Omdat het verwerken van persoonsgegevens voor uitzendbureaus een essentieel onderdeel is van de bedrijfsvoering, is de AVG juist voor flexondernemers belangrijk. In dit artikel van staan praktische tips om als uitzendbureau AVG-compliant te zijn. Volgens accountant en adviesorganisatie PwC is nog niet de helft van de middelgrote organisaties gereed voor de Europese privacywetgeving (AVG), die vrijdag 25 mei in werking is getreden. Dat geldt ook voor uitzendbureaus. Dat zal niet gelijk tot boetes leiden, maar het wordt wel tijd dit snel op orde te krijgen.

Veranderingen voor de uitzendkracht

Elke organisatie waaraan de uitzendkracht zijn persoonsgegevens toevertrouwt, moet toestemming vragen aan de uitzendkracht voor het opslaan van die gegevens. Ook moet de organisatie daarbij vermelden wat de organisatie gaat doen met deze gegevens. Daarnaast heeft de uitzendkracht de volgende aanvullende rechten:

  • Recht op vergetelheid: Wil je de toestemming voor het gebruik van jouw persoonsgegevens terugtrekken? Dat mag. Ook eventueel derde partijen moeten dan jouw gegevens volledig uit hun systeem verwijderen.
  • Recht op dataportabiliteit: Benieuwd welke gegevens een bedrijf van je heeft? Onder bepaalde voorwaarden heb je nu het recht om een standaardformat op te vragen bij het bedrijf waardoor inzichtelijk wordt welke gegevens een bedrijf van jou heeft.

Veranderingen voor het uitzendbureau

Doordat de verantwoordingsplicht van de nieuwe privacywet bij de organisatie ligt, moet elke organisatie te allen tijde kunnen aantonen met documenten dat je alle organisatorische en technische maatregelen heeft genomen om aan de eisen van de Wet AVG te voldoen. Voor alle persoonsgegevens die je verwerkt moet je toestemming hebben van de persoon in kwestie. Daarnaast ben je verplicht om:

  • Een data protection impact assessment uit te voeren bij nieuwe verwerkingen of wijzigingen in de huidige verwerking;
  • Te onderzoeken of een functionaris voor de persoonsgegevens aangesteld moet worden;
  • Zoals boven gemeld: op iemands verzoek zijn of haar gegevens volledig te verwijderen uit je systeem of een uitdraai te maken van alle persoonsgegevens die je van die persoon hebt;
  • Datalekken melden. Heeft er zich onverhoopt een datalek voorgedaan, dan ben je verplicht dit te melden aan de uitzendkracht.

Bewaartermijnen en regels per type kandidaat

De AVG heeft betrekking op het verwerken van de persoonsgegevens van uitzendkrachten. Voor elk type kandidaat gelden andere bewaartermijnen en regels Hieronder werken we per type uitzendkracht voor je uit wat de consequenties zijn. Daarbij maken we onderscheid tussen:

  1. ingeschreven kandidaat
  2. werkzame uitzendkracht
  3. zieke uitzendkracht
  4. niet meer werkzame uitzendkracht

1. Ingeschreven kandidaat

Bij het inschrijven van een uitzendkracht mag je alleen die persoonsgegevens noteren in een systeem die nodig zijn voor de arbeidsbemiddeling. Daarbij moet je sowieso toestemming vragen om deze gegevens te noteren in jouw CRM-systeem. Met dat akkoord mogen de gegevens van een kandidaat maximaal 2 jaar worden bewaard. De volgende persoonsgegevens mogen worden opgeslagen:

  • NAW-gegevens
  • E-mailadres
  • Telefoonnummer
  • Relevante werkervaring
  • Opleiding(en), cursussen, certificaten
  • Kopie identiteitsbewijs. Je mag een kopie voor maximaal 4 weken opslaan, daarna moet deze verwijderd worden tenzij de kandidaat overgaat tot werkzame uitzendkracht. Tijdens het intakegesprek mag/moet je het ID-bewijs checken op echtheid

De volgende persoonsgegevens mogen niet worden opgeslagen:

  • BSN
  • Gezondheidsgegevens
  • Godsdienst (religie)
  • Overige bijzondere persoonsgegevens

2. Werkzame uitzendkracht

Alle gegevens voor het correct uitvoeren van de salarisadministratie mogen worden verwerkt:

  • NAW-gegevens
  • Bankrekeningnummer
  • BSN
  • Kopie identiteitsbewijs

Je hebt bovenstaande gegevens nodig voor het vaststellen van de identiteit van de uitzendkracht. N.B. Het BSN van de uitzendkracht mag je alleen verstrekken aan de inlener mits dit noodzakelijk is voor vaststelling van de aansprakelijkheid (in het kader van de wet ketenaansprakelijkheid) van de inlener.

3. Zieke uitzendkracht

Als de uitzendkracht ziek wordt dan mag niet alles van en over deze ziekteperiode worden geregistreerd. De uitzendkracht heeft het recht om de aard van het verzuim niet te melden. Bij het verwerken van de ziektegegevens mogen de onderstaande punten wel worden verwerkt:

  • Telefoonnummer (verpleeg) adres
  • Vermoedelijke duur van het verzuim
  • Werknemer valt onder vangnetbepaling Ziektewet (no risk)
  • Ziekte staat in directe relatie arbeidsongeval
  • Verzuim wordt veroorzaakt door verkeersongeval

Deze gegevens mogen niet worden verwerkt:

  • De aard en oorzaak van verzuim (ook niet de naam van de ziekte)
  • Eigen waarnemingen over de toestand van de uitzendkracht
  • Afspraken met artsen, therapeuten enz.

4. Niet meer werkzame uitzendkracht

De persoonsgegevens van een uitzendkracht die voor je heeft gewerkt, moeten uiterlijk 2 jaar na de laatste dag waarop de uitzendkracht werkzaam is geweest worden verwijderd. Voor een overzicht van de bewaarplicht per type document, geldt:

  • Administratie en fiscale bewaarplicht: Voor de administratie die noodzakelijk is voor de controle op de belasting en vennootschappelijke administratieplicht (bijvoorbeeld de salarisadministratie, uitzendovereenkomst en voor zover noodzakelijk pensioenverplichtingen) geldt een bewaartermijn van maximaal 7 jaar.
  • Loonbelasting: Verzoeken tot loonheffingskorting, NAW-gegevens, BSN, geboortedatum en afschriften van documenten ter identificatie moeten worden bewaard tot ten minste 5 jaar na einde van het kalenderjaar waarin de dienstbetrekking eindigt.
  • Bijzondere situatie: Bij een concrete klacht of claim mogen de daarvoor noodzakelijke gegevens worden bewaard tot definitieve afhandeling of verjaring van de claim.

Persoonsgegevens van uitzendkracht delen met derden

Tussen jouw uitzendbureau en elke derde partij waarmee je persoonsgegevens van een uitzendkracht deelt, dient een verwerkersovereenkomst te zijn afgesloten. Voorbeelden van zulke derde partijen: je verloningspartij, accountantsbedrijf, softwareleverancier(s), enz. Hierin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Onderwerpen die o.a. in een verwerkersovereenkomst worden vastgesteld zijn: aansprakelijkheid, beveiligingsmaatregelen en geheimhouding.

Moet uitzender met opdrachtgever een verwerkersovereenkomst sluiten?

Nee, in principe hoeven uitzendbureaus geen verwerkersovereenkomst te sluiten met inleners. Volgens de AVG moet u een verwerkersovereenkomst sluiten als u zaken doet met een ‘verwerker’. Verwerkers zijn partijen die in opdracht van u persoonsgegevens verwerken, waarbij u het doel en de middelen van de gegevensverwerkingen bepaalt. Dit is het geval bij bijvoorbeeld de leverancier van een personeelsadministratiesysteem of een extern salarisverwerkingsbedrijf. Met dergelijke partijen zult u in de meeste gevallen een verwerkersovereenkomst moeten sluiten.

Uitzendbureau en inlener zijn ‘verwerkingsverantwoordelijke’

Voor inleners geldt dit in principe niet; zij zijn geen verwerker. Een opdrachtgever bepaalt zelf zijn doelen en middelen voor de gegevensverwerking. Hij beslist zelf met welke gegevensverwerkingssystemen wordt gewerkt, welke gegevens daarin worden opgenomen en op welke wijze dit wordt gedaan. Dit gebeurt niet in uw opdracht en de inlener legt geen verantwoording aan u af over zijn handelen ten aanzien van persoonsgegevens. Zowel de uitzender als de inlener is daarom ‘verwerkingsverantwoordelijke’ en geen ‘verwerker’. Er hoeft dus in principe geen verwerkingsovereenkomst te worden gesloten. Meer informatie over het begrip ‘verwerker’ kunt u lezen in de AVG-handreiking van de Rijksoverheid (paragraaf 3.5).

Welke persoonsgegevens mag ik aan een inlener verstrekken?

Nadat er tussen jou en de inlener een verwerkersovereenkomst is opgesteld en ondertekend, mag je de volgende gegevens delen:

  • Naam
  • Adres
  • Geslacht
  • Geboortedatum
  • Telefoonnummer
  • E-mailadres
  • Relevante werkervaring, opleidingen en cursussen
  • BSN (enkel als vrijwaring van de inlenersaansprakelijkheid en ketenaansprakelijkheid)

Welke gegevens mogen niet worden gedeeld:

  • Uittreksel basisgegevens (BRP)
  • Bankrekeningnummer
  • Kopie ID-bewijs
  • Strafrechtelijke gegevens
  • Gezondheidsgegevens (tenzij dit strikt noodzakelijk is)

Daarbij geldt:

  • Verstrekking van de persoonsgegevens mag enkel nadat de uitzendkracht van tevoren is geïnformeerd
  • Overdracht gegevens gebeurt via versleutelde bestanden en een beveiligde verbinding
  • Er is een ondertekende verwerkersovereenkomst tussen inlener en uitzendbureau

Bron: Paytra/ABU/Flexmarkt