De AVG is nu precies 9 maanden van kracht. En aan de buitenkant lijkt het bij de meeste bedrijven allemaal in orde. Maar hoe zit het eigenlijk met het beleid erachter?
Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) driekwart jaar van kracht. Maar een tussenstand opmaken is lastig. Heeft de wet daadwerkelijk invloed gehad in ons vakgebied? Doen kandidaten er inmiddels dagelijks een beroep op? Willen ze bijvoorbeeld al ‘vergeten’ worden, of hun gegevens inzien? Heeft de Autoriteit Persoonsgegevens al meldingen over werving-en-selectiebureaus of uitzendbureaus ontvangen die iets doen wat niet in de haak zou zijn? Het is nauwelijks te zeggen.
‘De informatie die u opvraagt is vertrouwelijk en bedrijfsgevoelig’
Navraag bij uitzendbureaus levert vooral gesloten deuren op. Sommige reageren helemaal niet op een schriftelijk verzoek, sommigen uiterst afhoudend. ‘De informatie die u opvraagt is vertrouwelijk en bedrijfsgevoelig’, antwoordt bijvoorbeeld de privacymedewerker van de Adecco Groep Nederland op toch ogenschijnlijk niet al te zware vragen als: hoe vaak heeft een kandidaat sinds 25 mei een beroep gedaan op een uitdraai van zijn/haar gegevens? Of: hoe vaak heeft een kandidaat inmiddels een verzoek gedaan tot overdracht van zijn/haar gegevens?
‘Wij krijgen dagelijks verzoeken’
Alleen de PR-adviseur van YoungCapital laat iets meer los. “Wij krijgen dagelijks verzoeken binnen van betrokkenen die een of meerdere privacyrechten willen uitoefenen. De meest ingeroepen privacyrechten zijn: verwijdering (recht op vergetelheid) en inzage. Ons privacystatement is sinds de invoer van de AVG ook aangepast. Wij hebben namelijk al onze gegevensverwerkingen (opnieuw) in kaart gebracht en opgenomen in ons Verwerkingsregister. Op basis daarvan is ons privacystatement aangevuld. En ook hebben wij de leesbaarheid ervan vergroot.”
‘Er is in de afgelopen 9 maanden 1850 keer ingelogd en gebruik gemaakt van ons privacyportaal’
Een eigen privacyportaal bij USG
En ook Yolande van Houte, Manager Privacy, wil wel iets kwijt. “Met de inwerkingtreding van de AVG hebben wij voor alle kandidaten die bij de verschillende USG-labels staan ingeschreven een privacyportaal geïntroduceerd. Via dit portaal kunnen de kandidaten hun inschrijfgegevens inzien, wijzigen, verwijderen en een beroep doen op dataportabiliteit. De kandidaat is niet verplicht om van het portaal gebruik te maken en kan natuurlijk ook vragen of wij zijn of haar verzoek willen uitvoeren. Er is in de afgelopen 9 maanden 1850 keer ingelogd en gebruik gemaakt van ons privacyportaal. Maar een nadere uitsplitsing kan ik u helaas niet geven.”
Sinds mei zo’n 10.000 klachten
Oké, maar daarmee komen we dus nog steeds niet echt te weten hoe groot de invloed van de AVG 9 maanden na invoering precies is. Wel is bekend dat sinds 25 mei 2018 bijna 10.000 Nederlandse consumenten een klacht hebben ingediend bij de Autoriteit Persoonsgegevens (AP), die belast is met het toezicht op de naleving van de Europese privacyregels. Zakelijke dienstverleners, de IT-sector en de overheid zijn in de ogen van consumenten de grootste boosdoeners, op de voet gevolgd door de financiële instellingen en zorginstellingen. Over werving en selectie laat de AP zich echter niet uit.
‘De consument zal niet zo snel kiezen voor een bedrijf dat op het gebied van dataprivacy steken laat vallen ‘
Tot (mega)boetes heeft het allemaal ook nog niet geleid. Wel meldt de AP dat de Nederlander zich flink zorgen maakt om zijn privacy. En de meeste bedrijven zijn zich er tegenwoordig ook meer bewust van geworden dat er voorzichtig omgegaan moet worden met data, aldus Yvette van Gemerden, partner legal services bij PwC. “Dat is een concurrentievoordeel. De consument zal niet zo snel kiezen voor een bedrijf dat steken laat vallen op het gebied van dataprivacy.” Datzelfde zou je dus voor de kandidaat op de huidige arbeidsmarkt kunnen denken.
Goed beleggen in de organisatie
Het belangrijkste daarbij is dataprivacy goed te beleggen in de organisatie, stelt Van Gemerden. Iets wat wordt bevestigd door Martijn Faber, oprichter van Priviteers, specialist in data privacy. “We merken een enorme terugval in de belangstelling voor het onderwerp. Tot augustus hadden we nog wel naweeën van bedrijven die achterliepen, maar sinds die tijd hebben duidelijk weer andere onderwerpen de overhand.”
‘Nog helemaal niet zo goed geregeld’
Betekent dat nu dat bedrijven het goed voor elkaar hebben? Of is er iets anders aan de hand? Faber lacht besmuikt. “We weten het natuurlijk niet zeker. Maar ik denk eerlijk gezegd dat het helemaal nog niet zo goed geregeld is. Veel bedrijven zijn nog wat je noemt ‘onbewust onbekwaam’. Aan de buitenkant lijkt het allemaal wel goed gegaan. Er zijn nu overal mooie privacystatements, waar alles wel in staat. Er zijn ook allerlei verwerkersovereenkomsten gesloten. En er zijn niet veel klachten bekend. Maar hoe zit het met het beleid erachter? Dat is vaak nog volstrekt onduidelijk.”
‘De pijn in de markt is dat – heel gehaast – aan de achterkant begonnen is’
Veel bedrijven nemen een afwachtende houding aan, constateert Faber. Ten onrechte, denkt hij. “We merken wel een omslag in het denken en een groeiend besef dat het niet alleen gaat om privacy, maar vooral om informatiebeveiliging. Privacy is daarvan maar een onderdeel. En een tweede is: grote bedrijven hebben volop verwerkersovereenkomsten rondgestuurd met de boodschap: ‘dit moet je tekenen’. Maar welk beleid ligt eronder? Als je geen beleid hebt, hoe kun je anderen dan opleggen wat ze moeten doen? De pijn in de markt is dat – heel gehaast – aan de achterkant begonnen is. Terwijl het zou moeten gaan om: wat is je beleid rondom informatiebeveiliging? Daarover zou je de dialoog moeten voeren. Pas daarna komen de bedrijfsprocessen, en als laatste de privacyverklaring. Nu lijkt vooral aan dat laatste aandacht besteed. Maar doe je ook wat daar staat? Daar is slecht achter te komen.”
Niet generaliseren
Hij wil dan ook oppassen niet te generaliseren. “Maar ik zie in de uitzendsector nog wel dat veel bedrijven van alles doen met de data die ze hebben. Ze vinden het moeilijk om zomaar gegevens weg te gooien, ook al zijn die misschien al 10 jaar oud. Ze moeten een gerechtvaardigd belang hebben, een grondslag, om die data te bewaren. Die is er natuurlijk vaak niet. Maar dat krijgen jij en ik, of een kandidaat, niet zomaar boven water. Dat kan echt alleen de Autoriteit Persoonsgegevens. Daar is dus nu het wachten op, voordat we echt kunnen inschatten wat het effect van de AVG in onze markt is geweest.”