"Exploring the future of work & the freelance economy"
SLUIT MENU
GDPR inhuur zzp

Waarom GDPR géén juristenfeestje mag worden. Nieuwe privacyregels vragen veel van flexbranche.

De tijd tikt snel voor de nieuwe privacyregelgeving. Veel organisaties laten de voorbereiding over aan de juristen en/of de IT’ers. Ten onrechte. Voor de héle organisatie is bewustwording belangrijk, wil je niet in de problemen komen.

‘Ik zou jullie graag geruststellen. Ik zou graag zeggen dat het allemaal wel meevalt. Maar dat doe ik niet. Het kost gewoon heel veel tijd en heel inspanning om te voldoen aan de nieuwe wet.’

Alfer de Hollander, die als bedrijfsjurist bij uitzendbureau Timing actief is, heeft geen geruststellende boodschap voor zijn publiek, op een recente ABU-bijeenkomst over de aankomende GDPR-wetgeving. Op 25 mei 2018 gelden de nieuwe regels daarvan voor iedere organisatie die met persoonsgegevens werkt. Maar wie nu nog moet beginnen zich hieraan aan te passen, komt geheid in de problemen, aldus De Hollander. ‘Er moet behoorlijk worden gesprint. 25 Mei is niet over 2 jaar. 25 Mei is morgen.’

Een kloteklus

De Wet Bescherming persoonsgegevens bestaat op 25 mei niet meer. In plaats daarvan hebben we dan in de hele Europese Unie dus de General Data Protection Regulation (GDPR), of de AVG, zoals hij in het Nederlands heet: de Algemene Verordening Gegevensbescherming. Eén van de nieuwe vereisten is bijvoorbeeld dat zogeheten verwerkingsregisters worden opgesteld. Als een organisatie persoonsgegevens verwerkt, moet zij deze verwerking vastleggen in een register en melden bij de Autoriteit Persoonsgegevens. De AP houdt een openbaar register bij van alle meldingen.

‘Ik kan wel – op z’n Hollands – zeggen: een kloteklus’, aldus De Hollander. ‘Je komt zo aan 20 verwerkingen, die moet je allemaal vastleggen. Dat is niet makkelijk. Maar je zult wel moeten.’

Geen juristenfeestje

Het belangrijkste, zegt hij, is: bewustwording. ‘Ik ben zelf jurist, maar je moet er geen juristenfeestje van maken. De meeste mensen hebben geen idee wat wel en wat niet mag. Daar zul je eerst iets aan moeten doen. Wij hebben 40 vestigingen in het hele land. Die hebben we dus allemaal een – verplichte! – e-learningmodule aangeboden. En we hebben ook extern een speciaal mailadres hiervoor geopend. Daar kunnen flexkrachten terecht met vragen, opmerkingen of klachten over verwerking van hun persoonsgegevens.’

Dat klinkt allemaal best goed voorbereid. Maar toch is De Hollander er nog niet helemaal gerust op. ‘Daarom hebben wij ook ervoor gekozen ons te verzekeren. Je kunt alles verzekeren, dus ook dit soort risico’s. En ik moet zeggen: ik vond de premie nog verrassend laag.’

En gelukkig maar, zegt hij. ‘Laatst was bij ons een vestigingsauto gestolen, met een laptop erin. Gelukkig was de laptop versleuteld, en op afstand wisbaar. Maar toch, stel je voor als dat niet zo geweest was?’

Overuren draaien

Het belang van de aanstaande regelgeving lijkt steeds meer door te dringen in Nederland. Vrijwel dagelijks is er wel ergens een seminar over te volgen, adviesbureaus draaien overuren om organisaties voor te bereiden. En er wordt ook naarstig gezocht naar de straks voor veel bedrijven verplichte Data Protection Officers.

Juist in de flexibele arbeidsmarkt, waar bureaus veel en vaak kandidaatgegevens verzamelen, verwerken en versturen, wordt er met argusogen naar de nieuwe regelgeving gekeken. En terecht, want er komen direct allemaal vragen op. Kun je nog wel een talentpool aanleggen? Welke gegevens van je kandidaten kun je nog wel argeloos met je klant delen, en welke niet? Hoe zorg je ervoor dat kandidaatgegevens op je mobiel niet kunnen worden onderschept? Wat betekent de AVG voor je privacy-statement? En wat te doen als een kandidaat of freelancer je belt met het verzoek om zijn gegevens te verwijderen, of erger nog: naar je concurrent door te sturen?

Allemaal vragen die elke organisatie voor zijn eigen situatie zal moeten beantwoorden, vóór mei 2018. Want elke situatie is anders, leerde ook een ander bedrijf dat op de ABU-bijeenkomst sprak over zijn leerervaringen tot nu toe: PostNL.

Jean-Paul van Schoonhoven, chief privacy officer van dat bedrijf, vertelde daarbij dat álle brieven en pakketten in Nederland digitaal op de foto worden gezet. Dit gebeurt voor het codeer- en sorteerproces, zodat de machines de adressering kunnen lezen en postbezorgers kunnen bezorgen. Deze data gebruikt PostNL ook om aanvullende servicediensten te kunnen aanbieden zoals ‘Track & Trace’ of ‘Mijn Post’ in de eigen PostNL-app. Of wat te denken van bedrijfsonderdelen als ‘Data Solutions’ (dat inzicht biedt in markt- en klantontwikkelingen) en ‘Communicatie Services’ (waar klantcommunicatie, printwerk en Direct Mail onderdak vinden). ‘Daarmee zijn we waarschijnlijk de grootste databoer van het land.’

Grote aantallen voor Kerst, Sint en Nieuwjaar

En daarbij gaat het om grote aantallen, zei hij er meteen bij. ‘Op een normale maandag in oktober verstuurden we al meer dan 1,2 miljoen pakketjes. Voor de wedstrijd van het jaar – Sinterklaas, Kerst en NieuwJaar – zitten de planners nu al met de handen in het haar. Alle maximaal beschikbare logistieke capaciteit, met Nederlands sprekende chauffeurs, is al ingehuurd voor die periode.’

Maar daarbij gaat het dus ook steeds om persoonsgegevens. ‘Bij 3 op de 1.000 brieven gaat iets mis’, aldus Van Schoonhoven. ‘Denk aan een gescheurde envelop, verminkte inhoud of post die om een of andere reden niet wordt bezorgd. Naar de visie van de Autoriteit Persoonsgegevens zijn dit al snel datalekken die vallen onder de meldplicht. Maar wie moet dat dan melden? Wij, of de verzender? En is dat nou wel beoogd met de meldplicht datalekken? Dat zijn lastige vragen voor de mensen bij ons in de operatie.’

Ook Van Schoonhoven pleit dan ook vooral voor brede bewustwording voor de privacy-problematiek, door de hele organisatie heen. ‘Mensen bewust maken is belangrijker dan alle IT aanpassen en volop juristen inschakelen. Dat moet je ook doen, begrijp me niet verkeerd. Maar de meeste datalekken ontstaan niet door falende systemen, maar door gedrag van mensen.’

Rits aan activiteiten

Bij PostNL hebben ze inmiddels een hele rits aan activiteiten ondernomen om ellende te voorkomen, aldus Van Schoonhoven. Van een dataregister tot het updaten van privacy-statements, en van een review van alle ketensamenwerkingen tot een andere inrichting van het contractmanagement. De ‘basics’ noemt hij dat. ‘In mei 2018 moeten we gedocumenteerd kunnen onderbouwen dat we alles eraan hebben gedaan om te voldoen aan de regels.’

De ‘privacy journey’ noemen ze dat bij het nationale postbedrijf. Het is geen plezierreisje of walk in the park, zegt Van Schoonhoven er meteen bij. Want ook bij PostNL is er nog genoeg te verbeteren, zo blijkt. Maar alle inspanningen hebben volgens hem inmiddels wel één voordeel opgeleverd: een meer gerust gevoel. ‘Vanuit de beklemming komt de bevrijding.’

Meer weten? 

  • Zie deze pagina van de ABU, met o.a. een ‘handreiking privacy. do’s and don’t’ (voor leden)
  • Dit ZiP-dossier over dit onderwerp
Peter Boerman was tussen 2016-2018 (eind)redacteur bij ZiPconomy. Hij is hoofdredacteur van Werf& ; over arbeidsmarktcommunicatie en recruitment. Hij is gefascineerd door de vraag hoe menselijk talent en organisaties bij elkaar worden gebracht, en wil met zijn verhalen bijdragen aan een wereld waarin mensen zoveel mogelijk van hun potentie kunnen verwezenlijken. Bekijk alle berichten van Peter Boerman

2 reacties op dit bericht

  1. Laat ik het maar gewoon zeggen : ‘wat een dom artikel!’.

    De ‘nieuwe’ GDPR-regels gelden al sinds mei 2016, dat is al ruim 1,5 jaar!
    Vanaf 25 mei 2018 zullen deze regels worden *gehandhaafd*.

    ‘Bewustwording’? Kan men gevoeglijk laten.
    Dat vindt al 3 decennia lang niemand belangrijk. Daarom hebben we nu immers ook een *verordening*, en geen *richtlijn* meer.
    Als je nú nog begint met ‘bewustwording’ kom je met zekerheid in de problemen.

    Stellen dat ‘de GDPR géén juristenfeestje mag worden’ slaat niet alleen de plank volledig mis, maar suggereert ook een verkeerde teneur.
    Privacy – en dus GDPR – is nooit een juristenfeestje geweest en kan het ook nooit worden.
    Compliance is een verantwoordelijkheid die bovenin de organisatie ligt, op directie-niveau, GS, B&W.
    Die verantwoordelijkheid kan niet gedelegeerd worden.

    Dat die verantwoordelijkheid al 3 decennia tot ‘juristen-feestje’ is verklaard is een brevet van onvermogen.
    Je verzekeren tegen aansprakelijkheid zal je hoogstwaarschijnlijk niet helpen. Deze verzekering zal immers niet uitkeren indien niet aan de minimum GDPR-eisen is voldaan. En dat is voor een groot deel van de Nederlandse organsaties al snel het geval.

    Nu nog zoeken naar privacyfunctionarissen zal een moeizame weg worden.
    Niet alleen is aanstelling van een DPO voor overheden verplicht, voor veel bedrijven ook. Niet straks, maar nú al!
    Zoals gezegd, de GDPR ís al van kracht, alleen zal zij vanaf mei 2018 worden gehandhaafd.
    De aanstelling van een DPO was nu juist ook bedoeld om de implementatie van GDPR-regelgeving te ondersteunen.
    ‘Ondersteunen’ inderdaad want de implementatie blijft de verantwoordelijkheid van directie-niveau.

    Goed nieuws: PostNL lijkt zijn zaakjes op orde te hebben, en daarnáást aan bewustwording te doen.
    Niks ‘juristenfeestje’.

    • @Peter,

      dank voor je reactie.

      Je opmerking omtrent het feit dat de GDPR al van kracht is, is natuurlijk juist. Feit is wel dat veel bedrijven juist vanwege die 25 mei (pas) nu in actie komen.

      Je overigens opmerkingen verwijzen naar de visie en mening van personen die op deze meeting spraken. Daar hoef je het natuurlijk niet mee eens te zijn. Dat maakt alleen het artikel noch die mensen ‘dom’.

      Hugo-Jan