Persoonsgegevens in een SNA-inspectie: AVG proof?
De Europese Algemene Verordening Persoonsgegevens (AVG) vervangt op 25 mei 2018 de Wet Bescherming Persoonsgegevens. Het is goed dat hierdoor in elk Europees land dezelfde regels gaan gelden en dat burgers meer controle over hun persoonlijke gegevens krijgen. Voor ons en voor u als organisatie betekent het ook dat u moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. De zogenaamde “verantwoordingsplicht”.
Wij willen onze klanten hierbij graag ondersteunen en hebben daartoe een AVG certificatie-norm ontwikkeld. Zelf willen we natuurlijk het goede voorbeeld geven. Als inspectie instelling op het gebied van “verplichtingen uit arbeid” verwerken wij bij de inspectie namelijk persoonsgegevens van u en uw medewerkers. Wat betekent dat nou in de praktijk?
Dit bespreek ik graag aan de hand van de volgende vragen:
Welke grondslag is er om persoonsgegevens te verwerken?
Om de persoonsgegevens van de uitzendkrachten te mogen verwerken is er een geldige wettelijke grondslag vereist. De belangrijkste vier grondslagen zijn: er is toestemming voor gegeven, het moet van de wet, het is overeengekomen of er is een gerechtvaardigd belang.
De grondslag die hier relevant is, is het gerechtvaardigd belang. Als daar gebruik van gemaakt wordt moet er altijd een belangenafweging plaatsvinden tussen het belang van de verwerker en het belang van de betrokkenen. In het kort gezegd is het belang van de SNA, de aangesloten bedrijven en de inspectie-instellingen het bestrijden van fraude en illegaliteit in de uitzendbranche. En dit belang weegt zwaarder dan het privacybelang van de uitzendkracht, zeker als we voldoende rekening houden met zijn rechten. Hieronder gaan we daar verder op in.
Zijn wij een verwerker en moet u met ons een verwerkersovereenkomst afsluiten?
Nee, er is geen verwerkersovereenkomst nodig tussen de onderneming en de inspectie instelling. Een verwerkersovereenkomst is nodig als u aan de verwerkende partij instructies geeft met betrekking tot de te verwerken data. Op grond van de overeenkomst met u voeren wij inspectie-werkzaamheden uit om tot een onafhankelijk oordeel te kunnen komen. Hierbij past het niet dat u ons instructies geeft. Bij de uitvoering van de overeenkomst verwerken we persoonsgegevens, maar alleen omdat dit nodig is voor onze dienstverlening. We verwerken persoonsgegevens dus niet onder uw verantwoordelijkheid. Beide partijen zijn dan ook eigen verantwoordelijke die ieder voor zich doel en middelen vaststellen. U kunt het vergelijken met de accountant. Ook de accountant verwerkt ten behoeve van zijn dienstverlening persoonsgegevens, maar omdat hij een ‘eigen beoordelingsruimte’ heeft wordt hij door de Autoriteit Persoonsgegevens als verantwoordelijke beschouwd, net zoals de onderneming waarvoor de accountant zijn werkzaamheden verricht.
Welke regels zijn nog meer van belang om de belangen van de uitzendkrachten te beschermen?
Op de verwerking van de persoonsgegevens van uitzendkrachten zijn de normale privacyregels van toepassing. Belangrijk is dat de uitzendkracht weet dat zijn persoonsgegevens (kunnen) worden verwerkt (transparantie-beginsel). In de praktijk betekent dit dat u de betrokken medewerkers hierover informeert en onder andere aangeeft welke gegevens er worden verwerkt en door wie en voor welk doel.
Verder geldt dat we de gegevens die we van uitzendkrachten verwerken alleen voor het doel van de controle mogen gebruiken (beginsel van doelbinding), we alleen de gegevens gebruiken die nodig zijn (beginsel van dataminimalisatie) en deze vernietigen zodra deze gegevens niet meer nodig zijn (beginsel van opslagbeperking). Tenslotte dienen we er zorg voor te dragen dat betreffende gegevens vertrouwelijk blijven en dus niet op straat komen te liggen (beginsel van vertrouwelijkheid). U kunt er van op aan dat wij de nodige maatregelen treffen om AVG-proof met de gegevens van uw medewerkers om te gaan.
Tenslotte moeten betrokken uitzendkrachten vanzelfsprekend hun rechten – bijvoorbeeld om hun gegevens te wissen of te rectificeren – kunnen uitoefenen. Daar dient u de betrokken medewerkers over te informeren.
De (SNA) inspectie AVG proof?
De SNA draagt samen met de geaccrediteerde inspectie instellingen zorg voor een stevig SNA keurmerk, NEN 4400-1 en NEN 4400-2. Op het gebied van gegevensbescherming geven de SNA protocollen een duidelijk handvat voor de eisen en de verantwoordingsplicht in de zin van de AVG. Dit betekent dat SNA, wij als inspectie instelling en ook u ieder afzonderlijk moet kunnen aantonen dat we op een juiste grondslag de persoonsgegevens verwerken. Als het goed is heeft u als organisatie al de nodige organisatorische en technische maatregelen genomen om aan de AVG te voldoen.
Bureau Cicero, uw partner in zekerheid!
Theo van Leeuwen
Plaats een bericht