< Terug naar overzicht

GDPR in de uitzendsector: De 5 geboden

De eindfase om als organisatie ‘compliant’ te worden aan de General Data Protection Regulation (GDPR) die Europa uitvaardigde op 27 april 2016, is ingezet. Ook in de uitzendsector lopen er diverse projecten. Een bijdrage van Johan Weemaes, COO/Head of Legal bij Synergie.

We merken meer dan ooit een toenemend besef bij uitzendkrachten en kandidaten dat hun recht op de bescherming van de persoonlijke levenssfeer een grondrecht is, waarmee verantwoord omgegaan moet worden. Maar even goed zijn ook onze bedrijven waar de uitzendkracht aan de slag gaat, steeds kritischer als het over privacybescherming gaat. Precies zoals een correct veiligheids- en welzijnsbeleid, verwacht men van het uitzendkantoor een voldoende hoge bescherming van persoonsgegevens. Sommige bedrijven leggen al een privacy-audit op aan hun HR-partner.

Uitzendkantoren die GDPR-compliant willen zijn, staan voor een behoorlijke uitdaging. Alle bedrijfsprocessen waar het gebruik van persoonsgegevens noodzakelijk is, moeten onder de loep genomen worden. Dit zowel voor de juridische mogelijkheden om de data te gebruiken, als om na te gaan of de technische omgeving voldoende garandeert dat de rechten van de betrokkenen gerespecteerd kunnen worden.

Deze oefening blijkt niet eenvoudig en vooral tijdrovend. Medewerkers opleiden in de basis van GDPR is dan ook essentieel. Gelukkig volstaat het om vijf eenvoudige basisregels te verankeren in de werkwijze: de vijf geboden van GDPR.

1. Weet wat persoonsgegevens zijn

Alle informatie over een geïdentificeerde of identificeerbare persoon valt onder de GDPR-bescherming. Ook indirect identificeerbare personen (via bijvoorbeeld een IP-adres, SIM-kaartnummer, kenteken van de bedrijfswagen, ...) zijn beschermd. Alleen wanneer de persoonlijke informatie anoniem gemaakt wordt, waardoor anderen op geen enkele wijze kunnen achterhalen over wie het gaat, vallen de gegevens buiten de scoop.

2. Weet dat je altijd een rechtsgrond moet hebben om de gegevens te gebruiken

Het akkoord en de bijhorende informatie is de meest evidente rechtsgrond, maar dat was het voor GDPR ook. Heel wat verwerkingen zijn perfect mogelijk zonder toestemming. Een DIMONA-aangifte bij de RSZ bijvoorbeeld, of de aangifte van prestaties en lonen aan de fiscus. Dat zijn wettelijke verplichtingen. Een akkoord is niet nodig, behalve als je de informatie wil gebruiken voor andere doeleinden. Iedereen moet zich er wel van bewust zijn dat het opvragen, behouden en doorgeven van informatie enkel kan als je hiervoor een geldige reden hebt.

3. Ga op een kwalitatieve manier om met de informatie

Medewerkers moeten duidelijke richtlijnen krijgen over de omvang van de gegevens die men mag vragen. Zij moeten begrijpen dat ze geen overbodige informatie kunnen noteren en dat de bewaartermijn nooit oneindig is. Software kan ondersteunend werken om GDPR-compliant te worden, maar de medewerkers zelf hebben de kwaliteit van de data in de hand.

4. Respecteer de rechten van de uitzendkracht

In de aanloop naar de inwerkingtreding van de verordening en de aandacht in de media, beroepen mensen zich steeds vaker op hun rechten. In een goed uitgewerkt privacybeleid weet de uitzendkracht hoe hij of zij deze rechten kan doen gelden. Laat echter geen steken vallen. Mailings die blijven toekomen, zelfs na zich uitgeschreven te hebben, zorgen voor ergernis en extra werk. Duidelijke interne procedures zijn onontbeerlijk en verhelpen dat een eenvoudige vraag plots uitgroeit naar een klacht bij de privacycommissie.

5. Wees je bewust van de verplichtingen als verantwoordelijke voor de verwerking

Iedereen moet een ‘privacyreflex’ hebben. Zo kan de marketingafdeling bijvoorbeeld overtuigd zijn van de werking van Amerikaanse mailingsoftware, maar men zal automatisch moeten stilstaan bij de principes van privacybescherming alvorens een keuze te maken. Of let bijvoorbeeld op dat nieuwe idee van de HR-afdeling om de samenwerking op te starten met een website rond ‘corporate benefits’ die aanlokkelijke kortingen belooft voor personeelsleden die hiervoor wel een persoonlijk account moeten maken. Twee voorbeelden van initiatieven die voorheen vermoedelijk zonder verdere vragen beslist werden, zonder het privacy-aspect mee te nemen. Het zal de eerste uitdaging worden van de DPO om de privacyreflex aan te leren via opleiding, herhaling en … herhaling.

■ De auteur, Johan Weemaes, is COO/Head of Legal bij Synergie. Hij schreef deze tekst als lid van de adviesraad van HR Square.


< Terug naar overzicht

U zoekt, u vindt !

HR Square | Magazine, E-zine, Netwerk, Website, Seminaries, ...

Word nu lid !
Geniet van de voordelen