AVG

Informatie over de Algemene Verordening Gegevensbescherming (AVG).

Wat is de Algemene Verordening Gegevensbescherming (AVG)?

De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels. Deze Europese privacywet is ingevoerd op 25 mei 2018.

Privacy as a service

Meest gestelde vragen

Met de Algemene Verordening Gegevensbescherming (AVG) wil de Europese Unie inwoners beter beschermen tegen de macht van dataverzamelaars en het misbruiken van data. Die bescherming is er gekomen met de Algemene Verordening Gegevensbescherming (AVG). In de verordening gaat het begrip ‘persoonsgegevens’ niet meer alleen over een combinatie van naam, adres of telefoonnummer, maar ook over computergegevens zoals IP-adressen en cookies en personeelsgegevens zoals BSN-nummers en personeelsdossiers van medewerkers. Voorheen hadden de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. Deze waren verouderd, mede door de komst van internet, social media en The Internet of Things.
Privacyrechten worden met de AVG versterkt en uitgebreid. Individuen en organisaties krijgen door de AVG meer mogelijkheden voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij krijgen meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Zij kunnen bijvoorbeeld inzage vragen in opgeslagen data of de verleende toestemming intrekken.

Bij het schrijven van de AVG door de wetgever zijn de volgende zaken als belangrijke uitgangspunten gehanteerd:

  • Versterking en uitbreiding van privacy-rechten individuen en klanten;
  • Meer verantwoordelijkheden b.t. het respecteren van privacy voor organisaties;
  • Dezelfde – uniforme – bevoegdheden voor Europese privacy In Nederland is dat de Autoriteit Persoonsgegevens (AP).
De Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, van zzp’ers tot en met multinationals. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen.
De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.
Deze verordening is internationaal bekend onder de naam: General Data Protection Regulation (GDPR).
De AVG is van toepassing wanneer er sprake is van verwerking van persoonsgegevens en geldt voor alle organisaties die actief zijn in de EU. Volgens de AVG moeten persoonsgegevens op een rechtmatige, behoorlijke en transparante wijze worden verwerkt.
De AVG dwingt organisaties tot meer actie en maatregelen. Je hebt verantwoordingsplicht en moet kunnen aantonen dat jij je aan de verordening houdt. Met documenten moet je kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. En je moet kunnen bewijzen dat je geldige toestemming hebt gekregen voor het verwerken van persoonsgegevens. Maak je gebruik van de diensten van een verwerker, dan moeten de afspraken over de verwerking van persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.
Je krijgt al met de AVG te maken onder andere door het versturen van offertes, facturen of (digitale) nieuwsbrieven. Of door het bijhouden van afspraken met klanten, registreren van contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of vastleggen van personeelsinformatie.
Verwerking houdt alle handelingen in die een organisatie kan uitvoeren met persoonsgegevens: van verzameling tot vernietiging.
Een verwerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteedt.
Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke personen. Denk hierbij aan een naam, adresgegevens, een telefoonnummer, emailadressen etc.
Bijzondere persoonsgegevens zijn gegevens die alleen gebruikt mogen als er een wettelijke grondslag is. Denk hierbij aan ras, gezondheid, strafrechtelijk verleden, seksuele voorkeur etc. Ook het Burgerservicenummer (BSN) is een bijzonder persoonsgegevens, niet voor de AVG maar wel volgens nationale richtlijnen.
Indien de betrokkene door middel van een verklaring of ondubbelzinnige actieve handeling (opt-in constructie) verwerking van zijn persoonsgegevens aanvaardt.
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens noemt men gegevensinbreuk.

Je mag gegevens verwerken indien er sprake is van een zogenaamde verwerkingsgrondslag. Dit kan alleen:

  • op basis van toestemming betrokkene of
  • indien de verwerking noodzakelijk is om een overeenkomst met betrokkene uit te voeren of
  • om te kunnen voldoen aan een wettelijke verplichting of
  • om een vitaal belang te beschermen of
  • om een publieke taak (overheid) uit te kunnen voeren of
  • indien er sprake is van gerechtvaardigd.
Nee, het verwerken van bijzondere persoonsgegevens zoals bijvoorbeeld ras, gezondheid, strafrechtelijk verleden, seksuele voorkeur, Burgerservicenummer (BSN) is, enz. is in beginsel verboden. Dit mag alleen als er sprake is van een wettelijke grondslag.
Gegevens mogen slechts verwerkt worden voor uitdrukkelijk omschreven doeleinden. Er mogen nooit meer gegevens verwerkt worden dan noodzakelijk voor dat doel en de gegevens moeten juist zijn. Ook mogen de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, en waar mogelijk, in een vorm waarin de betrokkene zo min en zo kort mogelijk kan worden geïdentificeerd. En vanzelfsprekend moeten de gegevens passend beveiligd worden.

Volgens de privacywet mogen uitzendondernemingen persoonsgegevens verwerken als er een wettelijke grondslag is. De belangrijkste grondslagen zijn:

  • Uitvoering van de uitzendovereenkomst, waarbij de uitzendkracht partij is. Let op: de gegevensverwerking moet noodzakelijk zijn voor de uitvoering van de overeenkomst, bijvoorbeeld voor de bemiddeling of salarisverwerking.
  • Nakomen wettelijke plicht door de uitzendonderneming. De verwerking moet strikt noodzakelijk zijn om de wettelijke verplichting na te komen. In sommige situaties is het bijvoorbeeld verplicht om het BSN en een kopie van het ID­ document van een uitzendkracht te verwerken.
  • Gerechtvaardigd belang van de uitzendonderneming. Persoonsgegevens mogen ook verwerkt worden als dat noodzakelijk is voor het behartigen van een gerechtvaardigd belang van een uitzendonderneming. Hiervoor moet u kunnen aantonen dat uw belangen prevaleren boven het belang of de fundamentele rechten en vrijheden van de uitzendkracht.
  • Toestemming van de uitzendkracht.Doordat er tussen de uitzendkracht en uitzendonderneming een afhankelijkheidsrelatie bestaat, kan de uitzend­kracht in beginsel de uitzendonderneming geen toestemming geven om persoonsgegevens te verwerken. In deze verhouding kan de toestemming namelijk vaak niet als in vrijheid gegeven worden beschouwd. Voor het verwerken van een foto heeft de Autoriteit Persoonsgegevens wel vast­gesteld dat dit is toegestaan met toestemming van de uitzendkracht, mits die toestemming natuurlijk vrijelijk is gegeven.

Uit de AVG vloeien voor de verantwoordelijke voor de verwerking een aantal verplichtingen voort:

  • het aanleggen van een register van verwerkingsactiviteiten;
  • het op schrift stellen van privacy-beleid en verwerkingsdoeleinden;
  • het maken van (striktere) afspraken met verwerkers;
  • het nemen van technische en organisatorische beveiligingsmaatregelen;
  • het toepassen van encryptie en pseudonimisering (beveiligingsmaatregel) van persoonsgegevens;
  • het informeren van betrokkenen, onder andere over de verwerkingsdoeleinden en hun rechten op een bondige en begrijpelijke wijze.
Ja, bij het kopiëren van een identificatiemiddel moet ook rekening gehouden worden met de Europese privacyregelgeving. Op een identificatiemiddel staan namelijk diverse persoonsgegevens genoteerd. Deze persoonsgegevens zijn grondrechtelijk beschermd. Daarnaast is het relevant dat een identiteitsbewijs zowel een pasfoto als een identificatienummer bevast; twee zogenaamde ‘bijzondere persoonsgegevens’, waarvoor de Europese Algemene verordening gegevensbescherming (AVG) nog extra beschermende bepalingen kent.
All About Flex is op grond van de Wet op de Loonbelasting verplicht om bij indiensttreding van een nieuwe werknemer zijn of haar identiteit te controleren aan de hand van een geldig identiteitsdocument – rijbewijs uitgezonderd – en dit op echtheid te controleren (ook wel de verificatieplicht genoemd). Na de controle is All About Flex verplicht om het gecontroleerde document – inclusief Burgerservicenummer (BSN) en pasfoto – in haar loonadministratie op te nemen en te bewaren (zie bewaarplicht).

Als de inlener het risico op inlenersaansprakelijkheid wil beperken dient de inlener het identiteitsbewijs van de medewerker te controleren en de volgende gegevens vast te leggen:

  • Naam-, adres-, woonplaatsgegevens;
    Geboortedatum;
  • Burgerservicenummer (BSN);
  • Specificatie van de gewerkte uren;
  • Nationaliteit;
  • Soort ID, identiteitsbewijsnummer en
    Let op: de inlener mag geen scan of kopie maken van het identiteitsbewijs.
Nee, volgens de AVG is het BSN geen bijzonder persoonsgegeven. Er komen waarschijnlijk wel aanvullende regels hiervoor. Tot die tijd hanteert All About Flex de richtlijnen zoals die zijn uitgevaardigd door de Autoriteit Persoonsgegevens. Dit houdt in dat organisaties buiten de overheid het BSN alleen mogen gebruiken als dit in een specifieke wet is bepaald. En alleen voor het specifieke doel dat in de wet staat omschreven.
Werving is onderdeel van het wervingsproces. Bij de intermediair is het zelfs een kernproces en daarmee een essentieel onderdeel in de bedrijfsvoering. Het werven van kandidaten gaat gepaard met het verzamelen en opslaan van persoonsgegevens en hierbij is het belangrijk dat voldaan wordt aan de AVG.
Je mag persoonsgegevens alleen verwerken/gebruiken indien deze echt nodig zijn voor het gerechtvaardigd belang. Hoe gevoeliger de gegevens, hoe zwaarder het belang moet zijn. Als het gaat om bijzondere persoonsgegevens of andere zeer gevoelige gegevens dan zal het belang van de kandidaat in de regel zwaarder wegen dan het gerechtvaardigd belang van de recruiter/intermediair. Indien er sprake is van een afhankelijkheidsrelatie dan zal het privacybelang van de kandidaat zwaarder wegen dan wanneer de kandidaat de vrije keuze heeft om geen relatie met intermediair aan te gaan. Indien de kandidaat de mogelijkheid heeft om bezwaar tegen het gebruik van zijn persoonsgegevens te maken en hij of zij heeft daar geen gebruik van gemaakt, dan weegt haar of zijn privacybelang doorgaans minder zwaar.
Een recruiter moet een gerechtvaardigd belang hebben bij het verwerken van kandidaat gegevens. Je mag de gegevens alleen verwerken/gebruiken indien deze echt nodig zijn voor het gerechtvaardigd belang. Anders mag het niet.
Het is allereerst belangrijk dat er sprake is van gerechtvaardigd belang ten aanzien van het werven van kandidaten en het verwerken van hun persoonsgegevens. Verzeker jezelf dat je daadwerkelijk de intentie hebt om de kandidaten te contacteren. Het bouwen van een talentendatabase op basis van persoonsgegevens voor het geval je het in de toekomst nodig hebt is niet toegestaan onder de AVG. Heb je expliciete toestemming gekregen van de kandidaat, dan mag men de gegevens volgens de AP voor een periode van 1 jaar bewaren. Wacht niet te lang met het contacteren van de kandidaten. Indien je de kandidaat niet informeert mag je de persoonsgegevens voor een beperkte tijd (richtlijn AP is 4 weken) bewaren. Neem dus snel contact op met de kandidaat en verwijder de data als hij of zij daar om vraagt. Als je, om wat voor reden dan ook, besluit om de kandidaat alsnog niet te benaderen dan dien je de opgeslagen persoonsgegevens meteen te verwijderen. Verzamel alleen de persoonsgegevens die je nodig hebt. Persoonsgegevens op het gebied van opleiding, werkervaring, competenties tezamen met contactgegevens zijn persoonsgegevens die horen het recruiten van kandidaten voor vacatures en mag je dus verwerken. Persoonsgegevens die niet relevant zijn, bijvoorbeeld op gebied van cultuur mogen niet verwerkt worden. Indien dit toch moet dan dien je de kandidaat toelichting te verstrekken. De persoonsgegevens moet je op een legale manier verkrijgen. Het verzamelen van persoonsgegevens van sociale profielen is legaal onder de AVG indien deze profielen publiek toegankelijk zijn en als je er vanuit mag gaan dat de kandidaten verwachten dat ze door recruiters gecontacteerd kunnen worden. Bijvoorbeeld indien iemand een publiek LinkedIn profiel heeft dan mag je er redelijkerwijs van uitgaan.
Nee, het bouwen een talentendatabase op basis van persoonsgegevens voor het geval je het in de toekomst nodig hebt is niet toegestaan onder de AVG. Heb je expliciete toestemming gekregen van de kandidaat, dan mag men de gegevens volgens de AP voor een periode van 1 jaar bewaren.
Indien je de kandidaat niet informeert mag je de persoonsgegevens voor een beperkte tijd (richtlijn AP is 4 weken) bewaren. Neem dus snel contact op met de kandidaat en verwijder de data als hij of zij daar om vraagt. Als je, om wat voor reden dan ook, besluit om de kandidaat alsnog niet te benaderen dan dien je de opgeslagen persoonsgegevens meteen te verwijderen.
Nee. Verzamel alleen de persoonsgegevens die je nodig hebt. Persoonsgegevens op het gebied van opleiding, werkervaring, competenties tezamen met contactgegevens zijn persoonsgegevens die horen bij het recruiten van kandidaten voor vacatures en mag je dus verwerken. Persoonsgegevens die niet relevant zijn, bijvoorbeeld op gebied van cultuur mogen niet verwerkt worden. Indien dit toch moet dan dien je de kandidaat toelichting te verstrekken.
Nee, niet zonder meer. Het verzamelen van persoonsgegevens van sociale profielen is legaal onder de AVG indien deze profielen publiek toegankelijk zijn en als je er vanuit mag gaan dat de kandidaten verwachten dat ze door recruiters gecontacteerd kunnen worden. Bijvoorbeeld indien iemand een publiek LinkedIn profiel heeft dan mag je er redelijkerwijs van uitgaan.
Ja, de kandidaat moet schriftelijk of digitaal toestemming hebben gegeven voordat de persoonsgegevens mogen worden verzameld. Daarbij moet de kandidaat vooraf worden geïnformeerd over voor welk gebruik van de gegevens de kandidaat toestemming geeft.
Om te beginnen moet de intermediair zich bekend hebben gemaakt. Er dient aangeven te zijn voor welk soort gebruik (doeleinden) de toestemming wordt gegeven. Let op: er moet toestemming gegeven worden voor alle doeleinden waar de gegevens voor worden gebruikt en al het soort gebruik dat er van wordt gemaakt. Er dient ook aangegeven te worden voor welke (soorten) persoonsgegevens de toestemming wordt gegeven. De kandidaat dient te worden geïnformeerd over het feit dat de toestemming altijd weer kan worden ingetrokken.
De toestemming moet worden gegeven door middel van een duidelijke bevestigende handeling van de kandidaat (bijvoorbeeld vooraf aangevinkte checkboxen zijn niet geldig). De toestemming dient vrijelijk te zijn gegeven.
Ja, de intermediair moet een helder privacy beleid voeren en recruiters dienen dit privacy beleid beschikbaar te stellen aan kandidaten. Hieruit moet ook blijken waar de persoonsgegevens worden opgeslagen en van welke software gebruik wordt gemaakt. Daarnaast dient te worden aangegeven dat de data alleen wordt gebruikt voor recruitment- doeleinden en op welke wijze de betrokkene hun rechten kunnen uitoefenen.
Ja, de intermediair moet een helder privacy beleid voeren en recruiters dienen dit privacy beleid beschikbaar te stellen aan kandidaten. Hieruit moet ook blijken waar de persoonsgegevens worden opgeslagen en van welke software gebruik wordt gemaakt. Daarnaast dient te worden aangegeven dat de data alleen wordt gebruikt voor recruitment- doeleinden en op welke wijze de betrokkene hun rechten kunnen uitoefenen.
Ja, het bedrijf / de recruiter moet aan kunnen tonen dat wordt voldaan aan de AVG. Let op: je bent ook verantwoordelijk voor het feit of je toeleveranciers voldoen aan de AVG.
Het recht om vergeten te worden houdt in dat de recruiter moet stoppen met gegevens verwerken en deze moet verwijderen zodra de betrokkene hierom verzoekt. Let wel op dat je geen persoonsgegevens verwijderd waarvoor een wettelijke grondslag is met bijbehorende bewaartermijn. In zo’n geval gaat de wettelijke verplichting om de gegevens te bewaren boven het recht van de betrokkene om verwijderd te worden.
Ja, kandidaten hebben dat recht. De kandidaat mag de intermediair vragen of deze persoonsgegevens van hem of haar heeft vastgelegd en zo ja, welke. Er hoeft geen reden te worden gegeven voor het inzage verzoek. Bovendien mogen er geen kosten worden doorbelast voor dit verzoek. Binnen 1 maand dien je de opgevraagde gegevens aan te bieden.
Ja, kandidaten hebben recht op ‘overdraagbaarheid’ van persoonsgegevens. Dit houdt in dat ze recht hebben om de persoonsgegevens te ontvangen die je hebt van hem of haar of over te dragen naar een derde partij.

In Nederland is de Autoriteit Persoonsgegevens (AP) het orgaan dat hierop toezicht gaat houden en zal handhaven. De AP kan uw organisatie sancties opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt. Ook kan het achterwege laten van een datalek melding een reden zijn voor een boete. Indien gewenst kunnen wij helpen bij AVG vragen. Neem dan contact met ons op voor meer informatie.

Publicaties

Privacy as a service

AVG-proof dankzij data protection as a service