Het recruitment- en inhuurproces kan een complex geheel zijn met een specifieke keten van partijen. In veel gevallen zitten er meerdere schakels tussen de inhurende manager en de ingehuurde medewerker. Deze partijen in de inhuurketen wisselen redelijk veel persoonsgegevens met elkaar uit, met de gegevens van de kandidaten (in het sourcingsproces) en van de ingehuurde medewerkers/ zelfstandigen zodra er sprake is van een plaatsing. Deze gegevensuitwisseling kan direct met de manager zijn maar in de meeste gevallen gaat het via een resource afdeling, om vervolgens in de mailbox van de manager te komen. Er kan ook nog een MSP als schakel tussen zitten. In elk stapje van de keten kan in principe informatie worden toegevoegd aan de oorspronkelijk data. Gegevens kunnen worden verwerkt in een VMS of resource/ HR-systeem en in ieder geval nog in de financiële administratie. Mag dat allemaal? Ja, dat mag, maar het is aan strikte regelgeving gebonden.
Alle partijen in de inhuurketen dienen conform deze AVG-uitgangspunten te werken:
- Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte en heeft hier toestemming voor gegeven én kent zijn rechten. Een bekend middel hiervoor is het privacy statement;
- Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld en mogen niet voor andere zaken gebruik worden;
- Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
- Juistheid: de persoonsgegevens moeten correct zijn en blijven;
- Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
- Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
- Verantwoording: de organisatie die de gegevens verwerkt moet kunnen aantonen aan deze regels te voldoen. Een bekend en verplicht middel hiervoor is het verwerkingsregister waarin alle verwerkingen worden vastgelegd.
De professional heeft daarbij ook nog bepaalde rechten op grond van de AVG.
- Recht op inzage: het recht van een ingehuurde medewerker om te weten welke persoonsgegevens verwerkt worden;
- Recht op vergetelheid: ook wel het recht om ‘vergeten’ te worden. Een ingehuurde medewerker kan een verzoek doen om de verstrekte persoonsgegevens te wissen. In het sourcingsproces is dat goed mogelijk, veelal geldt zo ie zo een beperkte bewaartermijn van 4 weken na afloop van het proces. Maar zodra er sprake is van een plaatsing moeten op grond van met name belastingwetgeving persoonsgegevens veel langer bewaard worden (minimaal 7 jaar);
- Recht op rectificatie en aanvulling: het recht om de persoonsgegevens die verwerkt worden te laten wijzigen. Het zou dan moeten gaan om onjuiste gegevens;
- Het recht op dataportabiliteit: het recht om persoonsgegevens over te laten dragen aan een andere partij. Dit speelt met name een rol bij bepaalde ZZP-platformen waar gewerkt wordt met beoordelingen/waarderingen. Deze gegevens zou een zelfstandige over moet kunnen nemen naar een ander platform;
- Het recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken;
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten;
- Het recht om bezwaar te maken tegen de gegevensverwerking;
- Ten slotte hebben mensen recht op duidelijke informatie over wat organisaties met hun persoonsgegevens doet.
Ook is het van belang dat partijen in de inhuurketen hun exacte rol en verantwoordelijkheid kennen en nemen. Dit vormt dan de basis om contractuele afspraken over vast te leggen. Binnen de AVG worden twee kernrollen gedefinieerd; die van verwerkingsverantwoordelijke (data controller) en van verwerker (data processor). Volgens de AVG is een verwerker een partij die in opdracht van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, waarbij de verwerkingsverantwoordelijke het doel en de middelen van de verwerking vaststelt. Hieronder lichten wij, vanuit het oogpunt van Harvey Nash, de impact van de AVG op de inhuurketen nader toe.
Impact op de samenwerking met onze klanten
Harvey Nash voert met haar dienstverlening op basis van een klantaanvraag werving en selectie van professionals uit. Bij deze dienstverlening is de verwerking van persoonsgegevens niet de primaire opdracht van de klant aan Harvey Nash, maar een uitvloeisel van de dienstverlening. Het doel en de middelen van de gegevensverwerking worden door Harvey Nash bepaald en niet door de klant aan Harvey Nash opgelegd. Daardoor is Harvey Nash zélf de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens binnen haar dienstverlening Recruitment Interim Professionals en geen verwerker.
De relatie met onze klant kan echter zo vormgegeven zijn dat er bij Contract Management sprake is van één inhuurproces dat door Harvey Nash en de klant gezamenlijk wordt uitgevoerd. Beide stellen hierbij doel en middelen vast voor hun gedeelte van het proces. Door deze rolverdeling in dit gezamenlijk proces zijn Harvey Nash en de klant gezamenlijke verwerkings-verantwoordelijken (art. 26 AVG). De AVG schrijft voor dat gezamenlijke verwerkingsverantwoordelijken een regeling of overeenkomst sluiten waarin de exacte verantwoordelijkheden van iedere partij zijn vastgelegd en dat met name geborgd is dat de betrokkenen (de professionals) hun rechten kunnen uitoefenen (bijvoorbeeld het recht op vergetelheid). Wanneer de klant binnen de Contract Management dienstverlening van Harvey Nash verwacht een bijdrage te leveren aan de integriteitsbeoordeling van een ingehuurde professional (bijvoorbeeld het opvragen van een VOG), dan moet deze gegevensverwerking wel gezien worden binnen een gegevensverantwoordelijke-verwerker relatie. De klant bepaalt duidelijk het doel en de middelen (o.a. welke soort gegevens en de lengte van bewaartermijnen). Harvey Nash is hierbij de verwerker. Gevolg is dat de klant en Harvey Nash voor wat betreft dit screeningsproces een verwerkersovereenkomst dienen af te sluiten.
Impact op de samenwerking leveranciers van professionals
Het standpunt van Harvey Nash is dat er in de relatie met de leveranciers van professionals geen sprake is van een verwerkingsverantwoordelijke – verwerker relatie. Het doel en de middelen van de gegevensverwerking worden door Harvey Nash niet aan de leveranciers opgelegd en ook niet andersom. Harvey Nash is dus geen verwerker van de leverancier en de leverancier is geen verwerker van Harvey Nash. Beide partijen zijn verwerkingsverantwoordelijke voor hun eigen verwerkingen van persoonlijke gegevens. Er hoeft dus ook geen verwerkersovereenkomst tussen de leverancier en Harvey Nash afgesloten te worden. Een klant kan eisen dat bij Harvey Nash een aantal gegevens c.q. documenten met betrekking tot de professional worden aangeleverd ten behoeve van de pre-employment screeningsprocedure van de klant. Harvey Nash bewaart de gegevens of stuurt deze gegevens door naar de klant. Het doel van deze verwerking is om de integriteit van de professional te beoordelen. De gegevens worden niet voor andere doeleinden gebruikt.
Impact op de professionals
In ons privacy statement kunnen professionals nalezen hoe wij met hun gegevens omgaan. Net als de privacy statements van veel bedrijven is ons statement algemeen van opzet, waarin we niet tot in de details kunnen weergegeven hoe wij voldoen aan de wet. Als wij dat wel zouden doen dan zou het privacy statement erg lang en onleesbaar worden. Graag lichten wij hieronder nog een aantal zaken specifiek nader toe, die ook in zijn algemeen van toepassing zijn voor de inhuur van medewerkers en zelfstandigen.
Gegevensuitwisseling bij een aanvraag
dien een leverancier het CV van een kandidaat naar Harvey Nash stuurt ten behoeve van een aanvraag van een van onze klanten, zullen wij dit CV uitsluitend voor deze aanvraag gebruiken. Het doel van de verwerking van het CV is dat wij een beoordeling kunnen maken of de kandidaat past op de aanvraag. Het CV zullen wij uiterlijk 4 weken na sluiting van de aanvraag verwijderen. Als wij de kandidaat voorstellen bij de klant wordt het CV doorgestuurd naar deze klant. Ook de klant zal het CV binnen 4 weken moeten verwijderen. Dit is de verantwoordelijkheid van de klant zelf.
Indien een zelfstandige professional interesse heeft om in aanmerking te komen voor toekomstige vacatures of opdrachten dan vragen om toestemming om het CV en aanvullende persoonsgegevens 1 jaar te bewaren. Voor het einde van deze periode van 1 jaar zullen wij de professional benaderen voor hernieuwde toestemming. Deze werkwijze met een bewaartermijn van 4 weken en 1 jaar bij toestemming, is in lijn met de voorschriften van de Autoriteit Persoonsgegevens in het kader van sollicatieprocedures.
Gegevensuitwisseling bij inhuur van een professional in loondienst
De gegevens die wij van de leveranciers vragen hebben wij nodig om tot een overeenkomst te komen en om de overeenkomst uit te kunnen voeren. Dit betreft contactgegevens (telefoonnummer en e-mailadres van relevante contactpersonen en van de professional), de gegevens omtrent de opdracht (o.a. functie, tarief) en facturatiegegevens (o.a. tijdlijsten, facturen). Daarnaast heeft Harvey Nash een gerechtvaardigd belang om de risico’s met betrekking tot wet- en regelgeving (o.a. de WAS, Waadi, Wav en inlenersaansprakelijkheid) te minimaliseren. Hiervoor hebben wij een verklaring van de leverancier nodig om er zeker van te zijn dat de professional een werknemer is. Daarnaast verwacht de Belastingdienst dat Harvey Nash een adequate administratie voert met daarbij minimaal de volgende gegevens m.b.t. de professional:
- Naam-, adres- en woonplaatsgegevens;
- Geboortedatum en nationaliteit;
- Burgerservicenummer (BSN);
- Soort identiteitsbewijs, nummer en geldigheidsduur van het identiteitsbewijs.
Op grond van de Uitvoeringsregeling verplicht gebruik BSN mag de leverancier het BSN van de professional aan Harvey Nash verstrekken. De leverancier is daartoe niet verplicht, maar gezien het doel en het gerechtvaardigd belang is dit wel toegestaan. Indien de leverancier deze gegevens niet wil verstrekken, dan zal de professional bij Harvey Nash langs moeten komen om zijn/haar identiteit te laten vaststellen en zal Harvey Nash de gegevens hieromtrent vastleggen in haar administratie. De leverancier mag geen kopie of scan van het identiteitsbewijs van de professional verstrekken, tenzij het gaat om een professional van buiten de EU/EER. De leverancier is dan op grond van de Wet Arbeid Vreemdelingen verplicht een kopie van het geldige identiteitsbewijs aan Harvey Nash te verstrekken.
Gegevensuitwisseling bij inhuur van een zelfstandige professional
Indien een zelfstandige professional wordt inzet, dan vragen wij een aantal gegevens op om het mogelijk te maken de overeenkomst op te stellen en uit te voeren. Dit betreft contactgegevens (telefoonnummer en e-mailadres van relevante contactpersonen en van de professional), de gegevens omtrent de opdracht (o.a. opdrachtomschrijving, tarief) en facturatiegegevens (o.a. tijdlijsten, facturen). Daarnaast heeft Harvey Nash een gerechtvaardigd belang om de risico’s met betrekking tot de inlenersaansprakelijkheid en de beoordeling van de arbeidsrelatie te minimaliseren. Hiervoor hebben wij gegevens over de onderneming van de zelfstandige professional nodig (o.a. uittreksel Kamer van Koophandel en btw-nummer). Het is ook van belang dat wij de identiteit van de professional vaststellen. Dit proces wordt uitgevoerd door een partner van Harvey Nash. Deze partner is dus een verwerker van Harvey Nash, waarmee strikte afspraken gemaakt zijn in het naleven van de privacywetgeving. Wij ontvangen geen kopie of scan van het identiteitsbewijs van de professional, tenzij het gaat om een professional van buiten de EU/EER. Wij zijn dan op grond van de Wet Arbeid Vreemdelingen verplicht een kopie van het geldige identiteitsbewijs te hebben (in de meeste gevallen een kopie van de verblijfsvergunning o.b.v. arbeid in Nederland is toegestaan).