Recruitmentsector: Let op de meldplicht datalekken
Nog lang niet alle recruiters weten hoe ze moeten omgaan met de Meldplicht Datalekken.
Nog lang niet alle recruiters weten hoe ze moeten omgaan met de Meldplicht Datalekken.
Met de uitbreiding van de Wet bescherming persoonsgegevens (Wbp) wordt voor bedrijven (en zeker voor recruiters) de noodzaak voor een breed gedragen privacy statement steeds groter.
Het privacy statement, maakt voor zowel de kandidaat als de organisatie transparant, hoe met informatie binnen de organisatie wordt omgegaan. De privacy van sollicitanten is slecht geregeld, zo blijkt uit onderzoek van Digitaal-Werven onder de bijna 500 grootste en bekendste werkgevers van Nederland.
Van deze organisaties heeft 43% überhaupt geen privacy statement op hun wervingssite en van degenen, die dat wel hebben, vergeet een groot deel dat ze met persoonsgegevens van sollicitanten te maken hebben. Van degenen die daar wel iets over vermelden blijkt zo’n 25% niet te voldoen aan de wet en regelgeving. Uiteindelijk blijkt dat slechts iets meer dan een kwart van alle grotere Nederlandse werkgevers voldoen aan de privacy wet.
Digitaal-Werven heeft bij al deze organisaties gekeken of er een privacy statement was op de website, waar ook gesolliciteerd kon worden. Als er gesolliciteerd kan worden, verwerkt het bedrijf immers persoonsgegevens en moet het voldoen aan de Wet bescherming persoonsgegevens. Vaak is dit een aparte recruitmentsite van het bedrijf, in andere gevallen is het een vacature deel op de gewone website.
Maar liefst 43% heeft helemaal geen privacy statement en 21% heeft wel een privacy statement, maar daarin komt het woord sollicitant of solliciteren niet voor.
Een belangrijk doel van de Wbp is het transparant maken, hoe verwerkte persoonsgegevens door organisaties worden behandeld en met welk doel informatie wordt verwerkt. Het waarborgen van privacy is, naast een kwestie van techniek, vooral ook een gedragsaspect waarop werving- en selectiebureaus kunnen sturen. Een goed startpunt hierbij is het opstellen van een privacy statement, waarin transparant en zichtbaar voor iedereen, het gedrag rond het verwerken en vastleggen van persoonsgegevens wordt vastgelegd.
In een privacy statement kunnen zaken worden vastgelegd ten aanzien van verwerking van gegevens, waarbij onderscheid gemaakt wordt tussen:
De overheid heeft vorig jaar al extra maatregelen aangekondigd ten aanzien van de handhaving van de Wbp. Hoewel de onderliggende wetgeving niet is veranderd, zijn elementen toegevoegd waaronder sinds 1 januari 2016 de ‘meldplicht datalekken’. Als blijkt dat onbevoegden toegang hebben gekregen tot een applicatie of systeem, dan dient de gebruikende organisatie uit te zoeken of men verplicht is daar melding van te doen.
Er is alleen sprake van een datalek als zich daadwerkelijk een bepaald beveiligingsincident heeft voorgedaan, zoals bijvoorbeeld het kwijtraken van een USB-stick, diefstal van een laptop met persoonsgegevens van bijvoorbeeld sollicitanten, of een inbraak door een hacker. Echter, niet ieder beveiligingsincident is een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs is uit te sluiten.
De Handreiking Vrijstellingsbesluit Wbp helpt u om te beoordelen of een verwerking van persoonsgegevens is vrijgesteld van de wettelijke meldingsplicht bij de Autoriteit Persoonsgegevens. Is uw gegevensverwerking vrijgesteld? Dan hoeft u niets te melden.
We maken graag een afspraak met je voor een nadere kennismaking. Klik hiernaast op ‘neem contact op’ en laat je gegevens bij ons achter of bel met 013 30 400 22.
Apennijnenweg 16
5022 DV Tilburg
info@step2go.nl
+31 (0)13 30 400 22
KvK: 63174804
BTW: NL855124350B01