Actueel Nieuws

Interview Flexmarkt – Veranderende privacywetgeving

Nieuws, 12 februari 2018

Lucy Guardiola, juriste bij de NBBU, is geinterviewd voor het magazine Flexmarkt over de veranderende privacywetgeving. U leest het hele interview hieronder:

Op het moment dat deze editie van Flexmarkt uw deurmat raakt, resteren nog slechts 112 dagen tot 25 mei 2018. ‘Nou en’, zegt u wellicht. Dat kunnen we uitleggen: 25 mei 2018 is de dag dat de Algemene Verordening Gegevensbescherming (AVG, zie ook kader) van toepassing wordt. En het is nu écht tijd dat u actie onderneemt. Dat vinden tenminste vele partijen, zoals de ABU, de NBBU, hoofdredacteur van ZiPconomy Hugo-Jan Ruts en Remco de Vijlder, manager Productmanagement en Consultancy bij Pivoton.

De oproep heeft vooral te maken met de hoeveelheid en complexiteit van onderdelen van de wetgeving. Zo wijst Lucy Guardiola, jurist bij de NBBU, op de vele extra eisen die de AVG heeft in vergelijking met de huidige Wet bescherming persoonsgegevens (Wbp). “Je kunt die splitsen in interne en externe eisen. Intern moet je bijvoorbeeld rekening houden met de documentatieplicht. Dat wil zeggen dat je alle persoonsgegevens die je verwerkt moet registreren, inclusief de reden waarom. Op die manier moet je als organisatie aantonen dat je de AVG naleeft. Een flexorganisatie heeft echter ook te maken met externe partijen, zoals opdrachtgevers en uitzendkrachten. Met hen moet je aparte overeenkomsten sluiten, zoals verwerkersovereenkomsten met leveranciers. Daarin staat hoe de betrokken partijen moeten omgaan met gegevens.”

Bewustwording

Alsof dit nog niet genoeg is, zijn er volgens Guardiola’s collega Severine Reudink, jurist arbeidsrecht bij de NBBU, meer extra eisen. “Het kan zijn dat voor jouw organisatie een functionaris gegevensbescherming nodig is. Verder moet je een actief beleid voeren op het gebied van datalekken.” Een aantal privacyzaken geldt ook nu al onder de Wbp. Volgens Hugo Jan Ruts is er echter een groot verschil dat voor veel aandacht zorgt. “Het is zaak dat je je echt wat aantrekt van die nieuwe privacywetgeving, want de boetes zijn hoog. Tot wel twintig miljoen euro of vier procent van de jaaromzet. In mijn ogen is een groot bewustzijn van wat er allemaal op ons afkomt een eerste vereiste.” Dat is De Vijlder van Pivoton, softwareleverancier voor de flexbranche, met hem eens. “De Autoriteit Persoonsgegevens zal naar verwachting flink uit de startblokken schieten en niet schromen om boetes uit te delen. Daarom moet er allereerst ‘awareness’ komen onder flexorganisaties. Verzamel info over de AVG, doe kennis op en laat je trainen. Denk niet dat het wel overwaait of dat het wel meevalt, maar verander je mindset en ga aan de slag om aan de nieuwe wet- en regelgeving te voldoen.”

Flinke klus

Dat laatste lijkt gemakkelijker gezegd dan gedaan. Met bewustzijn alleen red je het niet en het kan zijn dat je door de bomen het bos niet meer ziet. De NBBU heeft een stappenplan, een verwerkingsregister en modelovereenkomsten ontwikkeld om flexorganisaties door de komende maanden te loodsen (zie kader). De ABU ontwikkelde de Privacyscan Uitzendondernemingen, een uitgebreid hulpmiddel om risico’s binnen een onderneming boven tafel te krijgen. De scan voorziet zelfs in een adviesrapport op maat. Jeroen Brouwer, beleidsmedewerker juridische zaken bij de ABU, noemt het maken van een verwerkingsregister als handige beginstap. “Bewustwording onder alle medewerkers, denk dus zeker ook aan de intercedenten, is in feite de eerste stap. Daar hebben we als ABU ook flink in geïnvesteerd de afgelopen tijd. Maar daarna loont het om een verwerkingsregister te maken. Dat is een verplichting op grond van artikel 30 van de AVG. Met zo’n register krijg je goed inzicht in welke persoonsgegevens je verwerkt en met welke reden. Vervolgens kun je inventariseren wat daarvan nu wel en niet mag. Het register maken is een flinke klus, waarbij het handig is dat één persoon uit je organisatie dit coördineert. Goed om te weten: vormvereisten zijn er niet. Uiteraard zijn er wel inhoudelijker eisen. Wij hebben voor onze leden een model verwerkingsregister gemaakt in Excel.”

Zorgvuldige communicatie

Ruts noemt als concrete actiepunten enerzijds het zorgen voor goede, beveiligde IT-infrastructuur met een beheersplan voor calamiteiten. Anderzijds zorgvuldig communiceren, zeker naar kandidaten.“Dat klinkt wellicht simpel, maar je moet het wel doen. Je moet toestemming vragen om persoonsgegevens te verwerken. Je moet duidelijk maken wat je ermee gaat doen. Dit kan eenvoudig door bijvoorbeeld je website en je mailings aan te passen.” De Vijlder noemde al kennis opdoen en eigen processen in kaart brengen als praktische acties voor elke flexorganisatie. Hij voegt daaraan toe: houd er rekening mee dat betrokkenen hun rechten kunnen uitoefenen. Dus ken die rechten en let vervolgens goed op hoe je handelt. “Neem bijvoorbeeld het recht om vergeten te worden. Een flexkracht kan naar je toe komen met de vraag of al zijn gegevens kunnen worden verwijderd. Nu kun je op de delete-knop drukken, waarna alle persoonsgegevens in een klap zijn verwijderd. Maar als dan een halfjaar later de fiscus op de stoep staat en vraagt om bepaalde gegevens die je had moeten bewaren, heb je alsnog een probleem. Deze spanning tussen verschillende rechten en plichten kunnen wij wegfilteren met slimme technologie. Die gaat alle gegevens in een personeelssysteem een voor een langs en verwijdert alles wat niet langer bewaard mag worden, maar laat staan wat fiscaal bewaard moet blijven.”

Bonden bieden hulp

Los van dit soort slimme technologie is er ook nog de hulp die de bonden aan hun leden bieden. Jeroen Brouwer: “Wij helpen onze leden graag bij de implementatie. Met voorbeelddocumenten, FAQ’s, een stappenplan. Maar zeker ook door overleg te voeren met de Autoriteit Persoonsgegevens. Wij zien goedwillende leden nu al worstelen met vage normen uit de AVG. Bijvoorbeeld dat een organisatie ‘passende technische en organisatorische maatregelen’ moet nemen om gegevens te beschermen. Maar wat zijn dat dan voor maatregelen? Wij roepen de Autoriteit op om met concrete beleidsregels te komen op dergelijke punten. Al zijn zij weer gebonden aan het feit dat dit een Europese verordening is. Zij moeten een en ander dus ook op Europees niveau afstemmen.” Is er dan helemaal niets leuks te melden over de AVG? Jawel. De vier ondervraagden zijn eensluidend wat de kansen betreft die de AVG biedt. “Flexorganisaties kunnen zich nu extra profileren naar inleners en uitzendkrachten”, stelt Guardiola van de NBBU. “Je kunt jezelf onderscheiden wanneer je alles op het gebied van privacy goed op orde hebt.”