Voor werving & selectie en detacheringsbedrijven, die dagelijks kandidaten benaderen, introduceren en plaatsen bij opdrachtgevers, zijn een transparant beleid én de juiste instrumenten om het beleid te borgen en uit te voeren een must. Met de uitbreiding van de Wet bescherming persoonsgegevens (Wbp) groeit de noodzaak om een privacy statement te hebben dat door de hele organisatie wordt gedragen. Het privacy statement maakt voor zowel de kandidaat als de organisatie transparant hoe met informatie binnen de organisatie wordt omgegaan.
Carerix heeft rond de Wbp een aantal praktische adviezen opgesteld die de taken en verantwoordelijkheden uiteenzetten om bedrijven binnen de recruitmentsector te ondersteunen in het monitoren en sturen van de Wbp.
Nut van een privacy statement
Een belangrijk doel van de Wbp is het transparant maken hoe verwerkte persoonsgegevens door organisaties worden behandeld en met welk doel informatie wordt verwerkt. Het waarborgen van privacy is, naast een kwestie van techniek, vooral ook een gedragsaspect waarop werving & selectie en detacheringsorganisaties kunnen sturen. Een goed startpunt hierbij is het opstellen van een privacy statement waarin transparant en zichtbaar voor iedereen het gedrag rond het verwerken en vastleggen van persoonsgegevens wordt vastgelegd. In een privacy statement kunnen zaken worden vastgelegd ten aanzien van verwerking van gegevens, waarbij onderscheid gemaakt wordt tussen:
- bezoekers van de website;
- flexwerkers, kandidaten, sollicitanten, zelfstandigen zonder personeel en (directe of ingehuurde) werknemers;
- werknemers of vertegenwoordigers van (potentiële) zakelijke relaties.
Meldplicht datalekken
De overheid heeft extra maatregelen aangekondigd ten aanzien van de handhaving van de Wbp. Hoewel de onderliggende wetgeving niet is veranderd, zijn elementen toegevoegd waaronder vanaf 1 januari 2016 de ‘meldingsplicht datalekken’. Als blijkt dat onbevoegden toegang hebben gekregen tot een applicatie of systeem dan dient de gebruikende organisatie uit te zoeken of men verplicht is daar melding van te doen. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan, zoals bijvoorbeeld het kwijtraken van een USB-stick, diefstal van een laptop of een inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs is uit te sluiten.
Reinald Snik, directeur Carerix: “Donderdag 28 januari jongstleden was de ‘dag van de privacy. Deze jaarlijks terugkerende dag is in het leven geroepen om het belang en waarborgen van privacy te onderstrepen. Als leverancier van software voor werving & selectie en detacheringsorganisaties, draagt Carerix dit soort initiatieven een warm hart toe. Immers, kandidaten en freelancers maar ook de opdrachtgevers van onze klanten willen kunnen werken met compliant processen en systemen, zonder te hoeven nadenken of het veilig is en voldoet aan de wet.”
