Flexmarkt nog niet wakker over Europese privacywet

 

Het Financieele Dagblad opende op maandag 14 augustus jl. op de voorpagina met de kop dat bedrijven in paniek zijn over nieuwe Europese privacy wetgeving die aanstaande is. Volgens experts hebben bedrijven grote moeite om te voldoen aan deze nieuwe wetgeving voor bescherming van persoonsgegevens. Als ze in gebreke blijven dreigen aanzienlijke sancties van toezichthouders oplopend tot 4% van de omzet. In deze blog ga ik op zoek naar de gevolgen voor de flexmarkt. Hoe staat het daar met de paniek?

Waarom is privacy hot?

Techniek stelt bedrijven steeds beter in staat om voordeel te halen uit het gebruik van big data. Systemen worden gekoppeld in de cloud, werk wordt efficiënter gemaakt, toekomstig gedrag van consumenten wordt voorspeld vanuit de sporen die zij in systemen en op internet achter laten. Bedrijven zijn verliefd geworden op big data.

De consument is hier niet altijd blij mee. Er vonden al in 2011 protesten plaats tegen bedrijven als Facebook. Ook Google en Amazon staan in de spotlights. Voeg daarbij de met enige regelmaat opduikende schandalen rond hacks op gevoelige gegevens en zie daar waarom afspraken over data gebruik nodig zijn.

In Nederland kennen we al sinds 2001 de Wet Bescherming Persoonsgegevens (Wbp). De nieuwe Algemene Verordening Gegevensbescherming (Avg) voegt meer eisen toe en is strenger in handhaving.

Wanneer geldt de AVG en waarom voor flexbedrijven?

Alle bedrijven die persoonsgegevens bezitten of verwerken krijgen te maken met de regels van de Avg. En daar vallen flexbedrijven vanzelfsprekend ook onder. Hoe vaak zegt een intercedent immers niet tegen een klant dat zijn kandidatenbestand zijn kapitaal is?
Onder persoonsgegevens valt alle informatie waarmee je natuurlijke personen direct of indirect kunt identificeren. Onder bezitten en verwerken vallen ook verzamelen, opslaan, wijzigen, raadplegen, gebruiken, verspreiden, combineren, wissen of vernietigen van gegevens. Tel uit je winst, daar valt dus vrijwel alles onder wat je met data kunt doen.

Ook arbeidsbemiddelingsbedrijven moeten voorzichtig met kandidatendata om gaan, dat is niets nieuws. In 2014 concludeerde de Autoriteit Persoonsgegevens (AP) dat Randstad op verschillende punten de Wbp overtrad bij de verwerking van gegevens van uitzendkrachten. Concreet nam Randstad BSN nummers en kopieën ID te snel in haar systemen op. Dit mag pas nadat de kandidaat aan een inlener wordt voorgesteld en niet al bij de intake. Randstad paste haar processen schielijk aan. Onder de Avg geldt dit onverminderd, maar zal de handhaving strenger worden en het uitdelen van boetes toenemen. Met boetes tot 4% van de omzet is het van groot belang om uw processen hier nog eens goed op te checken.

Uitgangspunt van de Avg is dat de betrokkene toestemming moet geven voor de vastlegging van zijn of haar gegevens. Er is dus een actieve handeling nodig. In het verlengde daarvan heeft een kandidaat onder de Avg straks het recht om al zijn gegevens op te vragen. En de houder van de data zal deze gegevens dan ook onverkort en volledig vanuit zijn systemen moeten kunnen verstrekken. Dit heet “data portabiliteit”. Handig voor de kandidaat die zich ook bij een ander bureau in wil schrijven met behulp van de data uit uw systeem. Nog een stap verder gaat de kandidaat die vraagt om naleving van “het recht om vergeten te worden”. Dan moet u niet alleen alle data over de kandidaat aan hem of haar overdragen, maar deze ook nog volledig uit uw systemen verwijderen. Het zijn slechts twee voorbeelden uit de Avg waarmee u te maken gaat krijgen. En zo zijn er nog veel meer.

Behalve uw processen nalopen, zullen uw systemen er dus ook aan moeten geloven. Uw software leverancier over Avg compliancy aan de tand voelen is dan ook cruciaal. Bij onbevredigende antwoorden wordt u mogelijk genoodzaakt versneld voor andere software kiezen die wel aan de Avg voldoet.

Mogelijk heeft u het in de keten zo georganiseerd dat u zelf geen juridisch werkgever bent. U gebruikt bijvoorbeeld een payrollbedrijf voor uw backoffice. Ook dan blijft u als eerste verwerker aansprakelijk richting de rechthebbende. Dus ook dan dient u een stevig leveranciersgesprek over Avg compliancy te voeren met uw backoffice dienstverlener.

Is de branche al in paniek?

Ik volg de flex media al geruime tijd op de voet en vind het vooralsnog oorverdovend stil. Allereerst van de kant van de brancheverenigingen. Op de website van de ABU zijn geen actuele nieuwsberichten te vinden, ook niet na de recente berichtgeving in het FD. In het ABU beleidsplan 2017 is pas op pagina 32 (van 40) een korte paragraaf over de Avg te vinden. Bij de NBBU is na enig zoeken op de website een Handreiking Privacy te vinden, maar die dateert alweer van februari 2016. Niet direct top of mind bij beide brancheclubs, zo lijkt het.

En de software leveranciers dan? Ook daar valt nog weinig nieuws te vernemen. Terwijl het voor hen om ingrepen diep onder de motorkap gaat. Mogelijk dat ze zich stil houden omdat ze nog hard aan het werk zijn. Of kijken ze nog even een andere kant op omdat ze hun ontwikkelcapaciteit liever aan meer sexy functionaliteit besteden, waarmee hun klanten direct meer handel realiseren. Toch zullen vooral de grotere software leveranciers het zich niet kunnen permitteren hun zaakjes niet snel op orde te hebben. Campagnes en workshops uit die hoek zullen niet lang meer op zich laten wachten.

De Avg gaat in per 25 mei 2018. Het is een EU richtlijn, dus een lobby voor uitstel in Den Haag gaat niet helpen. Vluchten kan niet meer. Als u er nog niet wakker van lag dan was dit uw wake up call.