GDPR; best practice en tips van De Staffing Groep
De deadline van de voorbereidingstijd is verstreken en de Autoriteit Persoonsgegevens zal nu de GDPR daadwerkelijk handhaven. Uit het Recruitment Trends Onderzoek voor Bureaus 2018 blijkt dat veel organisaties zich afvragen of zij wel helemaal klaar zijn voor de nieuwe wetgeving rondom data privacy. Wij zijn benieuwd naar best practices in de markt. Robert da Costa, kwaliteitsmanager en Data Privacy Officer van De Staffing Groep, vertelt over hun voorbereidingen en de impact van de GDPR voor De Staffing Groep (DSG).
Welke impact heeft de GDPR op De Staffing Groep?
“Eigenlijk waren we vanuit onze ISO 9001 en MVO Prestatie Ladder certificeringen al intensief bezig met onze procedures en processen. In principe is er dus met de komst van de GDPR niet veel veranderd, omdat volgens ons Management Systeem en de al bestaande wetgeving de privacy van stakeholders al geregeld was. In het kader van continu verbeteren, heeft DSG in 2017 besloten om de processen en werkwijzen in te richten conform de ISO 27001 norm. Deze norm is primair geënt op security en leent zich daardoor prima om de GDPR regels aan te koppelen. Het handboek is dan ook een combinatie van onze certificeringsschema’s en de GDPR regels. DSG zal zich eind 2018 laten certificeren volgens deze norm en zo de verantwoordelijkheden die voortkomen uit de naleving van de GDPR borgen in al haar werkzaamheden.”
Dus de GDPR zorgt eigenlijk niet voor radicale veranderingen?
“Nee, volgens mij heeft de Autoriteit Persoonsgegevens het onnodig ingewikkeld gemaakt. Eigenlijk zijn de regels omtrent beveiliging van persoonsgegevens helemaal niet anders dan de procedures die je moet inrichten volgens de ISO 27001. De risico-analyse van de ISO is prima te combineren met de privacy impact analyse van de GDPR. Ik vond dat inzicht heel verhelderend.“
Wat is jouw tip voor organisaties die worstelen met de GDPR?
“Mijn belangrijkste tip is dat je moet zorgen voor awareness bij je medewerkers. Niet alleen nu, maar altijd, overal, en in alles wat ze doen. Wij steken hier veel energie in. We nemen onze mensen continu mee in de impact van security zaken. Dit doen we met trainingen, maar ook met simpele herinneringen in de dagelijkse praktijk. Lock je scherm, zorg voor een clean desk, houd je mailbox schoon, wees zorgvuldig met het delen van data, etc.”
Hoe gaan jullie om de beveiliging van persoonsgegevens?
“Iedereen die in onze database wordt opgeslagen, geeft hiervoor expliciet toestemming, hetzij persoonlijk, hetzij via de site. Kandidaten die zich via de site aanmelden voor een opdracht moeten via een privacy statement akkoord gaan met het feit dat wij de verstrekte gegevens gedurende een jaar bewaren. In een link verwijzen we naar onze uitgebreide privacyverklaring.”
Hoe zorgen jullie voor een zuivere database?
“Onze database was al goed op orde. Vorig jaar zijn wij overgestapt naar het Bullhorn Connexys recruitmentsysteem en toen hebben we al onze data opgeschoond. Alle kandidaten in Connexys hadden op basis van ons oude proces al via opt-in toestemming gegeven hun gegevens op te slaan. Hen hebben we een mail gestuurd om onze procedure kenbaar te maken en te wijzen op hun rechten volgens de GDPR. Deze exercitie is ons enorm meegevallen. Slechts enkele personen hebben gebruikgemaakt van hun ‘recht om vergeten te worden’.”
Hoe gaan jullie om met het recht op inzage?
“Voor de mogelijke vragen en verzoeken op basis van de nieuwe wetgeving, hebben wij standaard procedures ingericht. Als iemand bijvoorbeeld vraagt welke gegevens wij van hem hebben, sturen wij een generieke mail die de categorieën van gegevens opsomt en de periode dat wij de data bewaren. Wil iemand zijn dossier inzien of laten veranderen, dan nodigen wij hem uit op kantoor, zodat hij zich kan legitimeren.”
Wat gebeurt er na de bewaartermijn?
“Na een jaar benaderen we iedereen opnieuw met de vraag of zij nog een jaar in ons systeem opgenomen willen blijven. Dat brengt natuurlijk het risico met zich mee dat veelbelovende kandidaten zich willen laten uitschrijven. Sommige recruiters vinden dat jammer, maar ik zie het als een voordeel. Op die manier verbind je je met mensen die ook daadwerkelijk een relatie met jou willen aangaan. Zo houd je de database schoon en stel je kwaliteit boven kwantiteit.”
Verwijderen jullie ook echt alle gegevens?
“Als iemand voor ons werkt, geldt andere wetgeving. Een personeelsdossier mag langer bewaard blijven, maar ook daaraan is een maximum termijn verbonden. In ons recruitmentsysteem worden deze gegevens na 2 jaar automatisch in Bullhorn Connexys geanonimiseerd. Op die manier is de data niet langer herleidbaar naar specifieke personen, maar blijft wel informatie beschikbaar voor rapportage en statistieken.”
Wat was voor jou de grootste hobbel bij voorbereidingen voor de GDPR?
“Onduidelijkheid. We vonden het lastig om te bepalen wie in welke situatie de verwerker en wie de verwerkingsverantwoordelijke is. Na grondig juridisch onderzoek zijn wij tot de conclusie gekomen dat wij vrijwel overal de controller ofwel verwerkingsverantwoordelijke zijn. In het recruitmentproces is eigenlijk iedereen verantwoordelijk voor de verrijking van de gegevens van kandidaten. Daarnaast hebben uiteraard ook onze opdrachtgevers hun verantwoordelijkheden, net als onze leveranciers. Om de rollen voor iedereen helder te maken, hebben we onze vier kernprocessen in een matrix geplaatst, met daarbij wie de gegevensverwerker en de verwerkingsverantwoordelijke is. Dat heeft ons veel inzicht gegeven.”
Wat zie jij als voordeel van de GDPR?
“Puur kijkend naar het individu, is het goed dat er meer bewustwording is ontstaan over het belang van data privacy en de rechten van personen. Denk aan het medisch dossier en de grote hoeveelheid aan gegevens die overheden en bedrijven van individuen opslaan.”
Wat vind jij het belangrijkste nadeel van de GDPR?
“De hele wetgeving wordt naar mijn mening veel te bureaucratisch benaderd. We zijn de magische datum van 25 mei 2018 voorbij en ik vrees dat iedereen nu gewoon weer overgaat tot de orde van de dag. Dat de GDPR vergeten wordt en men pas weer wordt wakker geschud als de Autoriteit Persoonsgegevens de eerste overtreding bekend maakt.”
Zijn jullie nu helemaal klaar?
“Het kan altijd beter. De belangrijkste processen zijn ingeregeld, maar we komen ongetwijfeld nog zaken tegen die we verder willen uitwerken of aanscherpen. Het allerbelangrijkste vind ik de continue awareness bij iedereen. We blijven dan ook onze medewerkers scherp houden, trainen en challengen.”
Over De Staffing Groep
De Staffing Groep is opgericht in 1986 en is met haar drie labels, IT-Staffing, IP-Staffing en GP-Staffing een van de grootste leveranciers van flexibele kennis en capaciteit van Nederland.
E-book GDPR
Alles weten over impact van de GDPR op bureaus? In het e-book GDPR voor Recruitment lees je wat de wet betekent voor recruitmentbureaus en welke processen er ingericht moeten worden. Je kunt je ook aanmelden voor onze updates, dan ben je altijd als eerste op de hoogte van nieuwe content!