Handhaving van de nieuwe privacyregels komt er nu echt snel aan. Welke termen rondom de GDPR en AVG moet je nu echt kennen om goed voorbereid te zijn voor 25 mei 2018?
De General Data Protection Regulation, in goed Nederlands: de Algemene verordening gegevensbescherming of AVG, is ongetwijfeld hét gesprek van de dag onder recruiters, marketeers en intermediairs op de arbeidsmarkt. Welke begrippen komen dankzij deze wet onze woordenschat binnen? We noemen er 10. Ken jij ze allemaal al?
#1. Verantwoordingsplicht
Organisaties krijgen volgens de AVG een ‘verantwoordingsplicht’: ze moeten kunnen aantonen dat ze aan de privacyregels voldoen. Dit wordt ook wel accountability genoemd. Dit gaat niet alleen om dat je moet kunnen laten zien hoe je persoonsgegevens verzamelt, maar ook om hoe je ze (eventueel) verwerkt. Je moet bijvoorbeeld kunnen aantonen dat een verwerking voldoet aan beginselen als:
- rechtmatigheid;
- transparantie;
- doelbinding;
- juistheid.
Ook moet je kunnen laten zien dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. En aan de Autoriteit Persoonsgegevens moet je verantwoording kunnen afleggen over je gegevensverwerkingen als ze daar om vragen.
#2. Verwerkingsregister
Onder de nieuwe regelgeving zijn er veel bedrijven voor wie die verantwoordingsplicht verder gaat dan ooit tevoren. Bedrijven met meer dan 250 medewerkers, of bedrijven die veel met (bijzondere) persoonsgegevens werken, zijn ook verplicht een zogeheten ‘verwerkingsregister’ op te stellen.
Hoe een verwerkingsregister precies eruit moet komen te zien schrijft de AVG niet voor
Dat zal waarschijnlijk gelden voor veel recruiters en intermediairs op de arbeidsmarkt. Hoe zo’n register er precies uit moet komen te zien schrijft de AVG overigens niet voor. Wél welke informatie er in elk geval in moet, of je nu verantwoordelijke voor de gegevens bent, of alleen verwerker ervan.
#3. Gegevensbeschermingsbeleid
Nog zo’n mooie juridische term, kortweg ook wel ‘privacybeleid‘ genoemd, ofwel: het beleid waarmee je laat zien hoe je voldoet aan de AVG. Dit is onderdeel van je verantwoordingsplicht (zie #1). Je moet er onder meer in opschrijven welke categorieën persoonsgegevens je verwerkt, waarom je dat doet, wat daarvan de juridische grondslag is en hoe lang je die gegevens bewaart.
Een gegevensbeschermingsbeleid behelst wel iets meer dan alleen een online privacyverklaring
Zo’n beleid opschrijven is overigens niet altijd verplicht, maar loont zeker voor recruiters en intermediairs op de arbeidsmarkt al snel de moeite: je kunt er veel gedoe met de AP mee voorkomen. Bovendien werk je als recruiter al snel met zoveel persoonsgegevens dat je er sowieso wel verplicht toe bent. En let op: zo’n beleid behelst dus wel iets meer dan alleen een online privacyverklaring.
#4. Bewerkersovereenkomsten
Een voor recruiters heel belangrijke term is die van de bewerkersovereenkomsten (straks officieel verwerkersovereenkomsten genoemd). Daarbij gaat het namelijk om iedereen die voor jouw organisatie met de door jou verzamelde persoonsgegevens aan de slag gaat. Denk aan je ATS-leverancier, je assessmentbureau, of de leverancier van je videosollicitatiesoftware: het zijn er al snel meer dan je op het eerste gezicht misschien denkt.
Je hebt al snel meer bewerkers dan je op het eerste gezicht misschien denkt
Volgens de AVG ben je verplicht om met zo’n bewerker een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst. Daarbij gaat het bijvoorbeeld om wat voor gegevens je verzamelt, wat de verwerker daarmee mag doen, en hoe je de gegevens beveiligt. Ook leg je daarin vast wat de verwerker moet doen als een betrokkene bijvoorbeeld vraagt om recht op inzage of correctie van zijn gegevens.
#5. Privacy by design
De AVG verplicht bedrijven om twee principes te hanteren voor de manier waarop ze met persoonsgegevens omgaan. De eerste is: Privacy by design. Dat principe betekent dat IT-systemen en applicaties de persoonsgegevens standaard op het hoogste niveau moeten beveiligen en dat gebruikers geen extra handelingen hoeven te verrichten om hun gegevens te beschermen.
#6. Privacy by default
Het tweede leidende principe uit de AVG, privacy by default, betekent dat er standaard zo min mogelijk gegevens worden verwerkt. Dit principe vereist ook dat de standaardinstellingen van een product of dienst altijd zo vriendelijk mogelijk zijn voor de privacy van de gebruiker en dat je dus standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
#7. DPIA
Een acroniem van een data protection impact assessment. Er is ook een mooie Nederlandse term voor: gegevensbeschermingseffectbeoordeling (37 letters). Zo’n DPIA is een soort test die vooraf privacyrisico’s van een gegevensverwerking in kaart brengt en helpt om vervolgens passende maatregelen te nemen.
Vanaf 25 mei 2018 is zo’n DPIA verplicht voor veel organisaties, zodra een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Om wat voor verwerkingen het precies gaat? Dat is nog niet definitief duidelijk. De Europese privacytoezichthouders hebben wel heel recent – in oktober 2017 – de (definitieve) ‘Guidelines on Data Protection Impact Assessment’ gepubliceerd die meer uitleg geven over zo’n DPIA.
#8. Dataportabiliteit
Ook wel: het recht van overdraagbaarheid. Het recht op dataportabiliteit is een van de nieuwe rechten die burgers krijgen met de AVG. Door dit recht moet je ervoor zorgen dat personen makkelijk de gegevens kunnen krijgen die jij over hen hebt opgeslagen, in een formaat dat gestructureerd, veelgebruikt en machineleesbaar is.
‘Ook nieuw: het recht op vergetelheid. Daarbij moet de organisatie niet alleen meer bij zichzelf gegevens verwijderen’
Het is een van de vele in de AVG genoemde rechten van burgers, naast bijvoorbeeld het recht op vergetelheid. Ook dit recht is nieuw. Burgers hadden al langer het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
En bij persoonsgegevens gaat het best ver. Ook aantekeningen van sollicitatiegesprekken, verrijkte gegevens via derden of andere kenmerken zoals toegekende talentpools horen er bijvoorbeeld bij. Daarnaast hebben kandidaten het recht om de gegevens in te zien of te wijzigen. Het is dus slim om hiervoor processen in te richten om dit goed te organiseren. Zo’n verzoek van een betrokkene moet je namelijk binnen 1 maand beantwoorden.
#9. DPO
Nog een nieuwe term die in de AVG wordt gelanceerd is de ‘Functionaris gegevensbescherming’ (FG) of Data Protection Officer. Zo’n DPO heeft als taak om in de gaten te houden of de AVG wordt nageleefd en meldt eventuele datalekken.
Een DPO moet de vinger op de zere privacy-plek kunnen leggen
Onder meer overheidsinstanties, publieke organisaties en partijen die op grote schaal met (bijzondere) persoonsgegevens verwerken, zijn verplicht zo’n functionaris aan te stellen. Maar ook andere organisaties kunnen er baat bij hebben iemand dit in zijn takenpakket mee te geven. Al is het maar omdat zo iemand de vinger op de zere privacy-plek moet kunnen leggen. In vacatures komt de term overigens nog niet zoveel voor, zo blijkt. Maar wat niet is kan nog komen.
#10. Leidende toezichthouder
Werk je voor een bedrijf dat ook internationaal werkt? Dikke kans dat je dan niet te maken hebt met de Nederlandse AP, maar met een andere autoriteit in Europa. De AVG gaat namelijk uit van de zogeheten onestopshop-regel, wat inhoudt dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder te maken krijgen.
De AVG gaat uit van de zogeheten onestopshop-regel: je krijgt maar met één toezichthouder te maken
Dit wordt de ‘leidende toezichthouder’ of lead supervisory authority genoemd. De hoofdregel is trouwens dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.
Kom naar het GDPR-seminar
Op 12 december organiseert Werf& in Utrecht een speciaal seminar voor recruiters, over alle ins en outs van de nieuwe privacyregels. Zeker weten dat je goed bent voorbereid? Schrijf je dan nu in!