die oude informatie nuttig om erbij te gebruiken. Hoe verhoudt dit zich t.o. van de te hanteren bewaartermijnen?
MF: De AVG heeft geen expliciete vermelding van bewaartermijnen. Deze zal je dus zelf moeten kunnen onderbouwen. Als voor de uitvoering van je diensten aantoonbaar te maken valt dat een langere bewaartermijn noodzakelijk is, dan kun je dit als onderbouwing gebruiken. Bij vragen kun je hierover ook met de Autoriteit Persoonsgegevens discussiëren.
Vraag: Op welke wijze kun je geanonimiseerde CV’s nog bruikbaar houden?
MF: Een echt geanonimiseerd CV bevat geen herleidbare persoonsgegevens. Daar kan het dus ook niet meer voor worden gebruikt. De waarde ervan is dus beperkt.
Vraag: In hoeverre heeft de wet terugwerkende kracht. Stel een kandidaat wil weten wat een bedrijf 3 jaar geleden heeft vastgelegd, in hoeverre moet een bedrijf hier informatie over kunnen verschaffen?
MF: Je moet als organisatie verantwoording kunnen afleggen over alle persoonsgegevens binnen de organisatie. Dat doe je door te kunnen onderbouwen waarom je die gegevens hebt (doel), met welke onderbouwing (grondslag) en voor hoe lang. Dat gaat over nieuwe gegevens, maar dus ook over bestaande gegevens.
Vraag: Is het zinvol om in een arbeidsovereenkomst iets op te nemen over data die verzameld wordt?
MF: Een geheimhoudingsverklaring als het gaat over omgang van persoonsgegevens namens het bedrijf kan prima. Tevens kan je een interne gedragscode toevoegen als het gaat over de omgang met persoonsgegevens.
Vraag: Hoe zit het met gegevens van klanten of prospects ten behoeve van het salesproces? Moet je toestemming hebben om prospects te mogen benaderen?
MF: De AVG gaat hier deels inhoudelijk over maar ook andere wetten zijn hierop van toepassing. Dit valt onder direct marketing en dat is ook onder de AVG onder voorwaarden toegestaan. Lees hier meer. Er is een nieuwe Europese verordening in de maak (E-privacy verordening) die ook hier op zal sturen.
Vraag: Waarom is een CV versturen via e-mail onveilig? (en zou het via een gemeenschappelijke opslag in de Cloud wel veilig zijn?)
MF: E-mail wordt technisch gesproken niet gezien als een veilig communicatiemiddel, zolang het niet encrypted is. Bovendien heeft het een groot verwerkingrisico in zich dat het aan een verkeerde persoon verzonden kan worden. Een kandidatenportaal (met wachtwoord/gebruikersnaam) of een beveiligde upload via een website heeft minder risico’s. Maar ook daarover is niet te zeggen of het echt veilig is, immers iedere verwerking heeft een bepaald risico.
Vraag: Als je uitsluitend op basis van LinkedIn kandidaten zoekt en benadert, dan is dat een open database. Ik neem aan dat de GDPR dan niet aan de orde is?
MF: De GDPR geldt hier ook. Zodra je gebruik maakt van LinkedIn als zakelijke organisatie ga je een overeenkomst aan met LinkedIn. O.a. de algemene voorwaarden en terms & conditions en het privacy statement zijn van toepassing. Hierin staat beschreven wat je wel en niet mag doen met de persoonsgegevens. De kandidaten op LinkedIn gaan ook overeenkomsten aan met LinkedIn waarin LinkedIn zal hebben aangegeven dat de gegevens openbaar kunnen worden gemaakt binnen dat netwerk. De kandidaten hebben allerlei privacy instellingen en kunnen dit ook deels beperken. Zodra jij als organisatie binnen LinkedIn zoekt, maak je dus gebruik van deze toestemming binnen dit netwerk. De AVG is dus ook hier van toepassing.
Vraag: Ik heb begrepen dat bij meer dan 100 werknemers een bedrijf verplicht is om een privacy officer aan te nemen. Geldt dit ook voor uitzendbureau met bijvoorbeeld 100 uitzendkrachten?
MF: Het gaat hier om de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG). Die is in de GDPR niet gekoppeld aan het aantal medewerkers (in vorige versies wel, maar in de finale versie niet). De uitleg over wel of geen FG staat beschreven op de website van de Autoriteit Persoonsgegevens. Daar staat ook een verwijziging naar een richtlijnen document van de WP29 die hierover advies geeft. Het is helaas niet in alle gevallen exact beschreven onder welke voorwaarden je wel of geen FG moet aanstellen.
Vraag: Moeten Zwitserse bedrijven aan de GDPR voldoen?
MF: Indien Zwitserse bedrijven gebruik willen maken van gegevens van Europese burgers dan zullen ook zij zich moeten houden aan de voorwaarden van de GDPR. Overigens is het zeer waarschijnlijk dat Zwitserland zich zeer nauw verbindt met de privacywetgeving, omdat ze dat in het verleden ook hebben gedaan.
Meer weten?
Wil je je goed voorbereiden op de GDPR? In ons e-book GDPR voor Recruitment lees je wat de wet betekent voor recruitmentbureaus en welke processen er ingericht moeten worden. Je kunt je ook aanmelden voor onze updates, dan ben je altijd als eerste op de hoogte van nieuwe content!
