AVG en Inhuur van personeel
Rotterdam, november 2017
Staffing MS
• Paul Oldenburg – Business Development Staffing MS
• Publieke Sector (Zorg, Onderwijs, Overheden)
• Thema’s Aanbestedingswet, Best Value, Wet DBA en AVG
• Ruim twintig jaar ervaring in Flex (16 jaar uitleen, 7 jaar inleen)
• Co-auteur van het boek Professioneel Inhuren van Flexibele Arbeid
Voorstellen
Staffing MS
• Gevestigd te Rotterdam
• Volledig onafhankelijke MSP, geen belangenconflict met leveranciers
• Best practice proces bewezen bij ruim 40 klanten, waarvan 15 aanbesteding plichtig
• 200 miljoen omzet
• State of the art technologie partner waar DAS en VMS volledig zijn geïntegreerd door software partner Netive. (Staffing MS is een certified implementation partner)
• Kennispartner: Oprichter Bovib, Auteurs Professioneel Inhuren van Flexibele Arbeid, Organisator van kennisevents, seminars en congressen met kennisnetwerk (VB&K, Mazars, Pellicaan, Netive, Aeves) rondom thema’s als Wet DBA en Aanbestedingswet
Doel
• Doelstelling van vandaag
• Belang professioneel inhuurproces
• Bewustwording belang compliance aan AVG
• Handvatten aanreiken om project binnen de eigen organisatie te starten
• Wat kunt u verwachten van een intermediair (Master Vendor,
MSP of Broker)
Grip op inhuurproces
• Issues op inhuur
• Kostenbesparing ivm economische crisis (2008 – 2014)
• WAS, WAADI, WKA, WWZ en Wet DBA (2013 – 2017)
• Aanbestedingswet (2016 – 2018)
• Privacy (AVG) (2018 – 2019)
• Toenemende schaarste (2017 – 2020)
• Een professioneel proces is snel en doeltreffend aan te passen
• Kenmerken professioneel proces:
• Duidelijk doel (kwaliteit, geld, risico, gemak)
• Eenduidig beschreven activiteiten
• Zelfsturend middels plan – do – check -act
• Duidelijke verantwoordelijke
• Voorspelbaar resultaat
Bewustwording
Risico = Kans x Boete
Inventarisatie
• Is er een project AVG in uw organisatie?
• Is er een beoogd DPO / CISO en een FG voor Inhuur?
• Vindt inhuur nog versnipperd plaats?
• Is inhuur gedefinieerd als deelproject binnen het AVG
project?
• Met een versnipperd inhuurproces is AVG compliance bijna niet mogelijk
• Definieer daarom 1 inhuurproces, met 1 eigenaar en 1 inhuurbeleid
• Definieer privacy beleid binnen het inhuurbeleid
• Welke gegevens worden in het proces vastgelegd
• Waarom zijn deze gegevens “strikt noodzakelijk” voor het beoogde doel (privacy by default)
• Waar zijn deze gegevens te vinden
• Wie heeft toegang tot deze gegevens (interne medewerkers, maar ook externe verwerkers)
Inhuurproces
VMS
Opstellen verwerkingsregister
• Naam en contact verantwoordelijke(n) en de FG die het register beheert
• Definieer welke gegevens van kandidaten worden vastgelegd
• Geef aan waarom deze gegevens worden vastgelegd (doeleinden)?
• Welk doel dient een BSN nummer?
• Kopie paspoort?
• CV
• VOG, BIG, Diploma’s
• Beoordelingen (intake, tussentijds en exit)
• Bepaal bewaartermijn en borg signalering
• Beschrijving beschermingsmaatregelen
• Eventuele verstrekking aan 3
eland of internationale organisatie
Welke gegevens?
Als personeel wordt ingeleend, is de formele
werkgever (de uitlener) verantwoordelijk voor de fiscale verplichting een kopie van
het identiteitsbewijs te bewaren. De inlener mag dat niet.
Op grond van per 1 januari 2017 gewijzigde fiscale wetgeving mogen uitlener en onderaannemer wel het BSN van de uitgeleende werknemers, respectievelijk door de onderaannemer ingezet personeel aan de opdrachtgever (inlener of aannemer) verstrekken.
Degene die aan zzp’ers opdracht geeft, doet er goed aan om de identiteit van de zzp’er te verifiëren. Het kopiëren van het identiteitsbewijs en het registreren van het BSN is niet toegestaan.
Vastleggen en beheren van gegevens
• Voorkom dat gegevens van kandidaten “zwerven” door verschillende systemen, zowel online als offline.
• Migreer zo snel mogelijk naar 1 onderliggend VMS of FMS
• Controleer overige datastromen en probeer deze te beperken (documentbeheer)
• Toets het VMS op “privacy by design” principe
• Stel een Functionaris Gegevensbescherming aan voor het VMS of
beleg deze rol bij de functioneel beheerder
Preventie datalekken
• Organisaties moeten maatregelen treffen om datalekken te voorkomen
• Maatregelen moeten aantoonbaar werken
• Concrete voorbeelden van datalekken door persoonlijke oorzaak:
• Kwijtgeraakte USB-stick met persoonsgegevens;
• Gestolen laptop;
• Het verzenden van een e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden
• Toegang van een onbevoegde tot het VMS;
• Overzicht sollicitanten wordt per ongeluk extern gedeeld.
• Twee categorieën maatregelen: technisch (presentatie Netive) en organisatorisch
• Organisatorische maatregelen gaan vooral over bewustwording (stap 1) en aanpassen werkinstructies en protocollen (stap 2)
Wat moeten wij?
Criteria grootschalige gegevensverwerking
Wilt u bepalen of uw organisatie volgens de wet op grote schaal
(bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:
het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
de hoeveelheid gegevens die u verwerkt;
de duur van de gegevensverwerking;
de geografische reikwijdte van de verwerking.
Wat doen wij?
• Doel: AVG proof certificaat als verwerker en als
verantwoordelijke, zodat klanten en leveranciers op dit punt worden ontzorgd
• DPO aangesteld
• Projectgroep gestart, volgt het door de AP ter
beschikking gestelde 10 stappenplan
10 Stappenplan AP
Stap Hulpmiddel / aandachtspunten
Bewustwording Guidelines AP
Rechten van betrokkenen Recht op inzage, correctie en verwijdering en portabiliteit Verwerkingsregister Afhankelijk of je verwerker of
verantwoordelijk bent
(ontvangers noemen, datum wissen, welke personen)
DPIA Op de website van NOREA staat
een handzaam documentje van 62 pagina’s
Privacy by design & default Proportioneel en Opt in geborgd Functionaris voor
gegevensbescherming
Richtlijnen laten ruimte bij wie dit te beleggen
10 Stappenplan AP
Stap Hulpmiddel / aandachtspunten
Meldplicht Datalekken Alle datalekken moeten gedocumenteerd, ook de datalekken die niet worden
gemeld. Richtlijnen zijn nog niet definitief
Bewerkersovereenkomsten Let op verschil tussen
verantwoordelijke en verwerker Leidende toezichthouder Van toepassing voor international
opererende ondernemingen
Toestemming Geldige toestemming moet
gespecificeerd en specifiek gegeven zijn
Tot slot
• Is AVG belangrijk binnen uw organisatie?
• Gebruik AVG als kans om inhuurproces nu te professionaliseren
• Maak afspraken met uw intermediair of proceseigenaar over taakverdeling en projectaanpak
• Nog niet begonnen? Laat een scan uitvoeren
• Door Pellicaan
• Door een bij NOREA aangesloten auditor