General Data Protection Regulation (GDPR) ofwel AVG

GDPR - general data protection regulation

Connexys heeft een primeur! Met trots presenteren wij onze eerste CIPP/E in de persoon van Peter de Waal. Een CIPP/E staat voor een Certified Information Privacy Professional/Europe, officieel gecertificeerd door het IAPP de grootste internationale beroepsvereniging van privacy professionals. Een belangrijke persoon en ons orakel met betrekking tot de General Data Protection Regulation (GDPR) ofwel Algemene Verordening Gegevensbescherming (AVG).

Waarom een CIPP/E?

Peter de Waal Connexys

Peter de Waal, CIPP/E Connexys

In mei 2016 is de nieuwe wet GDPR in werking getreden. De General Data Protection Regulation (GDPR) ofwel Algemene Verordening Gegevensbescherming (AVG) gaat over de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Peter de Waal: “Deze wet is van groot belang voor alle organisaties die persoonlijke data verwerken. Ook voor Connexys en onze klanten is het zaak klaar te zijn voor dat belangrijke moment. Ik verdiep mij in de do’s and don’ts en zal betrokkenen zo goed mogelijk informeren over de gevolgen die de wetgeving heeft voor onze activiteiten.”

Wat / Wanneer / Waarom de GDPR?

  • Met de AVG/GDPR wordt de regelgeving internationaal gelijkgeschakeld en gelden voor alle lidstaten van de EU dezelfde richtlijnen. Hierdoor weet je voor een groot deel waar je aan toe bent als je zaken doet met organisaties uit EU-lidstaten.
  • Van organisaties wordt verwacht dat zij hun bedrijfsvoering in overeenstemming brengen met de AVG/GDPR. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna wordt gehandhaafd.
  • Overtreed je de regels, dan staat je een flinke boete te wachten, die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Wat verandert er voor HR en recruitment?

Meer data vallen onder de privacywet
Onder persoonsgegevens vallen naast bestanden met namen, adressen etc. nu ook gegevens die zijn gekoppeld aan IP-adressen, Media Acces Control (MAC)-adressen, cookies en dergelijke onder de wet. Ook als degene achter een cookie niet bekend is, moet je zijn gegevens behandelen als privacygevoelig.

Eigenaar vs verwerker
Er komt een duidelijkere scheiding tussen de verantwoordelijkheid van de data-eigenaar en die van de data-verwerker. In ons geval zijn onze klanten de eigenaar van kandidaat- en klantdata. Zij worden in de wet de Controller genoemd. Connexys is de verwerker van kandidaat- en klantdata en wordt door de wet de Processor genoemd.

Algemene regels
De Wet Bescherming Persoonsgegevens (WbP) is vervangen door de AVG. Er gelden nu algemene, internationale regels voor de beveiliging van persoonsgegevens. Bovendien hebben lidstaten op bepaalde vlakken de mogelijkheid zelf zaken toe te voegen.

Meer rechten voor kandidaten
De rechten van personen voor wat betreft de opslag van hun gegevens worden uitgebreid. Zo kan een kandidaat een organisatie verzoeken zijn gegevens aan te passen of te verwijderen.

Privacy statements verplicht
Elke organisatie is verplicht op elk moment van het verzamelen van gegevens een privacy statement te publiceren. Hierin moet staan wat het doel van de dataverzameling is, of derde partijen toegang hebben en hoe lang de gegevens bewaard zullen worden. Dit betekent dus dat je voor een job alert een ander privacy statement moet opstellen dan voor een sollicitatieformulier.

Datalekken moeten worden gedocumenteerd
De AVG stelt verplicht om alle datalekken intern te documenteren, óók datalekken die niet te hoeven worden gemeld aan de toezichthouder. Wie privacygevoelige data voor opdrachtgevers verwerkt, is wettelijk verplicht alle datalekken aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden.

Data Protection Officer aanstellen?
Bedrijven kunnen verplicht worden gesteld een Data Protection Officer aan te stellen. Vooralsnog geldt dit alleen voor organisaties voor wie dataverwerking het primaire proces is.

Wat kan je nu doen?

We hebben nog tot mei 2018 de tijd, maar onderschat het niet. Er is veel werk aan de winkel en het is zaak dit snel en serieus aan te pakken. Peter heeft een paar belangrijke tips:

  1. zorg dat je organisatie vóór mei 2018 ingericht is op de nieuwe wetgeving
  2. stel hiervoor één persoon verantwoordelijk
  3. maak een projectgroep
  4. breng de beveiliging van de persoonsgegevens op orde
  5. breng in kaart met welk doel je welke informatie verzamelt
  6. bepaal hoe lang het wenselijk is de data te bewaren (afhankelijk van doel en context)
  7. breng in kaart op welke manier je welke informatie vastlegt (record keeping)
  8. breng in kaart met welke derde partijen (Connexys, testleveranciers) je de data deelt
  9. bepaal wat je doet met gegevens die over de ‘houdbaarheidstermijn’ zijn
  10. ken de rechten van kandidaat en bedenk hoe je daar intern mee omgaat
  11. zorg voor heldere communicatie naar de kandidaat

Blijf op de hoogte

De wet is op sommige punten nog wel wat onduidelijk. Op dit moment zijn de Autoriteiten Persoonsgegevens van elk land bezig om de richtlijnen concreet uit te werken. De contouren zijn helder, de precieze vormgeving van de wet wordt gaandeweg steeds verder geconcretiseerd. Zorg dat je als organisatie op de hoogte blijft van alle relevante ontwikkelingen. Ook wij zullen ons best doen je zoveel mogelijk up to date te houden. Peter houdt zijn ogen en oren open, dus houd onze blogs in de gaten. Je kunt ook als je geen klant van ons bent, vrijblijvend inschrijven voor onze maandelijkse nieuwsbrief. Dan blijf je altijd up to date.

Inschrijven nieuwsbrief!

Lees ook onze blogs

Dataprivacy van sollicitanten; hoe zit het precies?
Connexys officieel ISO 27001 gecertificeerd

Geen commentaar mogelijk.