Wanneer worden jouw persoonsgegevens verzameld:

Via de website, email, telefonisch en als je je laat inschrijven op de vestiging zelf.
Als wij dat niet op een directe manier hebben ontvangen, noteren we enkel als u bijvoorbeeld via social media geïnteresseerd bent in een baan via ons. We zullen u dan benaderen of u mogelijk interesse heeft in een baan of gebruik wilt maken van onze dienstverlening. Mocht u geen interesse hebben, dan kunnen wij relevante gegevens van u verwerken om rekening te houden met jouw wens niet meer door ons benaderd te worden. 

Jouw Rechten:

Je hebt altijd het recht om een verzoek in te dienen om de volgende acties te laten ondernemen:

  • Rectificatie van uw persoonsgegevens.
  • Een overzicht met de persoonsgegevens die wij van u verwerken.
  • U kunt elk moment verzoeken om u persoonsgegevens te laten verwijderen of te beperken in de afwerking. In bepaalde omstandigheden, tenzij wij een goede reden, zoals een wettelijke verplichting, hebben om de persoonsgegevens te verwerken of niet te verwijderen.
  • Het beperken van de persoonsgegevens of daar een bezwaar tegen indienen, overdracht van uw gegevens.
  • In geval van jouw verzoek, ter bescherming van de persoonsgegevens, zullen wij jouw identiteit moeten kunnen vaststellen.

Voor welke doelen verzamelen wij uw gegevens:

Om een zo goed mogelijke dienstverlening te leveren verzamelen wij uw gegevens. Onze dienstverlening bestaat vooral uit: detachering, uitzenden, werving en selectie en bemiddeling van advies.

  • Verder verzamelen wij deze gegevens omdat we u dan beter kunnen koppelen aan een baan.
  • De gewerkte uren te registreren en te verwerken in ons salarissysteem.

Bewaartermijnen en regels per type kandidaat

  1. De AVG heeft betrekking op het verwerken van de persoonsgegevens van uitzendkrachten. Voor elk type kandidaat gelden andere bewaartermijnen en regels Hieronder werken we per type uitzendkracht voor je uit wat de consequenties zijn. Daarbij maken we onderscheid tussen:
  2. ingeschreven kandidaat
  3. werkzame uitzendkracht
  4. zieke uitzendkracht
  5. niet meer werkzame uitzendkracht

1. Ingeschreven kandidaat

Bij het inschrijven van een uitzendkracht mag je alleen die persoonsgegevens noteren in een systeem die nodig zijn voor de arbeidsbemiddeling. Daarbij moet je sowieso toestemming vragen om deze gegevens te noteren in jouw CRM-systeem. Met dat akkoord mogen de gegevens van een kandidaat maximaal 2 jaar worden bewaard.
De volgende persoonsgegevens mogen worden opgeslagen:

  • NAW-gegevens
  • E-mailadres
  • Telefoonnummer
  • Relevante werkervaring
  • Opleiding(en), cursussen, certificaten
  • Kopie identiteitsbewijs. Je mag een kopie voor maximaal 4 weken opslaan, daarna moet deze verwijderd worden tenzij de kandidaat overgaat tot werkzame uitzendkracht. Tijdens het intakegesprek mag/moet je het ID-bewijs checken op echtheid

De volgende persoonsgegevens mogen niet worden opgeslagen:

  • BSN
  • Gezondheidsgegevens
  • Godsdienst (religie)
  • Overige bijzondere persoonsgegevens

 

2. Werkzame uitzendkracht

  • Alle gegevens voor het correct uitvoeren van de salarisadministratie mogen worden verwerkt:
  • NAW-gegevens
  • Bankrekeningnummer
  • BSN
  • Kopie identiteitsbewijs
  • Je hebt bovenstaande gegevens nodig voor het vaststellen van de identiteit van de uitzendkracht.
  • B. Het BSN van de uitzendkracht mag je alleen verstrekken aan de inlener mits dit noodzakelijk is voor vaststelling van de aansprakelijkheid (in het kader van de wet ketenaansprakelijkheid) van de inlener.

3. Zieke uitzendkracht

Als de uitzendkracht ziek wordt dan mag niet alles van en over deze ziekteperiode worden geregistreerd. De uitzendkracht heeft het recht om de aard van het verzuim niet te melden. Bij het verwerken van de ziektegegevens mogen de onderstaande punten wel worden verwerkt:

  • Telefoonnummer (verpleeg) adres
  • Vermoedelijke duur van het verzuim
  • Werknemer valt onder vangnetbepaling Ziektewet (no risk)
  • Ziekte staat in directe relatie arbeidsongeval
  • Verzuim wordt veroorzaakt door verkeersongeval

Deze gegevens mogen niet worden verwerkt:

  • De aard en oorzaak van verzuim (ook niet de naam van de ziekte)
  • Eigen waarnemingen over de toestand van de uitzendkracht
  • Afspraken met artsen, therapeuten enz.

4. Niet meer werkzame uitzendkracht

De persoonsgegevens van een uitzendkracht die voor je heeft gewerkt, moeten uiterlijk 2 jaar na de laatste dag waarop de uitzendkracht werkzaam is geweest worden verwijderd. Voor een overzicht van de bewaarplicht per type document, geldt:

  • Administratie en fiscale bewaarplicht: Voor de administratie die noodzakelijk is voor de controle op de belasting en vennootschappelijke administratieplicht (bijvoorbeeld de salarisadministratie, uitzendovereenkomst en voor zover noodzakelijk pensioenverplichtingen) geldt een bewaartermijn van maximaal 7 jaar.
  • Loonbelasting: Verzoeken tot loonheffingskorting, NAW-gegevens, BSN, geboortedatum en afschriften van documenten ter identificatie moeten worden bewaard tot ten minste 5 jaar na einde van het kalenderjaar waarin de dienstbetrekking eindigt.
  • Bijzondere situatie: Bij een concrete klacht of claim mogen de daarvoor noodzakelijke gegevens worden bewaard tot definitieve afhandeling of verjaring van de claim.

Welke persoonsgegevens mag ik aan een inlener verstrekken?

Nadat er tussen jou en de inlener een verwerkersovereenkomst is opgesteld en ondertekend, mag je de volgende gegevens delen:

  • Naam
  • Adres
  • Geslacht
  • Geboortedatum
  • Telefoonnummer
  • E-mailadres
  • Relevante werkervaring, opleidingen en cursussen
  • BSN (enkel als vrijwaring van de inlenersaansprakelijkheid en ketenaansprakelijkheid)

Welke gegevens mogen niet worden gedeeld:

  • Uittreksel basisgegevens (BRP)
  • Bankrekeningnummer
  • Kopie ID-bewijs
  • Strafrechtelijke gegevens
  • Gezondheidsgegevens (tenzij dit strikt noodzakelijk is)

Daarbij geldt:

  • Verstrekking van de persoonsgegevens mag enkel nadat de uitzendkracht van tevoren is geïnformeerd
  • Overdracht gegevens gebeurt via versleutelde bestanden en een beveiligde verbinding
  • Er is een ondertekende verwerkersovereenkomst tussen inlener en uitzendbureau

Meldplicht datalekken

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben.
Alle inbreuken op de beveiliging moeten worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat deze leiden tot een 8 handreiking privacy: do’s & don’ts privacy risico van betrokkenen. De melding moet uiterlijk binnen 72 uur na ontdekking van de inbreuk worden gedaan. De inbreuk moet ook worden gemeld aan betrokkenen als er sprake is van een waarschijnlijk hoog privacy risico.
Om het privacy risico te beoordelen, zijn onder andere de aard en de omvang van de verwerking van belang. Het privacy risico is bijvoorbeeld groter als veel en/of bijzondere persoonsgegevens worden verwerkt. U bent als verwerkingsverantwoordelijke verplicht om alle inbreuken, de gevolgen daarvan en de getroffen maatregelen te documenteren. Dit geldt ook als het een inbreuk betreft die u niet hoeft te melden aan de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens kan u verzoeken de documentatie van alle inbreuken te verstrekken.

Hoe lang mogen persoonsgegevens bewaard worden?

X Zolang een ingeschreven uitzendkracht bemiddeld wil worden naar werk door de uitzendonderneming, mogen relevante gegevens bewaard worden.
X De kopie van het identiteitsdocument van de kandidaat mag worden opgeslagen zolang dit noodzakelijk is, met een maximum van vier weken.
W De gegevens moeten in ieder geval op (mondeling) verzoek van de uitzendkracht worden verwijderd.
W Als een uitzendkracht niet heeft gewerkt en niet opnieuw heeft aangegeven bemiddeld te willen worden, mogen sollicitatiegegevens maximaal vier weken bewaard worden. Aan uitzendkrachten kan uitdrukkelijke toestemming worden gevraagd om de gegevens maximaal één jaar na de sollicitatie te bewaren. Het is aan te raden om uitzendkrachten periodiek te vragen of zij nog bemiddeld willen worden. Let op: indien noodzakelijk en legitiem kunnen gegevens langer bewaard worden. Bij een concrete klacht of claim mogen relevante gegevens worden bewaard voor zover dat noodzakelijk is voor de afhandeling van een klacht/ claim of tot het moment dat de klacht/claim verjaard is.

Wanneer mag/moet een kopie van het identiteitsdocument worden verwerkt?

X Bij een werkzame uitzendkracht bestaat er een wettelijke grondslag om een kopie te maken en het verwerken van het ID-document.
W Een kopie van het ID-document moet vóór aanvang van de werkzaamheden zijn opgenomen in de administratie.

Waarvoor moet de uitzendonderneming de kopie verwerken?

X Om identiteit en nationaliteit van de uitzendkracht vast te stellen (inclusief of het gaat om een buitenlandse uitzendkracht volgens de Wet arbeid vreemdelingen).
X Om te voldoen aan de wettelijke plicht om een kopie te bewaren voor de loonadministratie. Hierop mag geschreven worden of een markering zijn aangebracht, zolang de gegevens duidelijk leesbaar zijn. Situatie 2 Werkzame uitzendkracht 13 handreiking privacy: do’s & don’ts.

Mag de kopie aan de inlener worden verstrekt?

W In beginsel mag dit niet. Alleen wanneer is vastgesteld dat het gaat om een buitenlandse uitzendkracht (niet-EER of inwoner van Zwitserland), dan mag de kopie aan de inlener worden verstrekt.

Verwerken van ziekteverzuim- en gezondheidsgegevens

Welke gegevens mogen geregistreerd worden bij ziekmelding?

X Het telefoonnummer en (verpleeg)adres, zolang de ziekte daaruit niet herleidbaar is. X De vermoedelijke duur van het verzuim.
X Lopende afspraken en werkzaamheden.
X Of de werknemer valt onder een van de vangnetbepalingen van de Ziektewet. Dit is na twee maanden dienstverband toegestaan. Er mag niet worden gevraagd onder welke vangnetbepaling de werknemer valt.
X Of de ziekte verband houdt met een arbeidsongeval.
X Of sprake is van een verkeersongeval met verhaalsmogelijkheid.

Let op: overige gezondheidsgegevens mogen niet verzameld of verder verwerkt worden, omdat die niet noodzakelijk zijn voor de loondoorbetalingsverplichtingen of re-integratie. Zij vallen onder het medisch beroepsgeheim. De bedrijfsarts mag deze gegevens van de uitzendkracht dus ook niet aan de uitzendonderneming verstrekken.

Welke gegevens mogen bijvoorbeeld niet worden verwerkt?

W De aard en oorzaak van verzuim, waaronder de naam van ziekten en specifieke klachten. Het is voldoende om kennis te hebben van functionele beperkingen: wat de uitzendkracht wel en niet kan.
W Eigen subjectieve waarnemingen over de geestelijke of lichamelijke gezondheidstoestand van de uitzendkracht.
W Of een ziekte werk gerelateerd is of bijvoorbeeld te maken heeft met relatieproblemen.
W Gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen.

Let op: ook wanneer een uitzendkracht vrijwillig informatie geeft over de aard en oorzaak van het ziekteverzuim, mogen deze gegevens niet worden vastgelegd. Dit mag alleen als het noodzakelijk is ter bescherming van een belang dat voor het leven van de betrokkene essentieel is (dit is een vitaal belang).

Rechten van betrokkenen

Iedereen moet er van op de hoogte zijn van de rechten van de klant. Je moet op de hoogte zijn van de volgende punten:

  • Inzage
  • Verwijdering
  • het recht op dataportabiliteit (dat je persoonsgegevens die je gebruikt laat wijzigen)

Daardoor kunnen klanten makkelijk bij de gegevens, zodat de het kunnen doorgeven aan andere organisaties. Wanneer een klant vraagt of je de gegevens wilt veranderen moet je hier binnen een maand gehoor aan geven.

Privacy Impact Assessment (PIA)

Een Privacy Impact Assessment (PIA) uitvoeren is volgens de AVG verplicht. Deze verplichting geldt alleen als je data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee je vooraf kunt bepalen wat risico’s zijn die horen bij het verwerken van bepaalde persoonsgegevens.

Privacy by design & privacy by default

Deze twee principes staan centraal binnen de AVG. Privacy by design houdt in dat je bij het ontwerpen van producten en diensten al zorgt dat de privacy van klanten gewaarborgd wordt. Privacy by default wil zeggen dat je technische en organisatorische maatregelen moet nemen waardoor je standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.

Functionaris voor de gegevensbescherming

Als je bedrijf op grote schaal persoonsgegevens verwerkt en dit je kernactiviteit is, ben je verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo’n functionaris hebben.

Meldplicht datalekken

De meldplicht van datalekken was er ook al vóór het van kracht worden van de AVG in 2018. Bij de AVG is het echter de bedoeling dat je alle datalekken vastlegt op een manier waarop de Autoriteit Persoonsgegevens precies kan zien of je genoeg hebt gedaan aan het beschermen van de gegevens.

Cookies

  1. Een cookie is een klein tekstbestand dat bij bezoek aan onze website geplaatst wordt op de harde schijf van uw computer. Een cookie bevat gegevens zodat u bij elk bezoek aan onze website als bezoeker kan worden herkend. Het is dan mogelijk om onze website speciaal op u in te stellen en het inloggen te vergemakkelijken.
  2. Wij gebruiken de volgende soorten cookies op onze website:
    • Functionele cookies: zoals sessie- en login cookies voor het bijhouden van sessie- en inloginformatie over bezoekersaantallen, populaire pagina’s en onderwerpen. Op deze wijze kunnen we de communicatie en informatievoorziening beter afstemmen op de behoeften van bezoekers van onze website. We kunnen niet zien wie onze websites bezoekt of vanaf welke pc het bezoek plaatsvindt
  1. Meer specifiek gebruiken wij de volgende cookies:
    • Geen overige cookies
  1. Wanneer u onze website bezoekt kunnen cookies afkomstig van de verantwoordelijke en/of derden op uw apparatuur worden geïnstalleerd.

Verwerkersovereenkomsten

Heb jij een overeenkomst met een bewerker (verwerker in de AVG)? Controleer dan goed of de maatregelen die jullie zijn overeengekomen om de privacy te waarborgen genoeg zijn voor de AVG.

Toestemming

De AVG legt strengere regels op omtrent de manier waarop je toestemming vraagt, krijgt en registreert. We moeten een geldige toestemming hebben en deze kan ook makkelijk weer worden kunnen ingetrokken.

Let op: je hebt ook een documentatieplicht. Dit wil zeggen dat je moet kunnen aantonen dat je technische en organisatorische maatregelen hebt genomen om aan de AVG te voldoen.

Wijzigingen

Baan Personeelsdiensten behoudt zich het recht voor om dit privacy statement aan te passen of te wijzigen. Dit privacy statement heeft niet tot doel dat er enige verplichtingen of een overeenkomst tot stand te doen komen te ontstaan tussen Baan personeel en betrokkene.