Vanaf mei 2018 moet iedereen voldoen aan de Europese privacyregels. Op overtreding
staan forse boetes. Wat moet er voor die tijd nog allemaal gebeuren?

‘Het is misschien niet het meest populaire onderwerp’, geeft Darja Bokhove toe. ‘Maar dit maakt het niet minder belangrijk. Als een organisatie volgend jaar betrapt wordt op een overtreding van de privacyregels, wordt een boete geriskeerd van tenminste 12.000 euro. De maximale boete is zelfs 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.’

Al in werking sinds 2016

De Europese privacyregels, bekend als GDPR (General Data Protection Regulation) zijn al in mei 2016 officieel in werking getreden. Organisaties hebben daarna 2 jaar de tijd gekregen om hun systemen op de nieuwe regels aan te passen. Dit betekent dat wordt verwacht dat in mei 2018 de regels correct worden toegepast – en dat vanaf dit moment ook handhaving plaatsvindt.

‘De nieuwe privacywet is een stuk uitgebreid ten opzichte van eerdere wetgeving’, zegt Bokhove. ‘Labor Redimo krijgt in de praktijk veel vragen over onderwerpen die deze wet raken: mag ik nou wel een BSN-nummer opslaan? En: mag ik iemand om een ID vragen? Of: als ik een bureau inschakel, wie is er dan verantwoordelijk?’

Meer dan alleen werknemers

De nieuwe wetgeving is toegespitst op ‘meer dan alleen eigen medewerkers’. In de nieuwe wetgeving ben je verantwoordelijk voor alle personen die werk verrichten ten behoeve van je organisatie. Daarmee word je als organisatie verantwoordelijk voor de hele keten – en kun je taken niet zonder meer uitbesteden aan een leverancier of partner.

De bewustwording over de privacyregels staat bij veel organisaties die personeel inhuren niet automatisch bovenaan de agenda, constateert Bokhove. Maar ook voor hen kunnen de gevolgen groot zijn. ‘De nieuwe wetgeving vraagt om een kritische blik naar het hele documentatieproces’, zegt ze. ‘Zeker als je nog aan het begin staat van de inrichting van je inhuurproces is het een belangrijk onderwerp om in elke stap mee te nemen in je overwegingen en afspraken.’

Integraal beleid

Er is de afgelopen jaren veel gewijzigd in wet- en regelgeving op het gebied van arbeidsrecht en externe inhuur. Als je aan de slag gaat met de processen rondom documentatie, is het verstandig om te controleren of de huidige processen conform de diverse andere wetten zijn, zoals de WID, WAADI, WAS, DBA, WagwEU en WAV, zegt Bokhove. ‘Met buitenlandse werknemers moet je bijvoorbeeld extra opletten. Als je een ‘vreemdeling’ voor je aan het werk hebt, kan de boete van de Arbeidsinspectie zomaar 4.000 euro per illegaal tewerkgestelde zijn.’

Maar je mag niet van iedereen zomaar gegevens opslaan. Zo is er een groot verschil tussen het documenteren van gegevens van een externe medewerker uit bijvoorbeeld Polen of Wit-Rusland. Van de mensen afkomstig uit de EER mag je in principe als inlener géén persoonlijke gegevens opslaan, daarbuiten ben je juist weer verplicht om het wel te doen. ‘En Zwitserland hoort er dan weer wel bij, en Kroatië niet’, zegt Bokhove. Haar advies luidt dan ook, kort en goed: ‘Ken in elk geval de nationaliteit van iedereen die voor je werkt en zorg voor duidelijk beleid.’

Er is niet 1 manier

Er niet één algemeen geldende ‘goede’ manier om met de nieuwe regels om te gaan, aldus Bokhove. ‘Maar je moet als opdrachtgever weten waarover je het hebt, ook als je taken bij de leverancier wil beleggen. Leg deze afspraken goed vast en denk ook na over audits in deze constructies.’

Overtreding van de privacyregels wordt tot nu toe zelden juridisch aanhangig gemaakt, dat weet Bokhove ook. ‘Maar het thema wordt wel vaak erbij gehaald zodra een conflict ontstaat. Het is moeilijk te zeggen hoe dat zich ontwikkelt, maar de nieuwe wetgeving geeft hierin veel meer mogelijkheden.’ En de consequenties van overtreding zijn natuurlijk niet alleen financieel gezien groot. Er is ook kans op reputatieschade.

Bokhove roept daarom iedereen op zich goed in de regels te verdiepen. ‘Beter nu tijd en moeite steken in goed advies, gedegen voorbereiding en alles op orde hebben, dan je later voor een instantie moeten verantwoorden of een boete riskeren.’