De GDPR is toch een soort ‘baseline’ voor de EU? 

Elk lidstaat is toch vrij om hier op verder te bouwen (bijvoorbeeld strengere straffen etc.)Een belangrijke motivatie om de privacywetgeving te vernieuwen heeft te maken met het creëren van een gelijk speelveld op het gebied van privacy in Europa. Momenteel heeft ieder land nog eigen regels. Er is wel een Europese Privacy richtlijn (Data Protection Directive 95/46/EC) met voorschriften, maar de parlementen van de lidstaten mogen zelf bepalen hoe ze die richtlijn willen vertalen naar nationale wetgeving. De GDPR (of AVG) is echter een verordening, een soort superwet die boven de wetgeving van nationale staten staat. Na 25 mei hebben we daardoor in Europa overal dezelfde privacywetgeving.

Vallen competenties ook onder bijzondere persoonsgegevens?

Dit valt te bezien, als men een lidmaatschap van een vakbond of andere vereniging als competentie beschouwt wel. Competenties gericht op vaardigheden worden niet gezien als bijzonder persoonsgegevens.

Is het een maximale bewaartijd van data volgens de AVG?

Hoewel de AVG geen concrete bewaartermijnen benoemd worden er wel richtlijnen afgegeven die verschillen tussen kandidaat en medewerker. De bewaartermijnen dienen in de privacy verklaring te worden opgenomen. De bewaartermijn voor een kandidaat is:

  • 4 weken na afronding van een sollicitatieproces (aangenomen/afgewezen) of
  • 12 maanden na afronding van een sollicitatieproces (aangenomen/afgewezen)U kunt er voor kiezen om na 12 maanden de kandidaten die u zou opschonen te benaderen en te vragen of u deze gegevens voor een termijn van 12 maanden mag blijven bewaren.
    Voor aangenomen kandidaten (medewerkers) gelden andere bewaartermijnen omdat zij ook vallen onder de Nederlandse belastingwet. Daarin wordt aangegeven dat je deze gegevens 7 jaar dient te bewaren.

Mag je zonder toestemming / informeren, persoon gegevens vanuit LinkedIn opslaan in Carerix ?

Gegevens kunnen op directe en op indirecte wijze worden verzameld. Bij de directe wijze geeft de kandidaat rechtstreeks gegevens door, bijvoorbeeld via een sollicitatieformulier. Bij de indirecte wijze worden de gegevens via een externe bron verzameld. Dit gebeurt bijvoorbeeld als een recruiter gegevens over de kandidaat uit LinkedIn haalt. Als de gegevens direct van de kandidaat komen, dan dient het privacy statement te worden verstrekt op het moment dat de persoonsgegevens doorgegeven worden. Dit kan door een link naar het privacy statement op te nemen op het sollicitatieformulier. Het privacy statement moet minimaal de volgende informatie bevatten:

  • Identiteit en contactinformatie van de verwerkingsverantwoordelijke
  • Doel en wettelijke basis voor de verwerking
  • De legitieme belangen van de verwerkingsverantwoordelijke (als deze van toepassing is)
  • Eventuele ontvangers (of categorieën van ontvangers) van de persoonsgegevens (bijvoorbeeld eventuele verwerkers)
  • Informatie omtrent het doorsturen van de persoonsgegevens naar een derde land (buiten EU), indien van toepassing
  • De bewaartermijn, of de criteria waarmee de bewaartermijn bepaald wordt
  • De betrokkene dient gewezen te worden op de rechten die hij heeft
  • De betrokkene dient gewezen te worden op het recht om zijn toestemming voor de verwerking in te trekken
  • De betrokkene dient gewezen te worden op zijn recht om een klacht in te dienen bij de toezichthouder
  • Als gebruik wordt gemaakt van geautomatiseerde besluitvorming dient dit vermeld te worden

Wanneer gegevens op indirecte wijze worden verzameld, bijvoorbeeld via LinkedIn, gelden dezelfde eisen als hierboven zijn aangegeven. Daarnaast moet je duidelijk aangeven welk soort (categorie) gegevens je hebt verwerkt en welke bron je hiervoor gebruikte.De betrokkene dient binnen een redelijke termijn (in ieder geval binnen een maand na verwerking) geïnformeerd te worden over bovenstaande punten. Als de persoonsgegevens verwerkt worden om te communiceren met de betrokkene, dan dient deze informatie op zijn laatst tijdens het eerste contact met de betrokkene verstrekt te worden.

Hoe zit het bij ‘het recht van vergetelheid’ met andere wetten (e.g. Wwft) waarbij je langer data moet bewaren?

De wet stelt expliciet in het artikel over grondslag voor verwerking dat gegevens bewaard mogen (moeten dus in dit geval) worden als er hiermee aan een wettelijke plicht voldaan moet worden. Fiscale wetgeving, Archiefwet zijn hier mooie voorbeelden van. Het vergeet recht is belangrijk voor kandidaten wanneer zij niet meer in een data base of account bekend willen zijn en dus ook geen meldingen daarvan willen ontvangen.
De Wwft legt verplichtingen op aan:

  • Verkopers van goederen
  • Bemiddelaars bij aan- en verkoop van goederen
  • Makelaars en bemiddelaars in onroerende zaken
  • Taxateurs van onroerende zaken
  • Exploitanten van pandhuizen en domicilieverleners
  • Financiële instellingen, zoals banken, geldwisselkantoren, casino’s, trustkantoren, beleggingsinstellingen en bepaalde verzekeraars
  • Vrije beroepsbeoefenaren, zoals notarissen, advocaten, accountants, belastingadviseurs en administratiekantoren

Is het aanstellen van een FG (functionaris Gegevensbescherming) verplicht volgens de wet?

De verordening stelt dat het aanstellen van een Functionaris Gegevensbescherming in ieder geval verplicht is in situaties waarbij:

  • De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken
  • Een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  • De verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 (bijvoorbeeld medische gegevens) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.Daarnaast kan nog Unierechtelijk of lidstaatrechtelijk worden bepaald dat ook voor andere situaties het aanstellen van een Functionaris Gegevensbescherming verplicht is. Ook is het te adviseren om een rol als functionaris gegevensbescherming aan te stellen om bewustwording rondom privacy in de organisatie te vergroten.

Moet er een dataregister bijgehouden worden wanneer een organisatie 250 medewerkers heeft?

Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. De verwerkers verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen.Een organisatie met minder dan 250 personen in dienst hoeft alleen een register bij te houden bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens), wanneer structureel persoonsgegevens verwerkt worden, of bij het verwerken van gevoelige gegevens.
Bij de verantwoordelijke bevat het register de volgende informatie:

  • De naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger, wanneer de verantwoordelijke buiten de EU is gevestigd), en van de functionaris voor gegevensbescherming (indien aanwezig).
  • De doeleinden waarvoor gegevens worden verwerkt
  • De categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens)De categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers).
  • De categorieën ontvangers (aan wie worden de gegevens verstrekt?)
  • Informatie over eventuele doorgifte van gegevens naar landen buiten de EU
  • De bewaartermijnen van de gegevens.
  • De manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering). Bij de verwerker is het register georganiseerd per verantwoordelijke.
    Verwerkers registreren per verantwoordelijke voor wie zij werken:
  • De naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers) en (indien aanwezig) de functionaris voor gegevensbescherming
  • De categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke)informatie over eventueel doorgifte van gegevens naar landen buiten de EU
  • De manieren waarop gegevens zijn beveiligd.Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.

Is een PIA (Privacy Impact Assessment) verplicht? Zo ja, wanneer?

Een Privacy Impact Assessment is een voorafgaand onderzoek naar de privacy-effecten van een project zoals een nieuw ICT systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van mensen. Doel is risico’s voor de privacy in een vroeg stadium in kaart te brengen, en maatregelen te bedenken waarmee deze kunnen worden geminimaliseerd.Een PIA is verplicht wanneer het project hoge risico’s voor de privacy van betrokken personen oplevert. Voorbeelden daarvan zijn wanneer u automatisch beoordelingen van personen gaat uitvoeren (zoals het weigeren van kandidaten of het detecteren van fraude), wanneer u gevoelige gegevens zoals over gezondheid of etnische afkomst gaat gebruiken of wanneer u de openbare ruimte gaat monitoren, bijvoorbeeld met camera-toezicht. Ook het op grote schaal combineren van bestanden (zoals bij big data analyses) vereist een PIA.

Wat verwacht Carerix precies van ons op het gebied van GDPR?

Organisaties zijn eind verantwoordelijk voor eigen privacy en beveiliging beleid en processen wanneer het gaat om de verzameling en verwerking van persoonsgegevens. Het is dus belangrijk dat organisaties goed kijken naar eigen processen en beleid en actie ondernemen op risicovolle processen rondom het verzamelen en verwerken van gegevens. Carerix als verwerker kan hierin ondersteunen en faciliteren bij behoefte.

Wij zoeken vaak ook in Linkedin/ Monsterboard etc naar goede kandidaten en nemen die op in Carerix. Mag dat nog?

Ja dit mag nog, dit wordt indirecte verzameling genoemd. De betrokkene dient binnen een redelijke termijn (in ieder geval binnen een maand na verwerking) geïnformeerd te worden over bovenstaande punten. Als de persoonsgegevens verwerkt worden om te communiceren met de betrokkene, dan dient deze informatie op zijn laatst tijdens het eerste contact met de betrokkene verstrekt te worden.

Wij doen ook aan Project Staffing en is er een verschil tussen het houden van gegevens (type en duur) tussen werknemers en kandidaten.Al is elke werknemer eerst een kandidaat. Hoe maak je het verschil?

Het verschil ligt aan de wijze hoe het applicatie landschap is opgebouwd.Kandidaten staan geregistreerd in een ATS systeem en medewerkers in een HR back office systeem.Wanneer een kandidaat een medewerker wordt kan men er voor kiezen het ‘kandidaat’ type te wijzigen in een ‘medewerkers’ type met daarbij de periode van contract.

Gaat Carerix een standaard verwerkingsovereenkomst aan met alle klanten / recruitmentbureaus?

Ja

Graag nog een keer duidelijk de rollen. Wie is eindverantwoordelijk, wie verwerker als je als W&S organisatie gebruik maakt van software van een 3e partij (bv Carerix)

Een werving & selectie organisatie is altijd eind verantwoordelijke voor het verzamelen en verwerken van persoonsgegevens. Een derde partij als Carerix die Software levert wordt de verwerker genoemd.

Wij doen ook aan Project Staffing en is er een verschil tussen het houden van gegevens (type en duur) tussen werknemers en kandidaten. Al is elke werknemer eerst een kandidaat. Hoe maak je het verschil?

Het verschil ligt aan de wijze hoe het applicatie landschap is opgebouwd.Kandidaten staan geregistreerd in een ATS systeem en medewerkers in een HR back office systeem.Wanneer een kandidaat een medewerker wordt kan men er voor kiezen het ‘kandidaat’ type te wijzigen in een ‘medewerkers’ type met daarbij de periode van contract.

Hoe wordt het gecontroleerd dat je gegevens langer dan 12 maanden bewaart?

Controle kan plaats vinden op basis van de datum van aanmaak in je systeem of er wordt een melding gemaakt door een kandidaat.Die wordt benaderd na 12 maanden, wanneer hij/zij geen toestemming hiervoor heeft gegeven.

Als wij na termijn van 12 maanden de kandidaat een automatische mail sturen dat we graag de gegevens voor weer 12 maanden willen bewaren met voorwaarde dat iemand niet reageert akkoord gaat, mag dat?

De wet stelt dat er altijd een expliciete toestemming gegeven moet zijn. Als een kandidaat niet reageert op de verzonden mail, dan moeten de gegevens binnen aanzienlijke termijn verwijderd worden. Bij belangrijke kandidaten is het daarom raadzaam om ze ook telefonisch te benaderen (dat geeft overigens ook weer een contact moment).

Hoe ga je om met telefonische toestemming van een kandidaat? Zal dit te weinig zijn bij de nieuwe wetgeving?

Telefonische toestemming is volgens de wet ook een indirecte verzameling (zoals LinkedIn) er dient na het telefoon gesprek een privacy verklaring uitgestuurd te worden waar de persoon akkoord op kan geven als documentatie/registratie.

Wat biedt Carerix dan aan om gegevens te anonimiseren?

In Carerix kunnen kandidaten geanonimiseerd worden met een druk op de knop. Een kandidatenrecord wordt bij het anonimiseren als het ware ‘schoongeveegd’. Het record blijft bestaan maar alle gegevens die het mogelijk maken om het record terug te leiden naar een natuurlijk persoon worden verwijderd. Denk hierbij aan attachments, activiteiten maar ook de naam, contactgegevens en eventuele notities worden gewist. Doordat het record blijft bestaan gaat historische kwantitatieve informatie niet verloren. Zo kunt u nog altijd terug zien hoeveel kandidaten u ooit op een bepaalde vacature hebt gematcht zonder dat u dus (van alle records) kunt zien wie dat daadwerkelijk was/waren.Anonimiseren is mogelijk na activatie van de Privacy Restrictions in de algemene instellingen. Deze instelling kan geactiveerd worden door uw Carerix beheerder. Kandidaten kunnen individueel (vanuit het dossier) of met meerderen tegelijkertijd (vanuit het overzicht) worden geanonimiseerd.

Komt er ook een automatische mail waarbij kandidaten bij kunnen tekenen voor een nieuwe periode van 12 maanden?

Ja, vanuit Carerix zal er een standaard mailtemplate worden aangeboden dat voor dit doeleinde kan worden ingezet.

Krijgen we straks dus bijvoorbeeld nog Monsterboard en NVB databases met uitsluitend kandidaten die max 12 maanden oud zijn of is dat anders?

Ook Monsterboard en NVB krijgen te maken met de GDPR zij dienen ook te voldoen aan de wetgeving. Het is echter zo dat kandidaten zelf controle hebben over een account en wanneer zij vergeten willen worden zal dit account verwijderd worden.
De 12 maanden gelden voor wanneer de kandidaat in de data base van uw organisatie komt.

Kun je in Carerix geautomatiseerd anonimeseren?

Ter voorkoming van gegevensverlies is het niet mogelijk om geautomatiseerd gegevens te anonimiseren/wissen. Wel is het mogelijk om geautomatiseerd kandidatenrecords te labelen (denk aan groepen of statussen) om ze gemakkelijk te kunnen verzamelen. Dit vergt enige procesinrichting in Carerix maar kan op velerlei manieren plaatsvinden. Het is zo mogelijk om op regelmatige basis een controle te doen op ‘te anonimiseren kandidaten’ en de anonimisering plaats te laten vinden.

Als ik iedereen anoniem maak dan heb ik toch niets meer aan de inhoud omdat ik toch niet meer weet om wie het gaat?

Met anonimseren worden persoonlijke gegevens weggehaald, de kandidaat staat nog in de database zonder persoonsgegevens en zijn er dus nog mogelijkheden voor bijvoorbeeld rapportage doeleinde.

Is er een een bepaalde standaardtekst voor een privacy statement die bureaus straks kunnen gaan gebruiken? Is die al door een jurist geschreven?

Er is geen standaard privacy statement beschikbaar. Een privacy statement moet voldoen aan de volgende kenmerken:

  • Beknopt
  • Transparant
  • Begrijpelijk
  • Gemakkelijk toegankelijk

Deze eisen dienen ervoor te zorgen dat een kandidaat weet waar hij aan toe is op het gebied van zijn privacy. Afhankelijk van de manier waarop de gegevens van de kandidaat verzameld worden, is er een aantal specifieke eisen waaraan een privacy statement moet voldoen. Gegevens kunnen op directe en op indirecte wijze worden verzameld. Bij de directe wijze geeft de kandidaat rechtstreeks gegevens door, bijvoorbeeld via een sollicitatieformulier. Bij de indirecte wijze worden de gegevens via een externe bron verzameld. Dit gebeurt bijvoorbeeld als een recruiter gegevens over de kandidaat uit LinkedIn haalt.
Het privacy statement moet minimaal de volgende informatie bevatten:

  • Identiteit en contactinformatie van de verwerkingsverantwoordelijke
  • Doel en wettelijke basis voor de verwerking
  • De legitieme belangen van de verwerkingsverantwoordelijke (als deze van toepassing is)
  • Eventuele ontvangers (of categorieën van ontvangers) van de persoonsgegevens (bijvoorbeeld eventuele verwerkers)
  • Informatie omtrent het doorsturen van de persoonsgegevens naar een derde land (buiten EU), indien van toepassing
  • De bewaartermijn, of de criteria waarmee de bewaartermijn bepaald wordt
  • De betrokkene dient gewezen te worden op de rechten die hij heeft
  • De betrokkene dient gewezen te worden op het recht om zijn toestemming voor de verwerking in te trekken
  • De betrokkene dient gewezen te worden op zijn recht om een klacht in te dienen bij de toezichthouder
  • Als gebruik wordt gemaakt van geautomatiseerde besluitvorming dient dit vermeld te worden

In geval van een franchise formule, met als centrale systeem Carerix, hoe kun je dan de verantwoordelijkheid regelen?

Carerix blijft de verwerker van gegevens, de eind verwerkings verantwoordelijkheid ligt bij de franchisenemers.

Wat is GDPR?

GDPR is een privacywet die ervoor moet zorgen dat bedrijven de privacy-rechten van individuen respecteren. GDPR biedt individuen meer controle over hun persoonlijke data, zorgt voor meer transparantie rondom het gebruik van data en vereist beveiliging en controles om data te beschermen. GDPR heeft impact op alle organisaties en alle processen van marketing en sales tot aan klantenservice en administratie.

Op welk moment gaat GDPR in?

Vanaf 25 mei 2018 moeten alle organisaties aan de wet voldoen. Het is een Europese regeling en niet slechts een richtlijn, dus hij is direct bij invoering geldig voor alle landen in de Europese Unie en ook van toepassing voor alle partijen daarbuiten die in de EU zaken doen.

Op welke data is de wet van toepassing?

  • GDPR is van toepassing op alle persoonsgegevens en gegevens die individueel of in onderlinge samenhang herleidbaar zijn tot een individu. Dat kan variëren van een naam, een foto, een e-mailadres, bankgegevens, posts op sociale media, medische gegevens, tot een IP-adres, een MAC-adres en tracking cookies van je website. Dit is nieuw ten opzichte van de oude privacywetgeving. Je moet dus grip krijgen op alle contactmomenten, kanalen en gegevens die worden vastgelegd.
  • GDPR is niet van toepassing op anonieme data of geanonimiseerde data, waarbij de gegevens die niet meer terug herleidbaar zijn tot individuen.
  • De regelgeving strekt zich uit tot alle persoonsgegevens die tot individuen herleidbaar zijn en maakt geen onderscheid tussen persoonlijke en zakelijke relaties (B2B), zowel van kandidaten als van (potentiële) opdrachtgevers. Dus als je een e-mail stuurt naar een potentiële opdrachtgever op een info@ e-mailadres dan heb je geen toestemming nodig, maar voor een e-mail naar persoonsnaam@website.nl dan heb je voortaan een expliciete opt-in toestemming nodig. Net zoals in de consumentenmarkt (B2C) moet je kunnen bewijzen dat je deze toestemming hebt verkregen en hoe deze is verkregen.
  • De impliciete toestemming (soft opt-in) waarbij je alleen de mogelijkheid van opt-out biedt is niet langer toegestaan. Het uploaden van deelnemerslijsten van bijvoorbeeld events in de marketingdatabase of CRM-systeem is niet meer toegestaan zonder expliciete opt-in, evenals het gebruik van ingekochte bestanden met leads. Ook deze dienen opt-in compliant te zijn. Zelfs de persoonlijke contacten van salesmedewerkers kunnen niet zomaar toegevoegd worden aan het CRM-systeem. Ook hiervoor zul je moeten kunnen aantonen wanneer en hoe er toestemming is verleend. Tenslotte ben je verplicht om te checken of alle partijen waarmee je gegevens uitwisselt ook GDPR compliant zijn voor hun dataverzameling.

Wat moet je doen volgens GDPR?

  • Geef bondig aan welke gegevens je over een persoon opslaat, waarom, wat je ermee gaat doen en met welke organisaties je deze gegevens gaat delen.
  • Vraag expliciete toestemming voor elk doel van gebruik die je van de gegevens gaat maken. Doe aan dataminimalisatie.
  • Zorg voor goede beveiligingsmaatregelen om de persoonsgegevens te beschermen tegen misbruik en datalekken.
  • Als je de data deelt met andere organisaties sluit dan met hen een verwerkersovereenkomst waarin je afspraken maakt over de bewaartermijnen en de beveiliging van de persoonlijke gegevens.
  • Je blijft altijd verantwoordelijk voor de persoonsgegevens die je opslaat en verwerkt, dus controleer regelmatig of de gegevens adequaat beveiligd zijn.
  • Geef ieder individu waarover je data opslaat de mogelijkheid om haar gegevens in te zien, te corrigeren, te verwijderen en eenvoudig over te zetten naar andere organisaties.
  • Meld een datalek direct aan de Autoriteit Persoonsgegevens.
  • Design je processen zodanig dat privacy een automatische borging heeft.

Welke wettelijke basis voor de verwerking zijn er?

In principe zijn er 6 grondslagen:

  • De betrokkene heeft toestemming gegeven voor de verwerking: Bv. potentiële kandidaten geven expliciet toestemming om persoonsgegevens te bewaren voor het ontvangen van nieuwsbrieven en vacatures;
  • Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is, of geschiedt op verzoek van de betrokkene voor de sluiting van een overeenkomst: Bijvoorbeeld contactgegevens die noodzakelijk zijn voor contractuitvoering voor opdrachtgevers;
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke: Bijvoorbeeld identiteitsgegevens voor verantwoording ziekteuitkering en loonbelasting;
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen: NVT De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang: NVT
  • De verwerking is noodzakelijk voor de behartiging van de legitieme belangen van de verwerkingsverantwoordelijke: Bijvoorbeeld sales zonder initiële contactgegevens niet mogelijk om überhaupt in contact te komen.Deze grondslagen moet je onderbouwen in het verwerkingsregister per verwerking waarvoor je persoonsgegevens gebruikt.

Wat is een handige aanpak voor GDPR?

Wij stellen een hele praktische aanpak voor. Start met twee van de 8 documenten (zie vraag 2) die je moet maken (actielijst en verwerkingsregister). Op basis daarvan krijg je lijst van acties die je moet afhandelen. Inclusief de andere documenten. Omdat je praktisch start wordt snel inzicht groter en aantal te regelen aspecten duidelijk.
Aanpak:

Capaciteit en middelen vrijmaken

  • Projectdoel en einddatum voor implementatie en beheer
  • Zorg voor business-kennis, kennis over de wetgeving en ervaring met proces- en gegevensmodellering
  • Selecteer medewerkers met affiniteit voor processen en gegevensstromen
  • Geef ze de tijd en gelegenheid om dit werk te doen
  • Blijf er als directie zelf bovenop zitten, en geef het goede voorbeeld

Start concreet en klein

  • Begin niet met overall beleid, maar start heel concreet met voorbeelden om kennis, ervaring en gevoel op te bouwen waar het om gaat
  • Leer hoe je werkt, welke info je nodig hebt, welke keuzen je kan maken (meer data is niet beter)
  • Start dus met het maken van document 4 (verwerkingsregister) en 8 (actielijst)

Doe dit voor alle processen die persoonsgegevens bevatten

  • Start met primaire proces en hoe je met kandidaten en relaties wilt omgaan
  • Best omvangrijk (recruitment, plaatsingen, verloning, maar ook marketingacties, interne personeelsadministratie, etc.).
  • Privacy Impact Assessment per bewerking

Alles wat je niet weet wordt actiepunt met datum

  • Je gaat heel veel dingen tegenkomen die nu nog niet oké zijn, maar waar 1-2-3 een keuze maken lastig is
  • Laat je daar niet door tegenhouden, schrijf het op als actiepunt (document 8) en ga door

Abstraheer de pragmatische exercities tot beleid

  • Sommige keuzes heb je al wel gemaakt, sommige keuzes niet
  • Je ziet dat bepaalde keuzes meerdere keren terugkomen en dus meer beleidsmatiger zijn
  • Pak ze op, schrijf ze op, en maak nu ook de meer beleidsmatige keuzes

Rest van de documenten maken en organisatie opzetten

  • Bepaal hoe je wat je nu hebt opgebouwd wilt onderhouden
  • Bepaal hoe je om wilt gaan met verzoeken van particulieren
  • Bepaal hoe je om wilt gaan met datalekken
  • Wijs verantwoordelijkheden toe aan rollen
  • Review in directiemeeting en na implementatie in normale managementproces opnemen

Welke documenten heb je nodig?

Data privacy beleid

  • Hoe de organisatie met data privacy om gaat en om wil gaan
  • Welke contextuele factoren incl. wetgeving relevant zijn ivm persoonsgegevens
  • Overzicht van het data privacy managementsysteem incl. documentatie

Rollen, verantwoordelijkheden en managementproces

  • Verwerkingsverantwoordelijken, Data Privacy Officer, data privacy teamleden (RACI)
  • Managementproces (reviews) voor initiële implementatie
  • Management proces voor continue beheer

Gedragsregels in bedrijf

  • Privacy cultuur
  • Procedures ingebed in dagelijkse werkprocessen
  • Gebruik ICT middelen (bv. wel of niet eigen telefoon en email)

Verwerkingsregister

  • Verwerkingen, persoonsgegevens, betrokkenen, ontvangers, doelbinding, bewaartermijn, beveiliging
  • Afspraken met derde partijen (Verwerkers): contracten, SLAs en Verwerkersovereenkomsten
  • Afspraken met derde partijen (Verantwoordelijken): contracten, welke persoonsgegevens, waarom

Procedures voor data privacy verzoeken

  • Verzoek om inzage van persoonsgegevens door klantcontacten, kandidaten, medewerkers, etc
  • Verzoek tot het verwijderen van persoonsgegevens
  • Verzoek tot het opleveren van persoons in overdraagbaar format

Verklaringen

  • Cookie gebruik
  • Privacy verklaring
  • Responsible disclosure (het wanneer en hoe onthullen en afhandelen van een kwetsbaarheid in software en producten)

Datalek-procedure en -register

Document met openstaande actiepunten

 ( actie-eigenaar, realisatiedatum, etc.) = werkdocument

Moeten kleine bedrijven(recruiter met 3 medewerkers) ook alle 8 documenten maken?

De eisen vanuit de AVG zijn hetzelfde voor een kleine als ook voor een grote organisatie. Maar … beleid kan in 100 pagina’s maar ook in 1 of 2. En rollen en verantwoordelijkheden kunnen in hele dikke documenten beschreven worden, maar ook pragmatisch in een kort documenten. Kortom: het heeft ook heel veel te maken met de stijl van degene die de lead neemt in het AVG traject binnen jouw organisatie.

Als ik iemand vergeet wilt door een UB maar zijn/haar cv op een Monsterboard of NVB staat, kan ik of een collega hem/haar de volgende dag/week/maand weer benaderen. Hoe los je dit op?

Het verwerken van de CV in jouw voorbeeld is de verantwoordelijkheid van Monsterboard. Als jij met jouw uitzendbureau dus netjes, op verzoek van de kandidaat, zijn/haar gegevens hebt verwijderd, dan ben jij “safe”/correct. Als de man/vrouw zich zelf heeft ingeschreven bij Monsterboard c.q. daar de CV heeft achtergelaten, dan is het zijn eigen verantwoordelijkheid om Monsterboard te vragen om de persoonsgegevens te verwijderen. Doet hij dat niet, dan blijven de gebruiksvoorwaarden van Monsterboard er voor zorgen dat iemand benaderd mag worden.

Als iemand vergeten wilt worden…

Dan zal diegene jullie benaderen via mail of een website die je er voor inricht. Je zult dan de vraag moeten loggen. Je zult dan alle informatie waar geen wettelijke bewaarplicht voor is (omdat gewerkt heeft voor je of ziek geweest is tijdens werk) moeten verwijderen. Ook als diegene eerder toestemming heeft gegeven om het te bewaren of jezelf in je statement hebt gezegd dat je het voor een langere tijd wilt bewaren.Daarvoor is het ook handig om een verwerkingsregister te hebben en te weten waar gegevens van die persoon kan staan.Vaak zal de persoon ook vragen welke gegevens je van hem of haar hebt staan. Dan zul je daar een overzicht van moeten geven. We hebben eerder de vraag gehad of je dan nog snel even gegevens mag verwijderen, maar dat is in strijd met de AVG en wetgeving.

Volstaat archiveren ook?Als je een gearchiveerde kandidaat opnieuw in het systeem laadt, komt het oude dossier weer boven water. Door te anonimiseren raak je echt gegevens kwijt. Anonimiseren zorgt er in feite alleen voor dat je rapportages intact blijven.

Archiveren is dus inderdaad geen alternatief voor verwijderen. Je mag archiveren, natuurlijk mag dat, maar dan geldt het nog steeds als dat het persoonsgegevens zijn die verwerkt wordt. Dat betekent dus dat als je besluit om gegevens te verwijderen, je ook alle oude backups, archieven, etc. onder handen moeten nemen.

Hoe gaan we om met persoonsgegevens die in mails achter blijven?

Die zullen ook verwijdert moeten worden als het communicatie met die persoon is. Als gegeven over die persoon met potentiële opdrachtgever gebruikt worden in communicatie zal deze ook verwijdert moeten worden.Handig is om met potentiële opdrachtgever een beperkte bewaartijd af te spreken als diegene niet geplaatst wordt. En Carerix te gebruiken als mail systeem of een ander mailsysteem met GDPR functionaliteit, zodat je deze GDPR functionaliteit kan gebruiken om de mail gemakkelijker te verwijderen.

Mag je zonder toestemming gegevens uit een Linkedin profiel (op andere openbare kanalen) bewaren in Carerix? Of alleen de naam van de kandidaat en een verwijzing naar het Linkedin profiel?

De gebruiksvoorwaarden van Linkedin zorgen ervoor dat als iemand zijn contactgegevens op Linkedin zet hij/zij benaderd mag worden. Dat is nog wat anders als dat je die data overpompt naar Carerix. Dat laatste is heel prettig maar dat staat niet in de gebruiksvoorwaarden van LinkedIn. En dus moet je toestemming voor vragen aan de potentiële kandidaat.

Iemand laat zijn gegevens achter op Linkedin. Mag ik die persoon contacteren om jobs voor te stellen? Mag ik zijn/haar gegevens in mijn database zetten?

Je mag diegene benaderen. Hij/zij heeft zelf de gegevens online gezet. Om ze in je eigen database te bewaren zul je toestemming moeten vragen. Dat kan door je vraag te stellen en te vragen om toestemming te gegeven om gegevens te bewaren.

Betekent dit dat de Linkedin browser in Carerix er ook uit gaat?

Carerix is verantwoordelijk voor de technische werking en de functioneel werking. OF je het wel of niet toepast is aan de gebruiker, aan ons dus. Als Carerix een optie biedt om het uit te zetten, dan is het oké. En voor ons: als iemand wel toestemming geeft, dan kun je het toch overpompen vanuit LinkedIn naar CRX. Dus dat het er is, is wel fijn …

Moet de klokkenluider ook bewijslast aanleveren?

Elk persoon kan een klacht indienen bij de Autoriteit Privacy Gegevens. Deze zullen in behandeling genomen moeten worden. Dit kan een klacht zijn omdat er niet gereageerd wordt, of dat er twijfels zijn over de data die opgegeven is. Of dat er het vermoeden is dat de gegevens langer bewaard worden dan is aangegeven. De bewijslast ligt dan bij het aangeklaagde bedrijf om te bewijzen dat de processen en documentatie in orde is. Dat is de reden dat de 8 documenten essentieel zijn. Omdat hieruit moet blijken hoe je je processen op orde hebt.

Hoe zit het met bedrijfsgegevens. Bijvoorbeeld een mailadres van een persoon binnen een bedrijf ‘Pietje@bedrijfX.nl’, mag je deze ook niet meer zonder toestemming bewaren?

Alle gegevens die te herleiden zijn tot personen vallen onder deze wetgeving. Dus ook de zakelijke contactgegevens, behalve als het algemeen nummers zijn van bedrijven of afdelingen, die niet tot een persoon te herleiden zijn.

Moet ik al mijn kandidaten die momenteel in Carerix staan een mail sturen met de vraag of ik hun gegevens mag bijhouden?  Kan je de verantwoordelijkheid bij hen leggen

(vb. als ik geen antwoord krijg binnen de week dat ze toestemming geven?) Nee, je kunt de verantwoordelijkheid niet bij de ander leggen. Zonder de toestemming kun je geen gegevens bewaren. Als je bezig bent om toestemming te verkrijgen kun je de gegevens 30 dagen bewaren. De vraag is natuurlijk waarom je gegevens langer wilt bewaren van iemand die niet reageert op je mail.

Is een opt-in echt een must? Of kun je ook mondeling of telefonisch om toestemming vragen en dit in CX verwerken?

Er kleven enkele nadelen aan deze mondelinge werkwijze. Ten eerste is bewijsvoering lastiger. Of je moet de gesprekken opnemen (ook weer met toestemming). Ten tweede kan er discussie ontstaan of de vraag expliciet genoeg is en de consequenties voor de toestemmen voldoende duidelijk zijn (policy statement, etc.).Het schriftelijk vastleggen heeft sterk de voorkeur. In een bevestigingsmail kan een opt-in vink voor expliciete toestemming van het bewaren van persoonlijke gegevens opgenomen worden. Mag je als recruitment bureau gegevens onbeperkt bijhouden van kandidaten/sollicitanten?  Iemand die vandaag solliciteert kan binnen 10 jaar ook terug op zoek zijn?  Zijn daar adviezen over?Nee. Voor het bewaren van gegevens van een sollicitatie heb je in je eigen policy statement een termijn moeten opnemen. Bewaartermijn voor gegevens met toestemming geeft de Autoriteit Persoonsgegevens nu een richtlijn van 1 jaar. Wil je de gegevens langer bewaren, dan zul je nieuwe toestemming moeten vragen, of in je policy statement moeten onderbouwen waarom je de gegevens  bijvoorbeeld twee jaar wilt bewaren. In de sector is een bewaartijd van 12 tot 24 maanden na de afronding van een sollicitatie niet ongebruikelijk.

Mag je persoonsgegevens verwerken als je nog geen toestemming hebt, maar hier wel om gevraagd hebt?

Om contact op te nemen zul je ergens de contactgegeven moet opslaan. Je kunt dit in je privacy statement opnemen. Als je toestemming aan het vragen bent geldt er een termijn 30 dagen??

GDPR punt: de helpdesk van CX kan ongevraagd in onze CX omgeving komen. Dit lijkt mij een schending van de privacy wetgeving. Lijkt mij dat er middels bv Teamviewer altijd specifiek toestemming moet worden gevraagd. Dat is nu niet het geval. men kan met de naam van de omgeving direct in onze CX omgeving

Carerix zal in haar privacy statement en verwerkers-overeenkomst met haar klanten de grondslag moeten uitleggen. Bv dat om problemen met het systeem te verhelpen, Carerix in het operationele systeem moet kunnen werken. Het downloaden of elders bewaren van de gegevens kan daarin uitgesloten worden???

Ik zie ‘ervaring leert’ voorbij komen. Is dat gebaseerd op jurisprudentie? En welke jurisprudentie dan?

In grote lijnen: ja, het klopt dat de AVG eisen stelt maar die eisen dienen op vele terreinen nog geïnterpreteerd en geconcretiseerd te worden. De AVG zegt ook heel vaak dat JIJ je moet verantwoorden over de keuzes die je maakt ipv “je mag maximaal 365 dagen …”. Dat betekent dat er veel praktijkervaring wordt opgedaan, veel discussies in brancheorganisaties zijn, er op EU niveau een hele werkgroep (WP29) is die er veel over schrijft, etc. De NBBU en de ABU hebben bv. voor de flexbranche ook handleidingen geschreven die op velerlei vlakken een soort consensus bieden over wat “de branche“ vindt dat het zou moeten zijn. het woord “jurisprudentie” is dus veel breder bedoeld dan uitspraken van rechters.In recent uitgebrachte beleidsadvies van een adviesorgaan van de Europese Commissie (de Working Party 29, waarin de nationale toezichthouders vertegenwoordigd zijn) wordt aangegeven dat persoonsgegevens, die tijdens het recruitmentproces worden verzameld, in het algemeen verwijderd dienen te worden op het moment dat duidelijk is dat de kandidaat niet aangenomen wordt.Wil je de gegevens van de kandidaat behouden voor eventuele toekomstige vacatures en aanbiedingen, dan moet je de kandidaat hierover te informeren en toestemming vragen. Hij moet hierbij de mogelijkheid krijgen om hiertegen bezwaar te maken, waarna hij alsnog verwijderd dient te worden.(http://ec.europa.eu/newsroom/document.cfm?doc_id=45631)

Hoe lang mag ik kandidaat-gegevens bewaren?

We kunnen een vijftal fasen onderkennen in het proces met mogelijk een andere grondslag voor het bewaren van de persoonlijke gegevens en met verschillende bewaartermijn. Deze stel je vast in je eigen privacy statement.

1ste fase: Zoeken en vinden van potentiële kandidaten

Omdat er nog geen contact is met de kandidaat heb je nog geen toestemming kunnen verkrijgen. Om de kandidaat te kunnen benaderen zul je toch de bijvoorbeeld via social media, websites of aangekochte bestanden gevonden gegevens moeten kunnen gebruiken (check op AGV compliant van die partijen). En als je dit passend bij je focus profielen en niet in bulk doet, kan je een gerechtvaardigd belang aanvoeren om toch deze gegevens tijdelijk op te slaan (bijvoorbeeld 4 weken).Deze belangenafweging tussen het belang van de recruitment en het individuele belang zul je in je verwerkingsregister moeten onderbouwen en documenteren.

2de fase: Contact opnemen met potentiële kandidaten

Op het moment van contact kan toestemming gevraagd worden om de kandidaat te benaderen voor relevante vacatures. Dit kan via een duidelijke opt-in button. Tijdens dit proces van toestemming vragen kun je de gegevens 30 dagen in je database bewaren.Als je toestemming hebt verkregen kun je de persoonsgegevens in overeenstemming met de eigen policy statement de aangegeven termijn bewaard worden (richtlijn 12 maanden). En vervolgens contact opnemen over de afgesproken onderwerpen (nieuwsbrief, openstaande vacatures, gerichte vacatures, etc).

3de fase: Voorstellen van kandidaten / sollicitatie

Informatie die je verzameld over de persoon, relevant voor het welslagen van de vacature-invulling, zal je nadat duidelijks dat degene niet wordt voorgesteld, verwijderd moeten worden. Wil je de gegevens toch bewaren, zul je hiervoor apart toestemming moeten vragen.Dit geldt ook voor het delen van persoonsgegevens met potentiële opdrachtgevers. In je policy statement heb je vastgelegd hoe lang potentiële opdrachtgevers de persoonsgegevens mogen bewaren. Bijvoorbeeld 2 weken nadat een persoon is afgewezen alle gegevens door opdrachtgever te verwijderen. Er is namelijk geen grondslag om de gegevens langere bewaren. Als een opdrachtgever andere termijnen hanteert dan in je policy statement staat, zul je dit apart dienen te vermelden.Eigen bewaartermijn Sollicitatiegegevens: 1 jaar met toestemming, of afwijkende termijn als onderbouwd is in policy statement.

4de fase: Plaatsen

  • Na de plaatsing zullen een aantal gegevens wettelijk bewaard moeten worden.
  • Salarisadministratie voor fiscus: 7 jaar bewaarplicht.
  • Kopie identiteitsbewijs: 5 jaar na einde dienstverband
  • Verklaring Loonbelasting: 5 jaar na einde dienstverband
  • Personeelsfile: richtlijn 2 jaar (als onderbouwd kan worden)

5de fase: Contact houden na plaatsing voor mogelijke nieuwe plaatsing.

Na de plaatsing kun je toestemming vragen om ex-geplaatste in data base te houden voor andere doeleinden dan wettelijke vereisten. Dit is vergelijkbaar met fase 3.

Heeft u het antwoord gevonden?