Auteurs: Edwin Adams Tangram

Transcriptie

1 Toepassing GDPR (AVG) binnen de recruitmentprocessen Wat is de impact van de Algemene Verordening Gegevensbescherming (AVG) op uw recruitmentproces en organisatie Auteurs: Edwin Adams Tangram Juli 2017

2 Inleiding In april 2016 is de nieuwe verordening General Data Protection Regulation (GDPR) in werking getreden. Deze verordening gaat in heel Europa voor dezelfde regels rondom privacy zorgen. De GDPR, in Nederland aangeduid als de Algemene Verordening Gegevensbescherming (AVG), vervangt de Wet bescherming persoonsgegevens (Wbp). Effectief betekent dit dat de AVG per 25 mei 2018 van toepassing is. In deze whitepaper leest u de belangrijkste zaken uit de AVG die zowel voor het recruitmentproces en uw organisatie van belang zijn. De GDPR in het kort De GDPR is in werking getreden op 27 april 2016 en gepubliceerd in Pb EU L119 d.d. 4 mei 2016 Deze vervangt de Europese privacyrichtlijn 95/46/EC van 24 oktober 1995 De GDPR is van toepassing vanaf 25 mei Van organisaties wordt verwacht dat zij de bedrijfsvoering in overeenstemming brengen met de GDPR. Na 25 mei 2018 wordt gehandhaafd op naleving door de Autoriteit Persoonsgegevens (AP). Het effect van de GDPR is ook dat de bevoegdheden voor alle Europese privacy toezichthouders gelijk worden getrokken. Organisaties krijgen slechts met één Data Protection Authority (DPA) te maken. De nationale DPA s, zoals in Nederland de Autoriteit Persoonsgegevens (AP), worden dan door één European Data Protection Board (EDPB) gecoördineerd. Hieronder volgt een toelichting van de belangrijkste begrippen en wat de impact is van de GDPR/AVG voor organisaties die zich bezig houden met recruitment. Bereik AVG Deze wet is van toepassing als het data-subject (de persoon) en/of de data-controller of processor (de organisatie) in Europa woonachtig of gevestigd is. Dus óók van toepassing op opslag en bewerkingen van persoonlijke gegevens van EU-burgers als dit buiten de EU gebeurt. De wet is daarnaast van toepassing als er sprake is van gehele of gedeeltelijke geautomatiseerde verwerking van persoonlijke gegevens of als er sprake is van het gestructureerd handmatig maken van een hard copy van een systeem of bestand. Ook is er sprake van doelbeperking: de persoonsgegevens dienen voor een welbepaald gewettigd doel verzameld te worden en mogen niet voor andere zaken gebruikt worden. Voor verschillende doeleinden dient apart toestemming te worden gegeven. Enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld. Juli

3 Op basis hiervan kan gesteld worden dat de AVG van toepassing is als: 1. Personen op een website persoonlijke informatie verschaffen via een sollicitatie- of inschrijfformulier. 2. Organisaties deze informatie verzamelen en opslaan. 3. Organisaties de beschikking hebben over persoonlijke gegevens en deze ook in kunnen zetten voor andere doeleinden dan de sollicitatie op een specifieke vacature. 4. De opslag en/of bewerking van persoonlijke gegevens van personen door de organisatie wordt uitbesteed aan een andere partij. TIP: Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Privacy by design & privacy by default Belangrijke uitgangspunten in de AVG zijn privacy by design en privacy by default. Privacy by design houdt in dat u er al bij het ontwerpen van informatiesystemen en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Toestemming De persoon dient volledig vrijwillig, geïnformeerd en ondubbelzinnig toestemming te geven. Dit moet dus altijd een actieve handeling zijn. Denk aan de bekende cookie melding en het toestemming vragen voordat een formulier kan worden ingediend. De vraag om toestemming te geven, moet duidelijk en begrijpelijk zijn en in eenvoudige taal worden gepresenteerd. Als er toestemming voor meerdere doeleinden wordt gevraagd, dan moet daarvoor apart toestemming worden gevraagd. Als organisatie moet u kunnen bewijzen dat de persoon toestemming heeft gegeven. De persoon heeft altijd het recht de eerder gegeven toestemming in te trekken en moet daar ook op worden gewezen. U dient daarbij te registeren wanneer deze toestemming is ingetrokken. Privacy Statement Tangram raadt aan dat u als organisatie een Privacy Statement opstelt, zodat u daar bij het vragen van de toestemming naar kunt verwijzen. Geef daarbij aan welke gegevens u opvraagt, wat u met de gegevens gaat doen en wat de bewaartermijn is van deze gegevens. Ook kunt u aangeven of de gegevens toegankelijk zijn voor derden of aan derden worden verstrekt. Daarnaast kunt u aangeven hoe de toestemming voor het gebruik van de gegevens kan worden ingetrokken. Juli

4 TIP: Stel een Privacy Statement op en plaats deze op uw website. Geef deze gegevens vervolgens door aan onze helpdesk, zodat wij dit kunnen verwerken in het sollicitatieformulier. De kandidaat dient akkoord te gaan met deze voorwaarden voordat de sollicitatie kan worden opgeslagen. Bewaartermijn In de AVG wordt niet specifiek aangegeven hoelang u gegevens mag bewaren; als identificatie niet meer noodzakelijk is voor het doel, dienen de persoonsgegevens te worden verwijderd of geanonimiseerd. Op basis van de huidige richtlijnen van de AP geldt voor sollicitatiegegevens (brief, formulier, CV, referenties, getuigschrift) een termijn van 4 weken na de sluitingsdatum van de vacature. Indien de kandidaat toestemming geeft voor het in portfolio houden, dan geldt voor sollicitatiegegevens en gegevens uit psychologisch onderzoek een bewaartermijn één jaar. TIP: U kunt in uw huidige systeem zelf al nagaan of er gegevens worden opgeslagen waarvan de bewaartermijn is verstreken. Tangram adviseert om deze gegevens te verwijderen. Dataportabiliteit Nieuw in de AVG is het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat de persoon zijn of haar gegevens makkelijk kan krijgen en vervolgens kan doorgeven aan een andere organisatie. Hoe dat vorm moet worden gegeven is op dit moment niet duidelijk, de richtlijnen hiervoor worden nog uitgewerkt door de AP. Privacy Impact Assessment (PIA) Onder de AVG kunt u verplicht worden een zogeheten Privacy Impact Assessment (PIA) uit te voeren. In de PIA wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. De PIA is een instrument om vooraf de privacy risico s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen de risico s te verkleinen. U moet een PIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacy risico met zich meebrengt. TIP: U vindt een handreiking voor de uitvoering van een PIA op de website van de beroepsorganisatie van IT-auditors (NOREA). Data Protection Officer Bedrijven kunnen verplicht worden gesteld een Data Protection Officer (functionaris voor de gegevensverwerking -FG) aan te stellen. Vooralsnog geldt dit alleen voor organisaties waarvoor dataverwerking het primaire proces is. De privacy officer was in de Wbp niet verplicht, maar is het onder de AVG in sommige situaties wel. De Data Protection Officer is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie. Ook controleert hij of zij of de organisatie voldoet aan de wet en toepasselijke regelgeving. Juli

5 Bewerkersovereenkomst Met de komst van AVG wordt een duidelijkere scheiding aangebracht tussen de verantwoordelijkheid van de data-eigenaar (controller) en die van de data-verwerker (processor). U als organisatie bent de data-eigenaar van de persoonsgegevens. Indien u gebruik maakt van een aantal web- en clouddiensten van Tangram, is Tangram de data-verwerker. Denk daarbij aan de Tangram Internet Service diensten ( werkenbij-site, sollicitatieformulier), TIS Manager/Online Dashboard, Cloud Database en Microsoft Dynamics/CRMatch. Daarnaast kan het zijn dat Tangram op haar beurt ook derden inschakelt bij de verwerking van persoonsgegevens. Denk daarbij aan de CV extractie van Textkernel, video-solliciteren met Flipbase en de hostingpartij die de infrastructuur beheert. TIP: Mocht u nog geen bewerkingsovereenkomst (in de AVG verwerkersovereenkomst genoemd) met Tangram hebben afgesloten, dan kunt u contact opnemen onze helpdesk. Meldplicht datalekken De meldplicht voor datalekken was al van toepassing in de Wpb, deze is ook in de AVG opgenomen. Er is sprake van een datalek als per ongeluk of opzettelijk data verloren gaat, of in handen komt van derden die daartoe niet bevoegd zijn. Een datalek moet binnen 72 uur aan de toezichthouder gemeld worden (in Nederland de Autoriteit Persoonsgegevens). Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld. Belangrijke toevoeging in de AVG is dat datalekken moeten worden gedocumenteerd. De AVG stelt verplicht om alle datalekken intern te documenteren, óók datalekken die niet hoeven te worden gemeld aan de toezichthouder. Wie privacygevoelige data voor opdrachtgevers verwerkt, is wettelijk verplicht alle datalekken aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken. Indien u zich niet houdt aan de eisen die de AVG stelt, kunnen er door de toezichthouder boetes en sancties worden opgelegd. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. Juli

6 Actieplan De AVG is van toepassing vanaf 25 mei U heeft dus nog even de tijd maar u dient wel in beweging te komen. Met de genoemde tips en de beschikbare informatie kunt u zich voorbereiden. Tangram zal in de komende periode nog aanpassingen gaan doorvoeren in de software en u zo helpen bij het voldoen aan de eisen die de AVG stelt. De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen de AVG na te leven, zoals richtlijnen die zijn opgesteld samen met de andere privacy toezichthouders in Europa. Voor meer informatie: Dit is een uitgave van: Tangram Dr. s Jacoblaan VK Zeist Juli