Wat betekent de wet AVG voor jouw organisatie en sollicitatieprocedure?

Opeens komt het dichtbij: de ingang van de Algemene verordening gegevensbescherming (AVG) op 25 mei. Wij als Fongers & Fongers, actief in de recruitment, verwerken veel gegevens van kandidaten en opdrachtgevers dus ook voor ons is het een hot item. Hoe voeren we het effectief in onze organisatie en voorkomen we de spreekwoordelijke papieren tijger?

Hoe ga jij in je bedrijf om met de wet AVG en de sollicitatieprocedure?

Deze wet is er om de privacy van online gebruikers beter te beschermen. Dus ook de gegevens van sollicitanten. Daarmee heeft de AVG meer impact op (de sollicitatieprocedure binnen) jouw organisatie dan je nu waarschijnlijk denkt. De wet vraagt van je dat je gegevens van klanten én sollicitanten beter beveiligt. Hoe je jouw organisatie precies AVG-proof maakt? Stel jezelf om te beginnen de volgende vragen. Zo voorkom je een boete die kan oplopen tot maar liefst 20 miljoen euro!

Welke gegevens verwerk je waar?

De kans is groot dat je meer gegevens verwerkt en opslaat dan je denkt. Bijvoorbeeld via een contactformulier op de website, een CRM-systeem, een adressenlijst in Dropbox, je Google Analytics account en een personeelsdossier. Persoonsgegevens variëren van NAW-gegevens tot IP-adressen. Begin daarom met in kaart brengen welke gegevens je waar verwerkt. Zo kun je achterhalen welke maatregelen je moet en kunt nemen om deze gegevens te beschermen.

Met welke partijen moet je verwerkersovereenkomsten sluiten?

De AVG vraagt ook van je dat je verwerkersovereenkomsten sluit met partijen waarmee je gegevens deelt die je opslaat. Bijvoorbeeld partijen waarvan je opslagruimte afneemt. In deze overeenkomst moet bijvoorbeeld staan dat de verwerker meehelpt om eventuele datalekken op te lossen en niet meer met de gegevens mag doen dan afgesproken. Grote bedrijven als Microsoft en Google zorgen zelf voor zo’n overeenkomst, maar kleinere partijen meestal niet. Blijf dus altijd zelf opletten. Want niet alleen de “verwerker” van de gegevens, maar ook jij bent ervoor verantwoordelijk dat de gegevens die je deelt beschermd worden!

Is er een actueel privacybeleid en actuele privacyverklaring?

Zorg dat je een intern privacybeleid hebt. Dat betekent in de praktijk bijvoorbeeld dat je persoonsgegevens met zowel wachtwoorden als met encryptie beschermt. En dat je geen gegevens verwerkt op een onbeveiligd Wifi-netwerk. Een privacyverklaring is juridisch niet verplicht, maar wel de gemakkelijkste manier om betrokkenen (zoals sollicitanten) te informeren. Aan personen van wie je gegevens opslaat moet je namelijk communiceren wat er met die gegevens gebeurt. Ook moet je kenbaar maken wat de privacyrechten zijn van de persoon waarvan je gegevens verwerkt. Er wordt van elke organisatie verwacht dat de verklaring niet alleen volledig, maar ook beknopt, duidelijk, transparant en goed vindbaar is. Raadpleeg dit artikel voor een overzicht van wat je moet vermelden.

Wat kun je nog meer doen om betrokkenen te beschermen te informeren?

Doe wat je kunt om gegevens te beschermen binnen je vermogen. Dat betekent dat je werkwijzen of computersystemen verandert wanneer dat redelijkerwijs van je organisatie kan worden verwacht. Oftewel: je hoeft beveiligingsmaatregelen niet door te voeren tot je failliet gaat 😉. Maar verwerk je in jouw organisatie echt op grote schaal gegevens van bijvoorbeeld sollicitanten? Of sla je veel gevoelige persoonsinformatie – als etnische afkomst of religieuze overtuiging- op? Dan kan het raadzaam zijn het zekere voor het onzekere te nemen en intern een Functionaris Gegevensbescherming aan te stellen.

Wil je zeker weten dat jouw organisatie helemaal voldoet aan de AVG en de risico’s op een boete zoveel mogelijk beperken? Schakel dan een jurist in die je kan adviseren over jouw specifieke situatie.

Succes!

Bronnen: