"Exploring the future of work & the freelance economy"

10 termen die elke ‘inhuur-professional’ moet weten over de GDPR

Handhaving van de nieuwe privacyregels komt er nu echt snel aan. Welke termen rondom de GDPR en AVG moet je nu echt kennen om goed voorbereid te zijn voor 25 mei 2018?

1.       Verantwoordingsplicht Je moet niet alleen laten zien hoe je persoonsgegevens verzamelt, maar ook hoe je ze (eventueel) verwerkt. Je moet bijvoorbeeld kunnen aantonen dat een verwerking voldoet aan beginselen als: rechtmatigheid; transparantie; doelbinding; juistheid.
2.       Verwerkingsregister Bedrijven met meer dan 250 medewerkers, of bedrijven die veel met (bijzondere) persoonsgegevens werken, zijn ook verplicht een zogeheten ‘verwerkingsregister’ op te stellen, waarin ze schriftelijk uitleggen hoe ze de gegevens verwerken.
3.       Gegevensbeschermingsbeleid kortweg ook wel ‘privacybeleid‘ genoemd: het beleid waarmee je laat zien hoe je voldoet aan de AVG. Dit is onderdeel van je verantwoordingsplicht(zie #1). Je moet in dit beleid onder meer opschrijven welke categorieën persoonsgegevens je verwerkt, waarom je dat doet, wat daarvan de juridische grondslag is en hoe lang je die gegevens bewaart. Zo’n beleid opschrijven is overigens niet altijd verplicht, maar loont zeker voor recruiters en intermediairs op de arbeidsmarkt al snel de moeite: je kunt er veel gedoe met de AP mee voorkomen.
4.       Bewerkersovereenkomsten Met iedereen die voor jouw organisatie met de door jou verzamelde persoonsgegevens aan de slag gaat moet je volgens de AVG een zogeheten bewerkersovereenkomst sluiten (straks verwerkersovereenkomst genoemd). Denk aan je ATS-leverancier, je assessmentbureau, of de leverancier van je videosollicitatiesoftware.

Volgens de AVG ben je verplicht met zo’n bewerker schriftelijk vast te leggen wat voor gegevens je verzamelt, wat de verwerker daarmee mag doen, en hoe je de gegevens beveiligt. Ook leg je daarin vast wat de verwerker moet doen als een betrokkene bijvoorbeeld vraagt om recht op inzage of correctie van zijn gegevens.

5.       Privacy by design De eerste van twee leidende principes in de AVG: Privacy by design betekent dat IT-systemen en applicaties de persoonsgegevens standaard op het hoogste niveau moeten beveiligen en dat gebruikers geen extra handelingen hoeven uit te voeren om hun gegevens te beschermen.
6.       Privacy by default Het tweede leidende principe uit de AVG, privacy by default, betekent dat er standaard zo min mogelijk gegevens worden verwerkt. Dit principe vereist dat je dus standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
7.       DPIA Een data protection impact assessment, of, in goed Nederlands: gegevensbeschermingseffectbeoordeling (37 letters). Zo’n (soms verplichte) DPIA is een soort test die vooraf privacyrisico’s van een gegevensverwerking in kaart brengt en helpt om vervolgens passende maatregelen te nemen.
8.       Dataportabiliteit Het recht op dataportabiliteit (ook wel: het recht van overdraagbaarheid) is een van de nieuwe rechten die burgers krijgen met de AVG. Door dit recht moet je ervoor zorgen dat personen makkelijk de gegevens kunnen krijgen die jij over hen hebt opgeslagen, in een formaat dat gestructureerd, veelgebruikt en machineleesbaar is. En bij persoonsgegevens gaat het best ver. Ook aantekeningen van sollicitatiegesprekken, verrijkte gegevens via derden of andere kenmerken zoals toegekende talentpools horen er bijvoorbeeld bij.
9.       DPO Een nieuwe term die in de AVG wordt gelanceerd is de ‘Functionaris gegevensbescherming’ (FG) of Data Protection Officer:  iemand die in de gaten moet houden of de AVG wordt nageleefd en eventuele datalekken meldt. Onder meer overheidsinstanties, publieke organisaties en partijen die op grote schaal met (bijzondere) persoonsgegevens verwerken, zijn verplicht zo’n functionaris aan te stellen.
10.    Leidende toezichthouder Werk je voor een bedrijf dat ook internationaal werkt? Dikke kans dat je dan niet te maken hebt met de Nederlandse AP, maar met een andere autoriteit in Europa. De AVG gaat namelijk uit van de zogeheten onestopshop-regel, wat inhoudt dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder te maken krijgen. Deze zogeheten leidende toezichthouder is de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd.

 

Lees meer over de GDPR en de gevolgen die dat heeft (voor opdrachtgevers, bureaus en bijv MSP, VMS, FMS tools) op het inhuren van zelfstandige professionals en ander extern personeel in dit ZiP-dossier ‘GDPR & inhuren externen’