uitzendsoftware, efficiënt en betrouwbaar

FlexService Updates

Hoe helpt FlexService jou om aan de AVG te voldoen?

Vanaf mei 2018 moeten bedrijven aan de eisen van de AVG (Algemene Verordening Gegevensbescherming), ook bekend als de GDPR, voldoen. Wat verandert er in de FlexService software? En wat betekent dit voor jou als gebruiker?

Om te zorgen dat onze uitzendsoftware voldoet aan de nieuwe wetgeving, hebben wij de afgelopen maanden in nauw overleg met onze klanten gewerkt aan de nodige maatregelen en functionaliteiten. In deze FlexService Updates vertellen we je er graag meer over.

Draait je FlexService licentie op onze servers? Download onderaan deze pagina de verwerkersovereenkomst die de AVG verplicht stelt.

Vanaf mei 2018 moeten bedrijven aan de AVG (ook bekend als GDPR) voldoen. Welke impact heeft dit op je organisatie? Wat verandert er in onze uitzendsoftware?  En wat betekent dit voor FlexService gebruikers? Lees er snel meer over en download ook alvast de FlexService verwerkersovereenkomst onderaan deze pagina.

Verwerkers
overeenkomst
Verwerkers
overeenkomst
Meer over
de AVG/GDPR
Meer over
de AVG/GDPR

Wat is de AVG?

De Europese Algemene Verordening Gegevensbescherming (AVG), samen met de Uitvoeringswet AVG in Nederland, gaat met ingang van 25 mei 2018 de Wet Bescherming Persoonsgegevens (Wbp) vervangen. Deze verordening uniformeert de regels in Europa, vergroot de rechten van betrokkenen en legt meer verantwoordelijkheden en plichten bij bedrijven en organisaties. Tenslotte krijgt de Autoriteit Persoonsgegevens meer bevoegdheden en kan ze hogere sancties opleggen.

De privacy basics

Verwerkingen zijn slechts mogelijk als er een rechtmatige grondslag aanwezig is en als de verwerking transparant plaatsvindt. Ook moeten verwerkingen altijd vertrouwelijk en veilig gebeuren. Vertrouwelijk betekent dat de gegevens alleen zijn in te zien door medewerkers die dit nodig hebben om hun werk te kunnen uitvoeren.

Houd bij de verwerking altijd rekening met de privacy basics:

  • gegevens moeten voor een duidelijk doel worden gebruikt
  • gegevensverzameling moet noodzakelijk zijn voor de verwerking
  • gegevens mogen niet langer worden bewaard dan nodig voor het doel
  • gegevens moeten juist en up-to-date zijn

Verantwoordelijke vs. Verwerker

Net zoals onder de Wbp maakt de AVG onderscheid tussen de verwerkingsverantwoordelijke en de verwerker:

  • De verantwoordelijke stelt het doel en de middelen vast voor de verwerking van gegevens
  • De verwerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke

Als een verwerkingsverantwoordelijke een verwerker inschakelt, moet de verantwoordelijke deze afspraken vastleggen in een verwerkersovereenkomst. Deze overeenkomst moet door beide partijen ondertekend worden.

Hoe zit dat dan in FlexService?

Wanneer je FlexService licentie draait op onze servers, word jij beschouwd als verwerkingsverantwoordelijke en FlexService als verwerker. Als verwerkingsverantwoordelijke moet je beschikken over een verwerkersovereenkomst. Let op: dit geldt dus niet wanneer FlexService op je eigen server draait.

Als softwareleverancier en dienstverlener hebben wij standaard overeenkomsten opgesteld die volgens de AVG noodzakelijk zijn. Vraag ze op deze pagina aan en stuur ze ons getekend retour.

Ga naar het downloadformulier

Verantwoordelijke vs. Verwerker

Net zoals onder de Wbp maakt de AVG onderscheid tussen de verwerkingsverantwoordelijke en de verwerker:

  • De verantwoordelijke stelt het doel en de middelen vast voor de verwerking van gegevens
  • De verwerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke

Als een verwerkingsverantwoordelijke een verwerker inschakelt, moet de verantwoordelijke deze afspraken vastleggen in een verwerkersovereenkomst. Deze overeenkomst moet door beide partijen ondertekend worden.

Hoe zit dat dan in FlexService?

Wanneer je FlexService licentie draait op onze servers, word jij beschouwd als verwerkingsverantwoordelijke en FlexService als verwerker. Als verwerkingsverantwoordelijke moet je beschikken over een verwerkersovereenkomst. Let op: dit geldt dus niet wanneer FlexService op je eigen server draait.

Als softwareleverancier en dienstverlener hebben wij standaard overeenkomsten opgesteld die volgens de AVG noodzakelijk zijn. Vraag ze op deze pagina aan en stuur ze ons getekend retour.

Ga naar het downloadformulier

Zorg voor relevante grondslagen

Als verantwoordelijke heb je zelf de plicht om te zorgen voor een juiste grondslag. Dit houdt in dat het noodzakelijk is op grond van de wet of een overeenkomst. Verder kan het zijn dat de verwerking plaatsvindt met toestemming van de betrokkenen (hoewel toestemming door een uitzendkracht niet altijd vrijelijk gegeven kan worden in verband met zijn of haar afhankelijke relatie met het uitzendbureau). Tenslotte kan een gerechtvaardigd belang van het uitzendbureau een geldige grondslag zijn. Maar let hier wel op: als het individuele privacybelang van betrokkenen zwaarder weegt dan gaat deze voor.

Transparantie

Als verantwoordelijke moet je betrokkenen altijd informeren als je persoonsgegevens gaat verwerken. Het informeren hierover moet voorafgaand aan de verwerking plaatsvinden. Dat kan bijvoorbeeld met een privacy statement op je website. Als kandidaten zich inschrijven op je eigen HelloFlex portal, kun je daar binnenkort een eigen privacy statement opnemen. Maar let op: als kandidaten zich op de vestiging inschrijven is het ook noodzakelijk kandidaten hierover te informeren.

Bewaartermijnen

De bewaartermijnen voor documenten dienen door jou vastgesteld te worden. Uitgangspunt hierbij is dat gegevens nooit langer bewaard mogen worden dan nodig is voor het doel waarvoor ze verzameld zijn. In onze software bouwen we mogelijkheden om bewaartermijnen per documentsoort te bepalen en om te signaleren en acteren indien documenten zijn vervallen. Daarnaast bouwen we functies in FlexService om persoonsgegevens op te schonen, want ook daarvoor gelden wettelijke bewaartermijnen. Onder de Wbp gold een bewaartermijn van twee jaar. Het ligt voor de hand om deze termijn ook onder de AVG te gebruiken.

Bijzondere gegevens

Sommige gegevens zijn bijzonder en mogen niet verwerkt worden. Het is jouw verantwoordelijkheid om ervoor te zorgen dat deze uitsluitend verwerkt worden indien daar een wettelijke grondslag voor is.

In onze software nemen we de nodige maatregelen om verwerking van deze gegevens privacy proof te laten plaatsvinden. Zo verwijderen we o.a. het vrije ziekmeldingsveld. Het BSN is al via een privacy groep te autoriseren. Wie niet in die groep zit kan het nummer wel toevoegen, maar ziet vervolgens niet het hele BSN zodat het nummer niet meer te gebruiken is ter identificatie. Wijzigen van een BSN nummer is ook alleen mogelijk als de gebruiker in de autorisatiegroep zit.

Opslaan en tonen van foto’s
Verder wijzen we op foto’s die geüpload kunnen worden. Volgens de autoriteit kan dit een bijzonder persoonsgegeven zijn. Zolang de uitzendkracht er op wordt gewezen dat uploaden niet verplicht is, is het opslaan en tonen van foto’s toegestaan. Het is in FlexService ook mogelijk om het opslaan en tonen van foto’s uit te zetten.

Dataminimalisatie

Verwerkingen moeten plaatsvinden met minimale, noodzakelijke data. In overleg kunnen we datavelden verwijderen die niet langer nodig zijn. Omdat we met een uniform systeem werken en klanten een eigen verantwoordelijkheid en beslissingsruimte hebben kan het echter voorkomen dat er facultatieve velden zijn. Het is aan jou om deze wel of niet te activeren.

Koppelingen en Privacy by Design
Je bent als klant verantwoordelijk voor de koppelingen die er bestaan tussen ons systeem en dat van je leveranciers, en daarmee dus ook de data die wordt gekoppeld. Het is van belang dat we bij de ontwikkeling van nieuwe producten en systemen structureel rekening houden met dataminimalisatie. Hiermee geven we uitvoering aan de verplichting Privacy by Design.

Welke rechten hebben je kandidaten en klanten?

Recht op inzage

Het verstrekken van een kopie van de persoonsgegevens volstaat. Je kunt bijvoorbeeld op basis van een bestaand rapport, zoals Stamkaart Kandidaat, een specifiek rapport maken. Maar let op dat de AVG ook aanvullende informatie verlangt zoals doel, opslagtermijnen en verstrekking aan derden.

Recht op dataportabiliteit

Indien de verwerking op basis van toestemming plaatsvindt, kunnen betrokkenen verzoeken om gegevens te verstrekken in een gestructureerde, gangbare en automatisch uitleesbare vorm om deze aan een derde partij door te geven. Binnen de branche vindt er nader overleg plaats hoe een en ander vorm zou moeten krijgen.

Recht op wissing

Op verzoek van betrokkenen kunnen gegevens gewist worden. Het is aan de verantwoordelijke om vast te stellen of gegevens gewist mogen worden. In onze software is het op verzoek mogelijk om gegevens te wissen. Let op: je dient ontvangers ook te informeren over de wissing en/of rectificatie van gegevens.

Vraag de FlexService
verwerkersovereenkomst
aan

Laat hieronder je gegevens achter om de FlexService AVG verwerkersovereenkomst te downloaden.

Vraag de FlexService
verwerkersovereenkomst aan

Laat hieronder je gegevens achter om de FlexService verwerkersovereenkomst te downloaden.

FAQ over de AVG verwerkersovereenkomst

Verwerkers zijn bedrijven die in opdracht van jou en op basis van je schriftelijke instructies persoonsgegevens verwerken. FlexService en ook HelloFlex zijn software dienstverleners en te beschouwen als verwerker, tenzij de verwerking op je eigen servers plaatsvindt.

Als je gebruik maakt van onze software op eigen servers is FlexService geen verwerker en hoef je geen overeenkomst met ons te sluiten. In specifieke gevallen kan het voorkomen dat onze medewerkers – bijvoorbeeld in het kader van bugfixing – met jouw toestemming inzage krijgen in je gegevens. In dat geval volstaat dat we in de overeenkomst een geheimhouding met je hebben afgesproken.

De AVG stelt dat je een verwerkersovereenkomst met FlexService, en indien van toepassing ook HelloFlex, moet hebben. In dit kader bieden wij alle FlexService gebruikers een standaard overeenkomst aan die voldoet aan de AVG. Daarnaast willen we onze standaard producten tegen het meest voordelige tarief leveren. Hierbij past het niet om met al onze klanten separate overeenkomsten te sluiten.

Het spreekt vanzelf dat onze overeenkomsten AVG proof zijn. De AVG overeenkomsten voor FlexService en HelloFlex zijn opgesteld door advocatenkantoor van Benthem & Keulen. Alle relevante bepalingen uit de Algemene Verordening Gegevensbescherming zijn in de overeenkomsten opgenomen.

We staan open voor alle wensen en opmerkingen. Het voornemen is om de overeenkomst periodiek aan te passen, waarbij we zoveel mogelijk rekening houden met vragen en opmerkingen van onze gebruikers. Daarom hebben we een speciale e-mailbox opgezet waar je al je vragen en wensen naartoe kunt mailen: persoonsgegevens@helloflexgroup.com

Ja, dat doen we zeker. Onze hosting vindt plaats bij Previder (HelloFlex) en Dutchcloud (FlexService). De opslag hiervan vindt plaats in Nederland. Voor HelloFlex Planning maken we gebruik van de planningsoftware van Integral. De hosting van deze data vindt plaats bij MS Azure, tenzij hierover andere afspraken gemaakt zijn. Met alle partijen zijn bewerkersovereenkomsten afgesloten.

We sluiten niet uit dat we in de toekomst gebruik zullen maken van andere subverwerkers. Daarom is in de standaard overeenkomst geregeld dat je hier in principe mee akkoord gaat. Wel zullen we je altijd van tevoren informeren over het inschakelen van nieuwe subverwerkers. Je hebt dan altijd de gelegenheid om daar bezwaar tegen te maken.

Een groot deel van onze software wordt gebouwd door ons softwareontwikkelbedrijf SharpMinds in Oekraïne. In uitzonderlijke gevallen is het nodig om de hulp van deze specialisten in te schakelen. Hiervoor geef je altijd vooraf toestemming. We hebben met SharpMinds Oekraïne een verwerkersovereenkomst gesloten waarin goede afspraken gemaakt zijn over autorisatie, logging en geheimhouding.

Omdat er in deze gevallen sprake is van een verwerking buiten Europa dienen hiervoor op grond van de wet passende waarborgen voor geboden te worden. Dit doen we door gebruik te maken van door de Europese Commissie vastgestelde standaardbepalingen (model-clauses). Omdat deze formeel alleen tussen de verwerkingsverantwoordelijke en de partij buiten de EU kunnen worden gesloten, vragen wij je in de verwerkersovereenkomst namens jou een dergelijke overeenkomst te sluiten.

In bijlage 2 van onze verwerkersovereenkomst zijn onze maatregelen opgenomen. Jaarlijks zullen we deze maatregelen extern laten toetsen en dit rapport aan je doen toekomen.

De implementatie van de AVG vraagt veel samenwerking en tijd. Door de AVG hebben verwerkers meer verplichtingen gekregen. Deze kosten willen we niet aan je doorberekenen. Wel hebben we ervoor gekozen om een bescheiden bijdrage te vragen voor de nalevingsrapportage. Bovendien hebben we ervoor gekozen om klanten deze bijdrage slechts één keer te laten betalen, ook als ze meerdere producten afnemen. In de verwerkersovereenkomsten voor zowel FlexService als HelloFlex staat meer informatie over de nalevingsrapportage.

Indien wij toerekenbaar tekortschieten in de naleving van de verwerkersovereenkomst zijn wij aansprakelijk. Op grond van onze algemene voorwaarden die we met je overeengekomen zijn is deze aansprakelijkheid echter wel beperkt. In het geval jij de overeenkomst niet nakomt dan geldt voor ons een vrijwaring voor schade en boete.

De verwerwerkersovereenkomst moet door zowel de verantwoordelijke als de verwerker worden getekend.

  • Print de verwerkersovereenkomst(en)
  • Vul de gegevens van je bedrijf in
  • Onderteken de overeenkomst (rechtsgeldig persoon)
  • Scan en mail de getekende overeenkomst(en) naar verwerkersovereenkomst@helloflexgroup.com
  • Je ontvangt vervolgens een getekend exemplaar retour

Heb je nog vragen: mail ze dan naar persoonsgegevens@helloflexgroup.com.

Vragen over FlexService en de AVG?

Heb je vragen over onze software en tools met betrekking tot de AVG?
Neem dan gerust met ons op.