"Exploring the future of work & the freelance economy"
GDPR inhuur zzp

‘AVG/GDPR komt eraan. Hoog tijd dat de recruitment- en inhuurwereld wakker wordt!’

Volgend jaar worden de Europese privacyregels een stuk scherper. En die hebben een flinke impact op alles wat met recruitment en inhuur te maken heeft.

Nog 7 maanden. Op 25 mei 2018 moet elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt, voldoen aan de General Data Protection Regulation (GDPR). Of in het Nederlands: de AVG.

De nieuwe wet verscherpt regels hoe organisaties met persoonsgegevens moeten omgaan en introduceert ook een aantal nieuwe zaken.

In de kern komt het erop neer dat personen:

  1. actief toestemming moeten geven dat zijn/haar gegevens worden verwerkt en gebruikt (dus bijvoorbeeld voor een sollicitatieprocedure), plus dat organisaties moeten uitleggen hoe dat gedaan wordt.
  2. het recht hebben volledig verwijderd te worden uit alle systemen van een organisatie waar ze die toestemming aan hadden gegeven of dat die gegevens overgezet worden naar een ander.
  3. ze het recht hebben om op te kunnen vragen welke gegevens een organisatie heeft verzameld over hen.

In recruitmentwereld nog weinig aandacht voor GDPR

In zijn algemeenheid begint er enige besef bij organisaties te ontstaan dat deze wetgeving flinke impact kan hebben op hoe gegevens opgeslagen worden. Dat komt vooral ook omdat de gevolgen van nalatigheid fors hoger zijn. Boetes kunnen oplopen tot 20 miljoen euro of 4% van de totale omzet van het bedrijf (!). Daarbij geldt een persoonlijke aansprakelijkheid van bestuurders, die ook strafrechtelijk vervolgd kunnen worden.

In de hele wereld van recruitment en inhuur krijgt dit onderwerp echter nog maar nauwelijks aandacht. En dat is best vreemd, vindt Hugo-Jan Ruts van ZiPconomy.

Waarom is GDPR nu juist voor de recruitmentwereld zo belangrijk?

“Van alle persoonsgegevens die verwerkt worden is het cv wel een van de meest persoonlijke. Voor zelfstandigen komen daar nog eens gegevens bij zoals het bankrekeningnummer, BSN en de KvK-gegevens. Daarbij voegen recruiters vaak gevoelige informatie toe aan dat cv. Daar moet je vanaf nu dus heel bewust en zorgvuldig mee omgaan.”

“Dat persoonsgegevens eigendom zijn van die persoon, daar komt deze wet in feite op neer. En dat is in deze tijd natuurlijk ook wel terecht. Maar het vraagt wel serieus aandacht. In elke procedure stel je mensen teleur. Je moet er niet aan denken dat kandidaten met deze wet in handen je eens lekker gaan terugpesten.”

Recruitment- en inhuurproces vraagt om specifieke maatregelen

Is het algemeen beleid voor organisaties rond persoonsgegevens dan niet voldoende?

“Als je het dataproces niet goed beschermt riskeer je hoge boetes. Als je wél  voorzorgsmaatregelen neemt en je helemaal indekt, dreigt het gevaar dat je kandidaten confronteert met allerlei verplichtingen en bureaucratie. Met het risico dat kandidaten al vroeg in het recruitmentproces afhaken. Ook dat is natuurlijk zeer onwenselijk. Zeker in de markt waarin talent schaars is. Dit is dus geen onderwerp dat je sec aan je aan je collega’s van de juridische afdeling moet overlaten.”

“Dat er binnen recruiment vaak meerdere schakels zitten tussen een hiring manager en de kandidaat maakt dit onderwerp complex. Bij inhuur van zelfstandigen speelt dat nog meer. Gegevens gaan van een bureau naar een preferred supplier en dan via een MSP naar de recruitmentafdeling van een opdrachtgever, om vervolgens in de mailbox van de hiring manager te belanden. In elk stapje in de keten voegen we informatie toe aan de oorspronkelijke data.”

“Gegevens worden daarna verwerkt in een VMS, een ATS, een FMS, misschien nog een HR-systeem en in ieder geval nog in de financiële administratie. Op enige manier zal je in de hele keten ervoor moeten zorgen dat er conform de GDPR wordt gewerkt. Met de verantwoordelijkheid dat je ook actief controleert dat een ketenpartner zijn zaken goed op orde heeft.”

Wat is de belangrijkste tip?

“Een organisatie zal vaak niet afkunnen met een algemeen beleid. Rond recruitment spelen specifieke zaken. Dat wil zeggen dat je als verantwoordelijke voor recruitment en inhuur intern aan de slag moet met je collega’s van andere afdelingen. Ook extern heb je te maken met een keten.  Iedereen in die keten zal goed met elkaar in gesprek moeten en afspraken moeten maken.”

“Voor de partners in de keten, dus de bureaus in de recruitment- en flexbranche is het al helemaal belangrijk om je zaken op orde te hebben. Anders is er een serieuze dreiging dat je je business kwijtraakt. Misschien niet omdat je snel een klacht aan je broek hebt, maar omdat je opdrachtgevers eisen én controleren dat je compliant bent en simpelweg geen zaken meer doen met die partijen die de GDPR-regels niet aantoonbaar goed hebben geïmplementeerd.”

“Het voordeel is dat hier een groot gemeenschappelijke belang is om dit punt met elkaar onder de knie te krijgen. Met eenmalig het proces herinrichten kom je een heel eind. Waarbij we ook moeten beseffen dat bij een aantal cruciale onderwerpen nog geen zekerheid is over wat precies de intenties van de wetgever zijn. Dat zal pas na jurisprudentie duidelijker worden.”

Webinar GDPR & recruitment en inhuur

Vrijdagmiddag 29 september gaat Hugo-Jan Ruts tijdens een gratis webinar over GDPR en het belang van privacy in gesprek met Will-Martijn Swaager van DCURE, expert op dit onderwerp. Registreren voor dat webinar kan via deze website.  

De ZiPredactie plaatst hier interviews en eigen artikelen. Daarnaast persberichten, aankondigingen of (met toestemming) overgenomen artikelen. (contact: info[AT]zipconomy.nl) Bekijk alle berichten van ZiPredactie