Door: Arjan de Knegt 1-11-2017
In onze vorige blog ‘AVG & de Recruitmentbranche’ hebben we kort toegelicht wat de AVG is en dat deze wetgeving voortkomt uit de Wbp. Gemakshalve gaan we er vaak vanuit dat bedrijven zich houden aan de Wbp. Toch blijkt dit niet vaak te zijn.
Een veelvoorkomende reden voor het niet naleven van de wettelijke regels is dat bedrijven te nonchalant met persoonsgegevens omgaan, of dat ze simpelweg niet weten wat wel en niet is toegestaan. In het dagelijkse leven zal je hier weinig last van hebben, maar toch kan het op bepaalde momenten tegen je werken. Denk bijvoorbeeld aan momenten dat een recruitmentbureau gegevens van een kandidaat (of jou!) gebruikt terwijl deze niet meer staat ingeschreven of dat deze gegevens worden doorverkocht aan een derde partij die ze gebruikt voor promotionele doeleinden. Met de AVG wordt de consument meer in bescherming genomen en krijgen ze meer mogelijkheden om voor zichzelf op te komen bij de verwerking van de gegevens.
Binnen de recruitmentbranche is de AVG van toepassing als:
In het wervingsproces zitten vaak meerdere schakels tussen de kandidaat en de organisatie waarvoor de kandidaat zal gaan werken, vaak een ander bureau of bedrijf, in elk geval meerdere personen. Daarnaast worden de gegevens nog verwerkt in een ATS en in de financiële administratie. Het is hierdoor raadzaam om het hele bedrijf op de hoogte te stellen van de AVG.
In het intro vertelden we al dat de consument met de AVG meer in bescherming wordt genomen. Er worden een hoop veranderingen doorgevoerd. Hieronder zetten we vijf belangrijke veranderingen voor je op een rijtje die van toepassing zijn voor de recruitmentbranche.
Doordat steeds meer activiteiten online plaatsvinden, wordt hier in de AVG meer aandacht aan besteedt. Het begrip ‘persoonsgegevens’ wordt uitgebreid met gegevens die gekoppeld zijn aan IP- en MAC-adressen en cookies op een website. Dit houdt in dat je de onbekende gegevens van een persoon achter een cookie op bijvoorbeeld op je werkenbij-site, alsnog privacygevoelig moet behandelen.
De privacyverklaring van je organisatie moet eenvoudig, duidelijk en volledig uitleggen wat er wordt gedaan met persoonsgegevens. Daarnaast moet dit document de rechten van de consument uitleggen. De consument moet de mogelijkheid krijgen om zelf gegevens in te zien, aan te passen of zelfs te vernietigen. Bouw je interesseprofielen op? Dan moeten deze op verzoek van de consument verwijderd worden. Dit verzoek moet binnen een maand inhoudelijk afgehandeld zijn.
Het wordt verplicht om met alle leveranciers en afnemers een bewerkersovereenkomst af te sluiten. In deze overeenkomst komen specifieke afspraken te staan die zijn gemaakt over de omgang met persoonsgegevens. Een belangrijk punt voor de recruitmentbranche: wanneer er diensten worden aangeboden waarbij persoonsgegevens zijn betrokken, dan is er toestemming nodig van de betrokken consument.
De AVG geeft geen -nieuwe- concrete bewaartermijn voor het bewaren van persoonsgegevens, de Wpb deed dit al. Wel wordt vereist dat er het minimale aan persoonsgegevens wordt bewaard. Dit houdt in dat een organisatie actief gegevens moet gaan verwijderen (vernietigen is niet noodzakelijk!) als deze niet meer relevant zijn. Wat wel en niet relevant is moet worden uitgewerkt in een bewaarbeleid waarin ook wordt opgenomen hoe het verwijderen van gegevens veilig wordt gerealiseerd. In de huidige wetgeving mogen sollicitatiegegevens vier weken na de sluitingsdatum van een vacature worden bewaard. Geeft een kandidaat aan dat de gegevens bewaard mogen worden, dan is de maximale termijn één jaar. Er zal dus af en toe een bezem door je database moeten worden gehaald.
Deze twee termen worden vaak samen genoemd, maar hebben verschillende betekenissen. Privacy by design houdt in dat in het beginstadium van de ontwikkeling en bij het aanbieden van diensten rekening gehouden moet worden met de verwerking van privacygegevens. In de kern van de dienst moet de bescherming van persoonsgegevens zijn vastgelegd. Denk bijvoorbeeld aan een sollicitatieformulier waarin niet naar informatie wordt gevraagd die niet noodzakelijk is voor een functie of bedrijf. Of aan een ATS-leverancier die het de klanten zo makkelijk mogelijk zal maken.
Privacy by default is van toepassing als gebruikers zelf de mogelijkheid hebben om persoonsgegevens te delen, bijvoorbeeld als je gebruikmaakt van social media platforms. Er wordt bij dit principe verwacht dat organisaties standaard (by default) hun privacy op de hoogst mogelijk stand hebben staan. Zo moet een consument altijd toestemming geven voor gegevensverzameling en op deze manier worden zo min mogelijk gegevens verzameld. Je zal dus voor elke functionaliteit of applicatie in je organisatie moeten nagaan of de standaardinstellingen wel privacy-vriendelijk genoeg zijn.
De Europese Commissie heeft een stappenplan opgesteld om je als organisatie voor te bereiden op de nieuwe wetgeving. Dit stappenplan zullen we in een volgende blog verder behandelen. Ook vertellen we je hoe OTYS zich voorbereidt op de AVG. Stay tuned!