Voor werving & selectie en detacheringsbedrijven, die dagelijks kandidaten benaderen, introduceren en plaatsen bij opdrachtgevers, zijn een transparant beleid én de juiste instrumenten om het beleid te borgen en uit te voeren een must. Met de uitbreiding van de Wet bescherming persoonsgegevens (Wbp) groeit de noodzaak om een privacy statement te hebben dat door de hele organisatie wordt gedragen. Het privacy statement maakt voor zowel de kandidaat als de organisatie transparant hoe met informatie binnen de organisatie wordt omgegaan. Carerix heeft rond de Wbp een aantal praktische adviezen opgesteld die de taken en verantwoordelijkheden uiteenzetten om bedrijven binnen de recruitmentsector te ondersteunen in het monitoren en sturen van de Wbp. Nut van een privacy statement Een belangrijk doel van de Wbp is het transparant maken hoe verwerkte persoonsgegevens door organisaties worden behandeld en met welk doel informatie wordt verwerkt. Het waarborgen van privacy is, naast een kwestie van techniek, vooral ook een gedragsaspect waarop werving & selectie en detacheringsorganisaties kunnen sturen. Een goed startpunt hierbij is het opstellen van een privacy statement waarin transparant en zichtbaar voor iedereen het gedrag rond het verwerken en vastleggen van persoonsgegevens wordt vastgelegd. In een privacy statement kunnen zaken worden vastgelegd ten aanzien van verwerking van gegevens, waarbij onderscheid gemaakt wordt tussen:

• bezoekers van de website;
• flexwerkers, kandidaten, sollicitanten, zelfstandigen zonder personeel en (directe of ingehuurde) werknemers;
• werknemers of vertegenwoordigers van (potentiële) zakelijke relaties.

Meldplicht datalekken De overheid heeft extra maatregelen aangekondigd ten aanzien van de handhaving van de Wbp. Hoewel de onderliggende wetgeving niet is veranderd, zijn elementen toegevoegd waaronder vanaf 1 januari 2016 de ‘meldingsplicht datalekken’. Als blijkt dat onbevoegden toegang hebben gekregen tot een applicatie of systeem dan dient de gebruikende organisatie uit te zoeken of men verplicht is daar melding van te doen. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan, zoals bijvoorbeeld het kwijtraken van een USB-stick, diefstal van een laptop of een inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs is uit te sluiten. Taken en verantwoordelijkheden van de gebruikende organisatie Elke organisatie die persoonsgegevens verwerkt en bewaart wordt geacht de interne werkprocessen daarop aan te passen, zodat medewerkers bij het uitvoeren van hun dagelijks werk kunnen voldoen aan de Wbp. De software ondersteunt deze werkprocessen waar nodig en biedt hiermee instrumenten voor de gebruikende organisatie. In de zin van de Wbp is de gebruikende organisatie van de applicatie de verantwoordelijke en daarmee verantwoordelijk voor een juist gebruik van de instrumenten en het toepassen van de door de Wbp voorgeschreven bepalingen. Voor meer achtergrondinformatie omtrent Wbp, de belangrijkste bepalingen en specifieke adviezen hoe u uw software applicatie hiervoor kunt optimaliseren, klik hier.