"Exploring the future of work & the freelance economy"
SLUIT MENU
Vragen over GDPR en zzp

13 vragen – en antwoorden – over GDPR en de inhuur van extern personeel

De nieuwe privacyregels hebben grote gevolgen voor iedereen die met kandidaten werkt. Wat zijn de belangrijkste implicaties?

Zo langzamerhand weten we allemaal wel dat op 25 mei 2018 de nieuwe Europese privacyregels van kracht worden. Of, beter gezegd: dat die regels vanaf moment ook gehandhaafd gaan worden. De AVG – in het Engels: GDPR – geeft de burger meer bescherming over wat organisaties doen met hun gegevens. De boetes en aansprakelijkheden als je die regels niet nakomt stijgen fors.

Organisatie bereiden zich nu hard voor om te voldoen aan die regels voor zover ze betrekking hebben op de gegevens van hun medewerkers en (potentiële) klanten. Maar ook de gegevens van sollicitanten, zowel voor vaste functies als voor interim opdrachten, vallen onder ‘persoonsgegevens’.

In een werkproces waarin die gegevens niet zelden via verschillende schakels en tussenstations van kandidaat naar hiring manager gaan, roept de GDPR (de General Data Protection Regulation) de nodige vragen en hoofdbrekens op.

Tijdens een ZiPconomy-webinar bespraken we de GDPR, en de effecten die dat heeft voor zowel opdrachtgevers van zelfstandigen als de bemiddelingsbureaus, met expert Will-Martijn Swaager (DCure).

Lees ook:

·         ZiP dossier met overzicht artikelen over GDPR  & Inhuur

·         10 termen die elke ‘inhuur-professional’ moet weten over de GDPR

13 meest vragen en antwoorden

Hierbij de 13 meest relevante vragen – en antwoorden – uit dat webinar.

  1. Wat is de kern van GDPR in relatie tot recruitment en inhuur?

De nieuwe wet verscherpt regels voor hoe organisaties met persoonsgegevens moeten omgaan en introduceert ook een aantal nieuwe zaken.

In de kern komt het erop neer dat personen:

  • actief toestemming moeten geven dat zijn/haar gegevens worden verwerkt en gebruikt (dus bijvoorbeeld voor een sollicitatieprocedure), plus dat organisaties moeten uitleggen hoe dat gedaan wordt. Dat mag niet (meer) met een opt-out maar moet met een opt-in. Je kunt dus niet meer zeggen: ‘we verwerken je gegevens, tenzij je bezwaar maakt’. Dat mag ook niet met een ‘vinkje aanzetten’ bij een webformulier.
  • het recht hebben volledig verwijderd te worden uit alle systemen van een organisatie waaraan ze eerst toestemming hadden gegeven de gegevens te gebruiken
  • het recht hebben aan de organisatie te vragen om die gegevens over te zetten naar een andere organisatie.
  • het recht hebben om op te vragen welke gegevens een organisatie heeft verzameld over hen.
  • het recht hebben op betere informatievoorziening en dat in Jip-en-Janneketaal wordt gecommuniceerd over het hoe, wat en waar er iets met hun data gebeurt

Daarnaast komen er ook nieuwe en aangescherpte eisen omtrent de beveiliging van data.

  1. Wat valt er allemaal onder ‘persoonsgegevens’ van een kandidaat?

Om te beginnen de contactgegevens en het cv/portfolio van de kandidaat (en dus ook gegevens die een kandidaat eventueel heeft ingevuld in een online formulier of bestand). Maar het gaat nog een paar flinke stappen verder. Ook alle gegevens die een organisatie en/of bureau noteert over de kandidaat, inclusief de correspondentie tussen bijvoorbeeld een recruiter en zijn opdrachtgever, vallen onder de wet.  Kortom: alles waarmee een persoon is te identificeren, of wat naar een persoon is te herleiden.

  1. Kandidaatgegevens versturen is onze core-business! Het is toch logisch dat wij die gegevens doorsturen naar derden en ook in het belang van die kandidaten?

Zeker. En dat kan straks ook nog steeds allemaal.

Het allerbelangrijkste is dat op het moment dat een kandidaat zijn/haar gegevens naar je toestuurt, je actief aan die kandidaat toestemming vraagt om die gegevens door te sturen. Plus dat je duidelijk maakt aan wie je dat doet. Relevant is hier wel dat je tijdig (dus voor het verstrijken van de maximale bewaartermijn van 1 jaar) die toestemming opnieuw vraagt.

Overigens zul je ook aan kandidaten die nu al in je bestand zitten opnieuw (en via een opt-in en niet via een opt-out) toestemming moeten vragen om hun persoonsgegevens te gebruiken. Geven ze die toestemming niet (of reageren ze niet), dan zul je die gegevens moeten verwijderen.

  1. Moet je als bureau actief meewerken aan het overzetten van gegevens naar anderen? Of mag je je beperken tot verwijderen?

Verwijderen en porteren (overzetten) zijn twee verschillende rechten die een kandidaat heeft. Als hij/zij dat verzoekt zul je inderdaad die gegevens ter beschikking moeten stellen of zelfs actief moeten overzetten naar een adres van zijn/haar keus.

  1. Als een kandidaat verzoekt om zijn gegevens uit ons systeem en dat van onze klanten te verwijderen, moeten wij als recruitment agency dan naar onze klant stappen om gegevens te verwijderen?

Ja. Het bureau is voor de kandidaat het eerste aanspreekpunt. Je zult dus als ‘leverancier’ van gegevens contractueel moeten vastleggen dat jullie klantengegevens op jullie verzoek moeten verwijderen.

  1. Ik werk als recruiter bij een MKB-bedrijf, hoeveel risico lopen wij? Controleren ze niet eerst de grote bedrijven?

De controle bij bedrijven vindt op twee manieren plaats. De Autoriteit Persoonsgegevens heeft een eigen controletaak. Zij zullen mogelijk starten bij het grootbedrijf. Maar daarnaast is er het ‘piepsysteem’, wat vaak effectiever werkt voor controlediensten. Als iemand een klacht indient, komen die autoriteiten in actie. Dus daarmee is het niet (noodzakelijkerwijs) zo dat het MKB minder kans maakt op controle. Het grootbedrijf is in de regel juist wat beter voorbereid op nieuwe wetgeving.

  1. Mag ik een kandidaat die ik “source” uit LinkedIn nog wel invoeren in ons eigen ATS?

Het is primair aan LinkedIn (en aan soortgelijke systemen die kandidaatgegevens aanbieden), om als verwerkers van die gegevens ervoor te zorgen dat ze GDPR-proof zijn/worden. Dit wordt nog wel een lastige: hoe krijg je expliciet toestemming van iemand die je nog niet kent, om gebruik te maken van contactgegevens, al was het maar om toestemming te krijgen om contact op te nemen? Dat klinkt als een Catch22-situatie, waarover de Autoriteit Persoonsgegevens nog geen uitspraak gedaan heeft.  Overigens, als je al contact kunt opnemen, wil dat vervolgens níet zeggen dat je die gegevens ook zomaar mag bewerken of doorsturen naar een opdrachtgever. De gegevens zijn immers niet van LinkedIn, maar van de persoon zelf. Voor elke stap die je maakt moet een kandidaat expliciet toestemming geven. En die toestemming moet je dus ook actief aan de kandidaat vragen.

  1. Wat is de toekomst van talentpools en/of netwerken van kandidaten? Wat zou een manier kunnen zijn waarop je dit wettelijk nog mag doen?

Het is nog steeds mogelijk om talentpools met kandidaten of communities met (alumni) interimmers op te bouwen. Zolang maar vooraf expliciet toestemming wordt gevraagd om daarvoor persoonsgegevens in te zetten. Voor elke aparte activiteit (een sollicitatie is wat anders dan een talentpool) moet je apart toestemming vragen. Ook hier is relevant dat je tijdig (dus voor het verstrijken van de maximale bewaartermijn van 1 jaar) die toestemming opnieuw vraagt als je gegevens langer wilt bewaren.

  1. Hoe verhoudt het recht om vergeten te worden zich met de wettelijke bewaarplicht van bepaalde data, zoals fiscale gegevens en facturen ?

Die wettelijke bewaarplicht blijft van kracht en geldt dan zwaarder dan de verplichtingen onder de GDPR. Je moet alleen wel kunnen aantonen dat die fiscale gegevens alleen zijn in te zien en te verwerken door mensen voor wie dat beroepsmatig relevant is.

  1. Welk risico loopt een broker/intermediair als een opdrachtgever niet meewerkt aan invulling van GDPR-compliance-afspraken. En vice versa?

In deze vraag zit misschien wel het meest cruciale, en meest complexe, vraagstuk rond GDPR verborgen. In onze branche gaan kandidaatgegevens immers vaak via een aantal tussenschakels, al dan niet via een MSP, naar een hiring manager. En die gegevens komen vervolgens terecht in meerdere systemen. Van een simpele e-mail tot een ATS, VMS en/of FMS (freelance management system).

Elke schakel, elk bureau, heeft hier zijn verantwoordelijkheden. Contractueel vastleggen dat een ander verantwoordelijk is voor het naleven van de GDPR-regels, is niet voldoende. Een opdrachtgever zal ook actief moeten controleren of zijn leveranciers zich aan de regels houden.

Onderling overleg in de keten is hier cruciaal, waarbij een partij zich natuurlijk wel als ‘regisseur’ daarvan kan opwerpen.

Verstandig is het voor eenieder in de keten om goed gedocumenteerd te hebben welke inspanningen je gedaan hebt om aan alle intenties achter de GDPR te voldoen.

  1. Wat is de eerste stap die ik – verantwoordelijk voor ons recruitmentproces – moet zetten?

Als je bij een grotere organisatie werkt, dan zijn er vast al collega’s met GDPR bezig. Alleen zijn ‘kandidaatgegevens’, zowel van sollicitanten als van freelancers of zp’ers, daarbij soms een blinde vlek. Zorg dus dat je in beeld komt als onderdeel van het hele compliance-traject.

Breng goed in kaart in welke systemen er allemaal kandidaatgegevens zitten. Dat zijn er vaak meer dan je denkt. En ga in overleg met al je leveranciers rond het recruitment/inhuurproces. Zowel met bureaus als met leveranciers van systemen.

  1. Zorgvuldig met kandidaatgegevens omgaan, dat is toch ook logisch? Biedt dit nu niet juist ook kansen voor bureaus die dat netjes doen?

Zeker. GDPR vraagt het nodige van iedereen die digitaal persoonsgegevens verwerkt. Maar vanuit maatschappelijke oogpunt is het inderdaad niet zo onlogisch dat de regelgeving aangescherpt wordt. Met goede communicatie en kwalitatief contact met kandidaten is veel te ondervangen. Het is wel realistisch om te veronderstellen dat je wat meer inspanningen moet doen om je ‘kandidaten-funnel’ gevuld te houden. Zomaar allerlei bestandjes aanhouden, dat kan immers niet meer.

  1. Eigenlijk verandert er toch niet zo heel veel ten opzichte van de huidige regels? Het is een kwestie van het nog beter inrichten van bestaande processen.

Daar zit een grote kern van waarheid in. Met heldere communicatie en op de juiste plekken (inschrijfformulier website, mails en dergelijke) de juiste vragen stellen om toestemming te geven, ondervang je al veel.

Het is met name de forse verhoging van de boetes en de verruiming van de aansprakelijkheden die maakt dat het nu een groot issue is geworden. Ook het schuiven van persoonsgegevens door de ‘keten’ krijgt nu meer aandacht. Maar de praktijk zal voor een deel ook moeten uitwijzen hoe kandidaten hiermee zullen omgaan. Kandidaten die dankzij intermediairs en ondersteunende systemen aan een opdracht geholpen worden geholpen, zullen er in de praktijk mogelijk niet zoveel problemen mee hebben dat hun gegevens bekend zijn bij een organisatie die daarvoor niet expliciet toestemming had. Kandidaten van wie de gegevens ongevraagd en ook nog onzorgvuldig worden gebruikt, hebben – zeker als dat tot niets leidt – wel een nieuwe stok in handen.

(met dank aan  Will-Martijn Swaager) 

Meer weten? 

  • Dit ZiP-dossier met meer informatie en artikelen over GDPR & Inhuur extern talent
  • Middagseminar Privacy en Inhuur van Personeel – 16 nov (zie hier)
  • Seminar GDPR voor Recruitment. Alles over de nieuwe privacywet van 2018 – 12 dec (zie hier)
  • NextConomy Webinar (voor Belgie): GDPR en de gevolgen voor recruitment en inhuren extern talent – 28 nov (zie hier)
Hugo-Jan Ruts is 'editor-in-chief' en uitgever van ZiPconomy. Bekijk alle berichten van Hugo-Jan Ruts