AVG Privacywet: de gevolgen voor jouw uitzendbureau
Dat er veranderingen zijn op het gebied van privacyregels, is je vast niet ontgaan. Wat de gevolgen zijn van de AVG, zoals de nieuwe privacywet officieel heet, voor jouw uitzendbureau is je wellicht wel ontgaan. De gevolgen van de AVG zijn verstrekkend voor de manier waarop je moet werken. Hoewel er nog veel niet duidelijk is, is er ook al heel veel wel duidelijk. Wij vertellen je graag wat wij tot nu toe weten over deze nieuwe AVG Privacywet en de gevolgen voor jouw uitzendbureau. Daarbij beginnen we met een samenvatting, zodat je direct de belangrijkste veranderingen voor jouw uitzendbureau kunt lezen. We raden je natuurlijk aan de volledige blog te lezen voor meer informatie.
Dit artikel is gecontroleerd door Henk Verschoor, expert op het gebied van IT en AVG.
Inhoudsopgave
Klik op een van onderstaande hoofdstukken om daar direct te beginnen met lezen.
Samenvatting
Reden voor een nieuwe privacywet
Inhoud van de AVG
Begrippenverklaring AVG
Veranderingen voor de uitzendkracht
Veranderingen voor het uitzendbureau
Wat zijn de gevolgen van de nieuwe privacywet voor mijn uitzendbureau?
1. Ingeschreven kandidaat
2. Werkzame uitzendkracht
3. Zieke uitzendkracht
4. Niet meer werkzame uitzendkracht
Welke gegevens van een uitzendkracht mag ik verwerken?
Persoonsgegevens van uitzendkracht delen met derden.
Welke persoonsgegevens van een uitzendkracht mag ik aan een inlener verstrekken?
Toestemming van de uitzendkracht
Deze informatie bewaren?
Samenvatting AVG Privacywet
De AVG schrijft voor dat je persoonsgegevens niet voor andere zaken mag gebruiken dan waarvoor je deze in de eerste plaats hebt verzameld. Gegevens voor bemiddeling en verloning van de flexkracht mag je bijvoorbeeld niet gebruiken voor het rondsturen van nieuwsbrieven. Een flexkracht kan daarnaast op verzoek inzage in zijn persoonsgegevens krijgen of verzoeken deze aan te passen of te verwijderen. Je hebt in principe 1 maand de tijd om op dat verzoek te reageren. Afhankelijk van de fase waarin de flexkracht zich bevindt (kandidaat, werkzaam of niet meer werkzaam), gelden er verschillende regels over welke persoonsgegevens je wel of niet mag verwerken en welke bewaartermijnen daarbij horen.
Reden voor een nieuwe privacywet
De regels die tot op dit moment zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp) met betrekking tot het verwerken van persoonlijke informatie, gaan uit van een ‘ouderwetse’ situatie. De Wbp is vastgesteld in 1995, toen internet nog in de kinderschoenen stond. 1995: het jaar van waarin ‘Het is een nacht’ uitkwam, de eerste playstation op de markt kwam en we nog gewoon met guldens betaalden. Lang geleden dus. Hoog tijd voor verandering! Je kunt je voorstellen dat er ondertussen het een en ander is veranderd in de manier waarop gegevens worden opgeslagen (in de cloud) en worden verwerkt en bewerkt (meerdere partijen). Elke lidstaat van de EU heeft totdat de nieuwe AVG Privacywet ingaat zijn eigen wet op het gebied van privacy. De AVG legt het gebruik en de verwerking van persoonsgegevens tussen de diverse partijen vast.
Privacyrechten van iedereen worden in de nieuwe wet versterkt en uitgebreid.
Inhoud van de AVG
Per 25 mei gaat er een algemene wet voor alle landen van de EU gelden: de Wet Algemene Verordening Persoonsgegevens. Kort gezegd: de Wet AVG. De kern van de nieuwe AVG Privacywet is simpel: gebruik persoonsgegevens enkel waarvoor ze zijn bedoeld. De verantwoordelijkheid van de wet AVG ligt bij de organisatie die de persoonsgegevens verwerkt. Zij heeft een verantwoordingsplicht waardoor ze moet kunnen aantonen dat ze zich aan de wet houden.
Begrippenverklaring AVG
- Verwerken is elke handeling met betrekking tot persoonsgegevens. Dit kan zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken, delen, combineren, afschermen, wissen of vernietigen van persoonsgegevens.
- Persoonsgegevens zijn gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, in dit geval de uitzendkracht. Bijvoorbeeld: zijn naam, BSN, contactgegevens, gegevens over zijn arbeidsverleden en CV.
- Een Functionaris voor de gegevensbescherming (FG) is iemand binnen het uitzendbureau die verantwoordelijk is voor de controle op de toepassing en naleving van de AVG.
- Een Data protection impact assessment (DPIA) is een middel om privacyrisico’s van de verwerking van persoonsgegevens in kaart te brengen. In het rapport dat daaruit volgt moeten de maatregelen worden vastgelegd die je als uitzendbureau neemt om de risico’s te verkleinen.
- Een arbeidsbemiddelingsbureau/arbeidsbemiddelaar is elke vorm van flexbureau zoals die bekend is. Meestal wordt hier een uitzendbureau mee bedoeld, maar dit kan ook een detacheringsbureau of werving- en selectiebureau zijn. Overal waar in deze blog het woord uitzendbureau staat, kan dit vervangen worden door elk type arbeidsbemiddelingsbureau.
- Een flexkracht is elke arbeidskracht die via een arbeidsbemiddelaar arbeid verricht.
Veranderingen voor de uitzendkracht
Het doel van de AVG is de bescherming van persoonsgegevens en het garanderen van het vrije verkeer van de persoonsgegevens. Om deze persoonsgegevens te kunnen beschermen, is het belangrijk de persoon van wie deze gegevens zijn goed te informeren. Deze persoon, in dit geval de flexkracht, kan vervolgens een beroep doen op een aantal rechten ten aanzien van deze gegevensverwerking. De belangrijkste van deze rechten en plichten zijn hieronder kort samengevat:
- Recht van inzage en wijziging: Een flexkracht heeft het recht om bij een arbeidsbemiddelingsbureau een overzicht op te vragen van de persoonsgegevens die het bureau van hem heeft en deze bij onjuistheden te wijzigen.
- Recht op vergetelheid: Een flexkracht heeft het recht om zijn persoonsgegevens op zijn verzoek te laten verwijderen uit het CRM-systeem van het arbeidsbemiddelingsbureau. Dat kan bijvoorbeeld het geval zijn als het bureau de persoonsgegevens niet langer nodig heeft of deze onrechtmatig verwerkt.
Veranderingen voor het uitzendbureau
Doordat de verantwoordingsplicht van de nieuwe AVG Privacywet bij de organisatie ligt, moet elke organisatie te allen tijde kunnen aantonen met documenten dat zij alle organisatorische en technische maatregelen heeft genomen om aan de eisen van de AVG te voldoen. Daarnaast ben je verplicht om:
- Een arbeidsbemiddelaar is verantwoordelijk voor de correcte naleving van de privacywetgeving bij de werving en selectie van flexkrachten en moet dat ook kunnen aantonen.
- Een arbeidsbemiddelaar moet binnen 1 maand gevolg geven aan het verzoek van een flexkracht om inzage, wijziging of vergetelheid. Bij omvangrijke of ingewikkelde verzoeken mag je deze termijn met 2 maanden verlengen.
- Een arbeidsbemiddelaar moet onderzoeken of hij een DPIA moet uitvoeren of een FG moet aanwijzen.
Wanneer een DPIA uitvoeren of een FG aanwijzen?
Het uitvoeren van een DPIA (Data protection impact assessment) is alleen nodig als een (voorgenomen) gegevensverwerking een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt. Dit vloeit voort uit artikel 35, lid 1, AVG. Je moet dus een analyse (laten) maken of dit wel of niet nodig is. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een lijst met gegevensverwerkingen opgesteld waarbij je een DPIA sowieso moet uitvoeren. Deze lijst is in het Staatsblad gepubliceerd (klik hier).
Ook het aanwijzen van een FG (functionaris voor de gegevensbescherming) is geen harde eis. Dit is namelijk alleen verplicht bij overheidsinstanties, organisaties die regelmatig en stelselmatig betrokkenen observeren of als de organisatie gevoelige of strafrechtelijke gegevens verwerkt. Deze eisen zijn terug te vinden in artikel 37, lid 1, AVG. Als de organisatie niet aan één van deze drie vereisten voldoet, mag je naar eigen inzicht bepalen of er een FG moet worden aangewezen.
Wat zijn de gevolgen van de nieuwe AVG Privacywet voor mijn uitzendbureau?
Als uitzendbureau ben je vanaf 25 mei 2018 verantwoordelijk voor de naleving van de nieuwe privacyregels. Deze regels hebben vooral betrekking op de verwerking van de persoonsgegevens van uitzendkrachten. Hieronder werken we per type uitzendkracht voor je uit wat de consequenties zijn. Daarbij maken we onderscheid tussen:
1. Ingeschreven kandidaat
Bij het inschrijven van een kandidaat mag je alleen die persoonsgegevens in een systeem noteren die nodig zijn voor de arbeidsbemiddeling. Daarbij moet je sowieso toestemming vragen aan de kandidaat om deze gegevens te noteren in je (CRM-)systeem. De richtlijn is om met dat akkoord de gegevens van een kandidaat maximaal 1 jaar te bewaren.
De volgende persoonsgegevens mogen wel worden opgeslagen:
- NAW-gegevens
- E-mailadres
- Telefoonnummer
- Relevante werkervaring
- Opleiding(en), cursussen, certificaten
- Kopie identiteitsbewijs: je mag een kopie voor maximaal 4 weken opslaan (tijdens het intakegesprek mag/moet je het ID wel checken op echtheid)
De volgende persoonsgegevens mogen niet worden opgeslagen:
2. Werkzame uitzendkracht
Alle gegevens voor het correct uitvoeren van de salarisadministratie mogen worden verwerkt:
- NAW-gegevens
- Bankrekeningnummer
- BSN
- Kopie identiteitsbewijs
Je hebt bovenstaande gegevens nodig voor het vaststellen van de identiteit van de uitzendkracht.
N.B. Het BSN van de flexkracht mag je alleen verstrekken aan de inlener als dit noodzakelijk is voor vaststelling van de aansprakelijkheid (in het kader van de wet ketenaansprakelijkheid) van de inlener.
3. Zieke uitzendkracht
Als de flexkracht ziek wordt, dan mag je niet alles registreren. De flexkracht heeft het recht om de aard van het verzuim niet te melden. Bij het verwerken van de ziektegegevens mag je de onderstaande gegevens wel verwerken:
- Telefoonnummer (verpleeg) adres
- Vermoedelijke duur van het verzuim
- Werknemer valt onder vangnetbepaling ziektewet (no risk): je mag echter niet vastleggen onder welke van de 4 regelingen de werknemer valt, omdat dit iets zegt over de aard van iemands ziekte
- Ziekte staat in directe relatie met arbeidsongeval
- Verzuim wordt veroorzaakt door verkeersongeval
Deze gegevens mogen niet worden verwerkt:
- De aard en oorzaak van verzuim (ook niet de naam van de ziekte)
- Eigen waarnemingen over de toestand van de uitzendkracht
- Afspraken met artsen, therapeuten, enz.
4. Niet meer werkzame uitzendkracht
Als uitzendorganisatie ben je op basis van de fiscale wetgeving verplicht om na het eindigen van de werkzaamheden bepaalde persoonsgegevens van de flexkracht te bewaren. Persoonsgegevens die je niet op basis van een fiscale verplichting bewaart, moet je uiterlijk binnen 2 jaar na de laatste dag van het dienstverband verwijderen. Voor een overzicht van de bewaarplicht per type document, zie onderstaande lijst:
- Administratie en fiscale bewaarplicht: Voor de administratie die noodzakelijk is voor de controle op de rijksbelasting en vennootschappelijke administratieplicht (bijvoorbeeld de salarisadministratie, uitzendovereenkomst en voor zover noodzakelijk pensioenverplichtingen) geldt een bewaartermijn van tenminste 7 jaar.
- Loonbelasting: Verzoeken tot loonheffingskorting, NAW-gegevens, BSN, geboortedatum en afschriften van documenten ter identificatie moeten worden bewaard tot tenminste 5 jaar na einde van het kalenderjaar waarin de dienstbetrekking is beëindigd.
- Bijzondere situatie: Bij een concrete klacht of claim mogen de daarvoor noodzakelijke gegevens worden bewaard tot definitieve afhandeling of verjaring van de claim.
Welke gegevens van een uitzendkracht mag ik verwerken?
Deze regels hebben we voor je in een handige overzicht verwerkt.
Persoonsgegevens van uitzendkracht delen met derden
Met elke partij die inzage heeft in de persoonsgegevens van een uitzendkracht moet van tevoren een verwerkersovereenkomst worden. Voorbeelden van zulke derde partijen: je verloningspartij, accountantsbedrijf, softwareleverancier(s), enz. In een verwerkersovereenkomst wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Onderwerpen die o.a. in een verwerkersovereenkomst worden vastgesteld zijn: aansprakelijkheid, beveiligingsmaatregelen en geheimhouding.
Voor inleners geldt dit principe echter niet. Zij zijn namelijk geen verwerker, maar verwerkingsverantwoordelijke, net als dat jij, als uitzendbureau, dat bent. Dit betekent echter niet er geen regels zijn rondom het delen van persoonsgegevens van uitzendkrachten aan de inlener.
Welke persoonsgegevens van een uitzendkracht mag ik aan een inlener verstrekken?
Om persoonsgegevens van een uitzendkracht te mogen verstrekken aan een inlener, zijn de volgende voorwaarden van belang:
- Verstrekking van persoonsgegevens mag alleen als de flexkracht van tevoren is geïnformeerd
- De gegevens mogen alleen via een versleutelde verbinding en bestanden worden gedeeld
- Er moet een afspraak op schrift staan met een inlener over de verdeling van de verantwoordelijkheid op privacygebied (dataopslag-beheer)
Als aan deze voorwaarden is voldaan, mag je het volgende WEL delen met een inlener:
- Naam
- Adres
- Geslacht
- Geboortedatum
- Telefoonnummer
- E-mailadres
- Relevante werkervaring, opleidingen en cursussen (let op: gevoelige informatie moet worden weggehaald)
- BSN: zie toelichting
- Nationaliteit: zie toelichting
- Bij minderjarige flexkrachten: naam en contactgegevens van ouders, voogden of verzorgers
Toelichting
BSN: Sinds 1 januari 2017 mag je het BSN verstrekken aan de inlener op basis van de Uitvoeringsregeling verplicht gebruik BSN. Het BSN mag uitsluitend aan de inlener worden verstrekt voor het administreren van het BSN van flexkrachten in het kader van vrijwaring of beperking van de inlenersaansprakelijkheid en ketenaansprakelijkheid.
Nationaliteit: De nationaliteit mag worden doorgegeven wanneer er is vastgesteld dat het gaat om een buitenlandse flexkracht (niet-EER of Zwitserse ingezetene) en je een kopie van het identiteitsbewijs aan de inlener moet verstrekken.
Deze gegevens mag je NIET delen met een inlener:
- Uittreksel basisgegevens (BRP)
- Bankrekeningnummer
- Kopie ID-bewijs: alleen bij Zwitserse of niet-EER ingezetenen mogen deze worden verstuurd, de flexkracht zal deze zelf ter beschikking stellen aan de inlener
- Documentnummer en geldigheidsdatum
- Strafrechtelijke gegevens
- Gezondheidsgegevens: tenzij dit strikt noodzakelijk is (zoals diabetes, epilepsie) en/of tenzij de flexkracht op schrift heeft vastgelegd dat deze gegevens gedeeld mogen worden
Toestemming van de uitzendkracht
Er wordt vaak aangenomen dat de AVG jou als arbeidsbemiddelaar verplicht om toestemming aan de flexkracht te vragen voor een gegevensverwerking. Dit is onjuist. Toestemming is slechts één van de zes in de AVG genoemde grondslagen waarop een gegevensverwerking kan worden gebaseerd. De andere grondslagen zijn:
- het uitvoering geven aan een overeenkomst
- het voldoen aan een wettelijke plicht
- het levensbelang van de betrokkene
- het algemeen belang
- het gerechtvaardigde belang van de organisatie
Toestemming is in de relatie tussen arbeidsbemiddelaar en flexkracht geen geschikte grondslag. Dat komt doordat de AVG stelt dat toestemming bovenal ‘vrijelijk’ moet worden gegeven. Een flexkracht kan door de ongelijke relatie en afhankelijkheid van het bemiddelingsbureau namelijk toestemming geven voor een gegevensverwerking, terwijl hij of zij dat eigenlijk liever niet wil. De toestemming van de flexkracht is daardoor niet ‘vrijelijk’ gegeven, waardoor er geen sprake is van ‘toestemming’ in de zin van de AVG. Het is dan ook aan te raden om een gegevensverwerking eerst op een andere grondslag te baseren, voordat je kijkt naar de mogelijkheid om toestemming te vragen. Als je eerst om toestemming vraagt en de flexkracht weigert dit te geven, mag je daarna ook geen andere grondslag meer uitkiezen.
Deze informatie bewaren?
Wil je deze informatie nog eens terug kunnen lezen en/of raadplegen? Download dan de whitepaper AVG voor flexondernemingen.
Bronvermelding ABU.nl | Handreiking privacy Autoriteitpersoonsgegevens.nl | AVG nieuwe Europese wetgeving | Justitia.nl | Bewerkersovereenkomst | NBBU.nl | Zoektermen ‘privacy’ en ‘wet AVG’.