Welkom bij ITSync

DE WEG NAAR SUCCES!

Vacatures

Welkom bij ITSync

DE WEG NAAR SUCCES!

Vacatures

Snel zoeken

Privacy protocol persoonsgegevens pre-employment screening (PES Protocol)

DEEL 1: INLEIDING Wat houdt pre-employment screening (PES) in?
ITSync houdt zich onder andere bezig met het werven, selecteren van Flexwerkers voor haar Opdrachtgevers en het vervolgens beschikbaar stellen van Flexwerkers aan die Opdrachtgevers voor het verrichten van arbeid op basis van een uitzend-/detacheringsovereenkomst, overeenkomst van opdracht, of een dienstverband met de Opdrachtgever. Een aantal Opdrachtgevers (bijv. financiële instellingen, overheid) verlangt van ITSync dat zij een pre-employment screening (PES) uitvoert met betrekking tot Flexwerkers voor deze Opdrachtgevers. Als de PES meer omvat dan alleen een VOG en de voor werving en selectie gebruikelijke gegevens, dan komt ITSync het uitvoeren van een PES alleen contractueel met deze Opdrachtgever overeen als zij eerst is nagegaan of de Opdrachtgever een gerechtvaardigd belang heeft bij het (laten) uitvoeren van de PES dat belang zwaarder weegt dan de (privacy)rechten van Flexwerkers (bijv. in verband met een wettelijke verplichting die op de Opdrachtgever rust om PES uit te (laten) voeren of vanwege de specifieke aard van de openstaande functie).
De PES kan zowel op centraal niveau worden uitgevoerd door een gespecialiseerd team van medewerkers binnen de ITSync-groep (“PES-unit”), als op decentraal niveau worden uitgevoerd door intercedenten. In beginsel wordt de PES uitgevoerd door de PES-unit, indien de PES wordt uitgevoerd voor grote Opdrachtgevers en/of voor Opdrachtgevers die een uitgebreide PES vereisen (bijv. banken en verzekeraars). Doorgaans wordt de PES uitgevoerd door intercedenten, indien de PES die de Opdrachtgever vereist enkel bestaat uit het (laten) opvragen van een VOG.
In het kader van PES Verwerkt ITSync voor een belangrijk gedeelte Persoonsgegevens betreffende Flexwerkers die zij ook Verwerkt als onderdeel van haar normale selectie (zie voor meer informatie hierover het privacystatement op www.ITSync.nl). Daarnaast kan ITSync ook bijzondere Persoonsgegevens van de Flexwerkers Verwerken in het kader van PES, in het bijzonder strafrechtelijke Persoonsgegevens. Deze gegevens kunnen – in zeer uitzonderlijke gevallen – opgenomen zijn in de Eigen (integriteits)verklaring en/of blijken uit referenties en/of het achterwege blijven van een VOG.
Dit Protocol voorziet in een veilige en zorgvuldige Verwerking van PES gegevens, waaronder ook strafrechtelijke Persoonsgegevens, betreffende Flexwerkers voor zover deze gegevens worden Verwerkt in het kader van PES. Het vormt een praktische uitwerking van het algemene, interne privacybeleid van ITSync dat is vastgelegd in het document “Privacy Beleid ITSync”.
Werkwijze, welke gegevens worden verwerkt
De PES werkwijze van ITSync kan als volgt worden samengevat:
1) Indien een Flexwerker mogelijk in aanmerking komt voor ( continuering van) werkzaamheden bij een Opdrachtgever die PES vereist, voert ITSync - voorafgaand aan en/of tijdens de looptijd van de uitzend-/detacheringsovereenkomst, overeenkomst van opdracht of het dienstverband met de Opdrachtgever - PES uit, indien de Flexwerker hiertoe bereid is.

2) De omvang van de PES, en daarmee van de gegevens die worden opgenomen in het PES dossier, is afhankelijk van de wensen die de specifieke Opdrachtgever met ITSync is overeengekomen. Het PES dossier van een Flexwerker kan bestaan uit:


a) gegevens die – ook zonder PES - vrijwel altijd in het kader van de (normale) selectie van een Flexwerker worden verzameld, zoals diens NAW gegevens, overige contactgegevens, geboortedatum, geboorteplaats, nationaliteit, geslacht, gegevens betreffende opleiding, arbeidsverleden, nevenfuncties, diploma’s, vergunningen en gegevens betreffende ingewonnen referenties. Deze gegevens worden door ITSync opgeslagen ten behoeve van de Opdrachtgever die PES vereist, maar ook voor eigen intern gebruik in het kader van de (verdere) bemiddeling van de Flexwerkers. Zij kunnen in dat kader, behalve met de Opdrachtgever die de PES vereist, ook met andere (potentiële) Opdrachtgevers worden gedeeld. Ook de VOG (Verklaring omtrent het gedrag) en de evt. door de Opdrachtgever gevraagde betrouwbaarheidsverklaring van ITSync (waarin ITSync verklaart de screening te hebben uitgevoerd en geen reden heeft om te twijfelen aan de betrouwbaarheid/integriteit van de Flexwerker) wordt op deze wijze Verwerkt. Deze moet immers hergebruikt kunnen worden voor andere Opdrachtgevers binnen de zelfde sector die PES vereisen.

b) meer gevoelige (maar niet bijzondere) gegevens, zoals gegevens betreffende de financiële situatie van de Flexwerker (bijv. faillissement, schuldsanering, loonbeslag, evt. BKR registratie) en overige voor de toetsing van de betrouwbaarheid en/of integriteit van de Flexwerker relevante informatie (bijv. gegevens met betrekking tot schorsing en ontslag). Dergelijke informatie wordt doorgaans uitgevraagd via een zogenaamde door de Flexwerker zelf in te vullen Eigen (Integriteits)verklaring, maar kunnen ook worden verkregen door gebruikmaking van openbare registers (bijv. Centraal Insolventieregister). Deze gegevens kunnen intern door ITSync worden gebruikt in het kader van de (verdere) bemiddeling van de Flexwerker. Zij worden alleen gedeeld met de Opdrachtgever waarvoor de PES wordt verricht, en met andere Opdrachtgevers, indien deze andere Opdrachtgevers een vergelijkbare PES voor de desbetreffende Flexwerker vereisen. Met de Opdrachtgever(s) worden de gegevens alleen gedeeld i) als dat noodzakelijk is in verband met een (verdenking van) fraude, andere ernstige onregelmatigheden, een gerechtelijke procedure, of ii) - steekproefsgewijs - in het kader van een audit, zie III), of iii) als dat noodzakelijk is voor de Opdrachtgever om te voldoen aan een wettelijke verplichting, of iv) in het uitzonderlijke geval dat een Flexwerker meer gevoelige gegevens vermeldt op zijn Eigen Verklaring, en de inschatting van ITSync is dat dit verleden niet in de weg hoeft te staan aan het verrichten van werkzaamheden voor de Opdrachtgever, en de Opdrachtgever hier het uiteindelijke oordeel over velt. Gegevens betreffende loonbeslag worden niet als zodanig met Opdrachtgevers gedeeld, maar enkel het gegeven dat uit de PES is gebleken dat de Flexwerker niet (langer) geplaatst kan worden bij de Opdrachtgever, omdat de Flexwerker niet (langer) aan de functievoorwaarden voldoet.

c) Strafrechtelijke gegevens en gegevens betreffende onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag: deze bijzondere Persoonsgegevens worden alleen voor eigen intern gebruik door ITSync opgeslagen met het oog op de (verdere) bemiddeling van de Flexwerker, ten behoeve van de Opdrachtgever voor wie de PES wordt verricht en ten behoeve van andere Opdrachtgevers die een vergelijkbare PES vereisen. Een dergelijke Opdrachtgever (of een door hem aangewezen derde en/of zijn toezichthouder) krijgt alleen toegang tot deze bijzondere Persoonsgegevens van (voorheen) bij hem werkzame Flexwerkers als dat i) noodzakelijk is in verband met een (verdenking van) fraude, andere ernstige onregelmatigheden of een gerechtelijke procedure, b) in het kader van een audit (zie III) of in de volgende uitzonderlijke gevallen:

i) Eigen (Integriteits)verklaringen, waarop een Flexwerker verklaart dat sprake is van een strafrechtelijk verleden, worden alleen aan Opdrachtgevers ter beschikking gesteld in het uitzonderlijke geval dat een Flexwerker aangeeft een strafrechtelijk verleden te hebben, de inschatting van ITSync is dat dit verleden niet in de weg hoeft te staan aan het verrichten van werkzaamheden voor de Opdrachtgever, en de Opdrachtgever hier het uiteindelijke oordeel over velt;
ii) De –eveneens uitzonderlijke – omstandigheid dat een Flexwerker niet (tijdig) een VOG overlegt, wordt alleen met de Opdrachtgever gedeeld als de Flexwerker reeds met zijn werkzaamheden is aangevangen (hetgeen vaak onontkoombaar is, omdat de afgifte van een VOG één tot enkele weken duurt). De Opdrachtgever wordt in dit geval alleen geïnformeerd dat de Flexwerker niet langer aan de functievoorwaarden voldoet, tenzij het de inschatting van ITSync is dat dit gegeven niet in de weg hoeft te staan aan het blijven verrichten van werkzaamheden voor de Opdrachtgever, en de Opdrachtgever hier het uiteindelijke oordeel over velt;
iii) In de – nog uitzonderlijker – omstandigheid dat uit een ingewonnen verklaring van een referent blijkt dat sprake is van een strafrechtelijk verleden, wordt dit gegeven voor eigen intern gebruik door ITSync opgeslagen, en alleen met de Opdrachtgever gedeeld als de Flexwerker reeds met zijn werkzaamheden is aangevangen (hetgeen vaak onontkoombaar is, omdat het inwinnen van referenties enkele weken kan duren). De Opdrachtgever wordt in dit geval alleen geïnformeerd dat de Flexwerker niet langer aan de functievoorwaarden voldoet, tenzij het de inschatting van ITSync is dat dit gegeven niet in de weg hoeft te staan aan het blijven verrichten van werkzaamheden voor de Opdrachtgever, en de Opdrachtgever hier het uiteindelijke oordeel over velt.
3) III. Indien dit is overeengekomen met de Opdrachtgever, kan de Opdrachtgever (of een auditor namens of in opdracht van de Opdrachtgever)) van tijd tot tijd toegang verkrijgen tot het PES dossier van zijn (voormalige) Flexwerkers in het kader van de uitoefening van zijn auditrechten. Dit auditrecht kan contractueel ook toekomen aan toezichthouder(s) van de Opdrachtgever (bijv. De Nederlandsche Bank).

DEEL 2: VOORSCHRIFTEN ALGEMENE BEPALINGEN

Artikel 1: Definities
Algemene Privacybeleid: het algemene privacybeleid van ITSync zoals thans vastgelegd in het document “Privacy Beleid ITSync”.
Bewerker: degene die ten behoeve van de verantwoordelijke Persoonsgegevens Verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
College bescherming persoonsgegevens of CBP: Het bestuursorgaan dat op grond van de Wbp tot taak heeft toe te zien op de Verwerking van Persoonsgegevens, waaronder PES Persoonsgegevens.
Derde: ieder, niet zijnde de Flexwerker, ITSync, de Bewerker, of enig persoon die onder rechtstreeks gezag van ITSync of de Bewerker gemachtigd is om PES Persoonsgegevens te Verwerken.
Flexwerker: de (kandidaat-)uitzendkracht, (kandidaat-) gedetacheerde, (kandidaat-)werknemer of zelfstandige ondernemer op wie een Persoonsgegeven betrekking heeft.
Melding: de melding ‘PES administratie’ van ITSync bij het CBP betreffende de Verwerking van Persoonsgegevens in het kader van PES. De huidige versie van de melding is bij de Protocol gevoegd als Bijlage 1.
ITSync: de rechtspersoon ITSync B.V. die, tezamen met haar dochtermaatschappijen, het doel van en de middelen voor de Verwerking van Persoonsgegevens in het kader van PES vaststelt en derhalve kwalificeert als (mede)verantwoordelijke in de zin van de Wbp.
Opdrachtgever: de opdrachtgever van ITSync en de organisatie waar de Flexwerker te werk is of (mogelijk) wordt gesteld.
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
PES: pre-employment screening zoals beschreven in de Inleiding.
PES dossier: het per Flexwerker bijgehouden gestructureerde geheel van Persoonsgegevens met de PES gegevens van een Flexwerker.
PES gegevens: de Persoonsgegevens, waaronder strafrechtelijke Persoonsgegevens, die worden Verwerkt in het kader van PES.
Protocol: dit Privacy protocol persoonsgegevens pre-employment screening
Verwerking, Verwerken (incl. vervoegingen daarvan): elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Wbp: de Wet bescherming persoonsgegevens.
Artikel 2: Reikwijdte & doel Protocol
1) Dit Protocol is van toepassing op de Verwerking van PES gegevens door ITSync voor zover deze PES gegevens worden Verwerkt in het kader van de PES, welke Verwerking bij het CBP is gemeld middels de Melding. Dit Protocol laat de bepalingen in het Algemene Privacybeleid onverlet.
2) Het doel van dit Protocol is om een praktische uitwerking te geven van de bepalingen van de Wbp en het Algemene Privacybeleid, alsmede om specifieke waarborgen te bieden voor de Verwerking van PES gegevens door ITSync.

RECHTMATIGE VERWERKING VAN PES GEGEVENS
Artikel 3: Doel & grondslag Verwerking PES gegevens
1) ITSync zal de PES gegevens Verwerken in overeenstemming met dit Protocol, op behoorlijke en zorgvuldige wijze, en enkel voor de doeleinden die zijn beschreven in de Melding, te weten:
a) Voor bemiddeling: PES voor (aanvang of voortzetting van) een ter beschikkingstelling en/of overeenkomst van opdracht en/of dienstverband met de Opdrachtgever, indien en voor zover contractueel vereist door (potentiële) Opdrachtgever(s);
b) Voor managementdoeleinden: interne managementinformatie en het laten uitvoeren van audits voor zover vereist op grond van contractuele afspraken met Opdrachtgevers.

2) ITSync Verwerkt PES gegevens van Flexwerkers slechts als:
a) dat nodig is voor de uitvoering van een overeenkomst met de Flexwerker, zoals de afspraak de Flexwerker te bemiddelen naar een Opdrachtgever die PES eist; en/of
b) dat nodig is in verband met een gerechtvaardigd belang van ITSync en/of de Opdrachtgever en dat belang prevaleert boven het (privacy)belang van de Flexwerkers.

3) Het gerechtvaardigd belang van ITSync voor de Verwerking voor het doeleinde van bemiddeling bestaat onder meer uit het zorgvuldig uitvoeren van haar bedrijfsactiviteiten, en het voldoen aan haar contractuele verplichtingen jegens haar Opdrachtgevers die een gerechtvaardigd belang hebben bij het (laten) uitvoeren van de PES. Het gerechtvaardigd belang van Opdrachtgevers bij het uitvoeren van de PES kan bijvoorbeeld bestaan uit een wettelijke verplichting die op Opdrachtgevers rust om vooraf de betrouwbaarheid van Flexwerkers te (laten) beoordelen en/of de specifieke aard van de openstaande functie die extra waarborgen vereist en, meer in zijn algemeenheid, de noodzaak om het juiste, betrouwbare personeel in dienst te nemen of hebben (bijv. het voorkomen van fraude en andere strafbare feiten).

4) Het gerechtvaardigd belang van ITSync voor de Verwerking voor managementdoeleinden bestaat onder meer uit het voorkomen dat negatief gescreende Flexwerkers bij een andere Opdrachtgever wordt bemiddeld die een vergelijkbare PES vereist, het voorkomen dat een PES (geheel) wordt uitgevoerd voor Flexwerkers waarvoor recent een PES is uitgevoerd, en/of als bewijs dat zij haar contractuele verplichtingen met Opdrachtgevers is nagekomen (bijv. bij audits of bij geschillen).

5) De Verwerking van strafrechtelijke Persoonsgegevens ten behoeve van Opdrachtgevers in het kader van de PES is conform artikel 31 Wbp bij het CBP gemeld.

Artikel 4: Voorwaarden Verwerking van PES gegevens
1) Als de PES meer omvat dan alleen een VOG en de voor werving en selectie gebruikelijke gegevens, voert ITSync deze alleen uit indien en voor zover zij zich ervan heeft vergewist dat de Opdrachtgever een gerechtvaardigd belang heeft bij het instellen van de PES voor de functie waarvoor ITSync de Flexwerker bemiddelt.
2) Voor zover ITSync PES gegevens ten eigen behoeve Verwerkt, zal ITSync dit slechts doen binnen de grenzen van de wet. Dat brengt mee dat strafrechtelijke Persoonsgegevens uitsluitend Verwerkt mogen worden ter beoordeling van een verzoek van de Flexwerker om een beslissing over hem te nemen of aan hem een prestatie te leveren of ter bescherming van de belangen van ITSync voor zover het gaat om strafbare feiten die zijn of naar verwachting zullen worden gepleegd jegens hem of jegens personen die in haar dienst zijn.
3) ITSync draagt er zorg voor dat PES gegevens slechts worden Verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld en vervolgens worden Verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Dat betekent dat de PES naar aard, inhoud en omvang beperkt dient te blijven tot wat nodig is om het risico te reduceren waarvoor de PES wordt verricht. Concreet zijn daartoe de volgende waarborgen getroffen:

• Als de PES meer omvat dan alleen een VOG en de voor werving en selectie gebruikelijke gegevens, gaat ITSync eerst na of de Opdrachtgever een gerechtvaardigd belang heeft bij het (laten) uitvoeren van de PES dat belang zwaarder weegt dan de (privacy)rechten van Flexwerkers (bijv. in verband met een wettelijke verplichting die op de Opdrachtgever rust om PES uit te (laten) voeren of vanwege de specifieke aard van de openstaande functie);
• ITSync vraagt de PES gegevens vrijwel allemaal bij de Flexwerker zelf op. Indien de Flexwerker PES gegevens (bijv. een strafrechtelijk verleden) opgeeft die weliswaar kunnen leiden tot een negatieve uitkomst van de PES, maar die naar de inschatting van ITSync niet in de weg zouden moeten staan aan (voorzetting van de) tewerkstelling treedt ITSync in overleg, eerst met de Flexwerker en dan met de Opdrachtgever, om te bezien of bemiddeling toch kan (blijven) plaatsvinden;
• ITSync controleert waar mogelijk en toegestaan de juistheid van PES gegevens. Gegevens die onjuist of verouderd zijn gebleken, worden gewist, tenzij dergelijke gegevens krachtens een toepasselijke bewaartermijn dienen te worden bewaard;
• ITSync biedt de Flexwerker recht op inzage in, en correctie en verwijdering van de PES gegevens die over hem wordt Verwerkt conform artikel 10 van dit Protocol.

4) De PES wordt enkel uitgevoerd met betrekking tot de Flexwerker waarvan duidelijk is dat hij (potentieel) geplaatst kan worden op een functie waarvoor de Opdrachtgever een PES vereist.

5) PES gegevens worden uitsluitend aan Opdrachtgevers of aan andere Derden verstrekt onder de omstandigheden en voorwaarden die in de werkwijze-omschrijving in de Inleiding (Deel 1) van dit Protocol zijn vermeld.

6) ITSync draagt zorg dat PES gegevens alleen worden gebruikt in het kader van de selectie van de betreffende Flexwerker voor de (functie bij de) Opdrachtgever waarvoor de PES is uitgevoerd, en voor Opdrachtgevers die (voor soortgelijke functies) een vergelijkbare PES vereisen, door middel van een werkinstructie op intranet voor haar werknemers, waaronder intercedenten en werknemers van de PES-Unit.

INFORMATIEPLICHT
Artikel 5: Informatieplicht
1) ITSync informeert de Flexwerker over doel en inhoud van de PES, alsook over de gevolgen van een negatieve uitslag van de PES, voordat deze wordt uitgevoerd (hetzij op het moment van een ‘match’ met een Opdrachtgever die een PES vereist, hetzij op het moment dat de voorstelprocedure in gang is gezet, omdat de Flexwerker (potentieel) in aanmerking komt voor een functie bij een Opdrachtgever die een PES vereist). ITSync stelt de Flexwerker daartoe op de hoogte van de identiteit van de beoogde Opdrachtgever, de PES gegevens die zullen worden Verwerkt en de omstandigheid dat een negatieve uitslag van de PES er in beginsel toe zal leiden dat de Flexwerker niet voorgesteld dan wel (niet) langer geplaatst kan worden bij de Opdrachtgever.

2) Indien de Flexwerker bereid is mee te werken aan de PES, verstrekt de Flexwerker de voor de Opdrachtgever nog benodigde PES gegevens zelf aan ITSync, of gebruikt ITSync de reeds eerder door Flexwerker verstrekte gegevens. Uitsluitend voor referenties geldt dat ITSync die bij derden inwint. Voor het inwinnen van gegevens betreffende de financiële situatie van de Flexwerker kan ITSync openbare bronnen raadplegen (bijv. Centraal Insolventieregister).

3) ITSync informeert de Flexwerker tijdens de PES over de voortgang, indien de PES niet naar wenst verloopt en/of de start- of voorsteldatum in gevaar komt (bijv. omdat de Flexwerker de Eigen Verklaring niet tijdig ingevuld retourneert of de opgegeven referenten onbereikbaar blijken).

4) ITSync informeert de Flexwerker in het geval dat de uitslag van de PES positief is, dat de Flexwerker aan de Opdrachtgever kan worden voorgesteld of dat de plaatsing bij de Opdrachtgever kan doorgaan. In het (uitzonderlijke) geval dat de uitslag van de PES negatief is, informeert ITSync de Flexwerker dat hij niet kan worden voorgesteld dan wel geplaatst bij de Opdrachtgever en/of dat zijn plaatsing bij de Opdrachtgever dient te worden beëindigd, tenzij de Opdrachtgever de Flexwerker ondanks de negatieve uitslag van de PES alsnog wil plaatsen dan wel geplaatst wil houden (zie de werkwijze-omschrijving in de Inleiding, Deel 1, onder II b. en c.).

TECHNISCHE EN ORGANISATORISCHE VERPLICHTINGEN
Artikel 6: Geheimhoudingsplicht
1) ITSync instrueert medewerkers die toegang moeten verkrijgen tot de PES gegevens omtrent de inhoud van dit Protocol en zorgt ervoor dat zij zich verplicht hebben tot geheimhouding van alles wat verbonden is met de Verwerking van de PES gegevens (middels een algemene geheimhoudingsverplichting met boetebepaling in hun arbeidsovereenkomst en werkinstructies op intranet).

2) ITSync neemt in haar overeenkomsten met Opdrachtgevers en/of in de daarop van toepassing zijnde algemene voorwaarden van ITSync verplichtingen omtrent geheimhouding door Opdrachtgevers op, en pleegt Opdrachtgevers in deze overeenkomsten ook te wijzen op hun eigen verantwoordelijkheid uit hoofde van de Wbp.

Artikel 7: Toegang tot PES gegevens
1) ITSync formuleert duidelijke werkinstructies voor haar medewerkers, waaronder medewerkers van de PES-unit en intercedenten, op intranet om de toegang tot PES gegevens te beperken tot medewerkers die daadwerkelijk toegang moeten hebben tot de PES gegevens in het kader van de PES, en voor de ondersteuning van deze werkinstructies door technische maatregelen.

2) ITSync instrueert medewerkers om een zogenaamde ‘privacyvink’ in het Mondriaan systeem aan te vinken bij bepaalde, gevoelige gegevens uit het PES dossier (bijv. de negatieve Eigen Verklaring en de negatieve ingewonnen referentie met bijzondere persoonsgegevens). Hiermee wordt voorkomen dat de desbetreffende gegevens zichtbaar zijn voor (en gebruikt kunnen worden door) anderen dan de PES-unit of de unit van de desbetreffende intercedent die de PES heeft uitgevoerd.

3) ITSync instrueert medewerkers om in het Mondriaan systeem de aantekening ‘VOG: nee’ of ‘VOG niet (tijdig) aanwezig’ op te nemen, indien de Flexwerker de aangevraagde VOG niet heeft verkregen ( in verband met de (verdere) selectie van de Flexwerker).

Artikel 8: Bewaartermijn PES gegevens
ITSync draagt zorg dat PES gegevens niet langer worden bewaard dan noodzakelijk en relevant is voor de verwerkelijking van de doeleinden waarvoor zij worden Verwerkt, waaronder ook wordt verstaan de opslag conform de daarover met Opdrachtgevers gemaakte afspraken. Op het moment van inwerkingtreding van dit PES Protocol bewaart ITSync de PES gegevens in verband met reeds bestaande contractuele vereisten van haar Opdrachtgevers maximaal 7 jaar na het einde van het kalenderjaar waarin de dienstbetrekking is geëindigd. Na de inwerkingtreding van dit PES Protocol zullen de volgende bewaartermijnen (gaan) gelden voor alle PES gegevens voor zover ITSync die Verwerkt in het kader van de PES:
• De VOG en Eigen verklaring met betrekking tot Flexwerkers die (positief of negatief) zijn gescreend, (nog) niet hebben gewerkt, en niet binnen één jaar aan de slag gaan bij dezelfde of een andere Opdrachtgever, worden bewaard tot één jaar na de afronding van de PES (vanaf 1 oktober 2015);

• De VOG en Eigen verklaring met betrekking tot Flexwerkers die (positief of negatief) gescreend zijn en binnen één jaar aan de slag zijn gegaan bij dezelfde of een andere Opdrachtgever, worden bewaard tot 2 jaar na einde dienstbetrekking, tenzij de Opdrachtgever aannemelijk kan maken dat een langere bewaartermijn gerechtvaardigd is (bijvoorbeeld in verband met een op hem rustende wettelijke verplichting) (vanaf 1 januari 2016);

• Overige PES gegevens die niet in het kader van de (normale) selectie van een Flexwerker worden verzameld, worden bewaard tot uiterlijk 2 jaar na einde dienstbetrekking of 2 jaar na het laatste contact van ITSync met de Flexwerker, tenzij de Opdrachtgever aannemelijk kan maken dat een langere bewaartermijn gerechtvaardigd is (bijvoorbeeld in verband met een op hem rustende wettelijke verplichting) (vanaf 1 januari 2016).

Voor alle PES gegevens geldt dat een langere bewaartermijn kan worden gehanteerd, indien er bijvoorbeeld sprake is van een geschil, een gerechtelijke procedure of een daaruit voortvloeiend schikkingstraject. In die gevallen draagt ITSync zorg dat PES gegevens in afwijking van de hiervoor beschreven bewaartermijnen worden bewaard tot uiterlijk twee jaar na afhandeling van een dergelijk geschil of na afronding van een dergelijke procedure of een daaruit voortvloeiend schikkingstraject, echter niet langer dan noodzakelijk voor het desbetreffende doeleinde.
Artikel 9: Beveiliging PES gegevens
ITSync heeft passende technische en organisatorische maatregelen ten uitvoer gelegd om strafrechtelijke gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen zijn beschreven in de Melding en het binnen ITSync geldende Informatiebeveiligingsbeleid dat regels stelt op het gebied van de volgende onderwerpen:
• HR beveiliging (o.a. contractuele verplichting voor personeel om informatie vertrouwelijk te behandelen en implementatie automatisch off boarding proces bij uitdiensttreding personeel of wijziging functie personeel);

• Bedrijfscontinuïteit management;

• Beveiligingsprocedures en beoordeling risico’s (o.a. voorschrift tot periodiek uitvoeren interne risico beoordelingen);

• Audit en compliance checks (o.a. voorschrift tot periodiek uitvoeren interne IT audits);

• Rapportage incidenten, (o.a. voorschrift om de Privacy Officer en de afdeling juridische zaken van ITSync bij de oplossing ernstige beveiligingsincidenten te betrekken);

• Informatiebeveiligingsstandaarden (o.a. gebaseerd op ISO27001 en rekening houdend met de Richtsnoeren beveiliging persoonsgegevens van het CBP);

• Overige beveiliging (o.a. aanstellen Information Security Officer, Privacy Officer en Risk and Compliance Officer, het gebruiken van encryptie in lijn de ENISA richtsnoeren en van antimalware software).

Artikel 10: Verzoek om inzage, correctie of verwijdering PES gegevens
1) Flexwerkers kunnen hun verzoek om inzage en/of correctie schriftelijk indienen bij hun contactpersoon bij ITSync, bijvoorbeeld de intercedent waarmee zij contact hebben in het kader van de selectie of de PES. De contactpersoon zal in voorkomende gevallen advies inwinnen bij de afdeling juridische zaken van ITSync, die op haar beurt eventueel advies inwint bij de Privacy Officer.

2) Als een verzoek tot inzage of correctie wordt afgewezen, wordt de reden voor afwijzing aan de Flexwerker gemeld. Het verzoek en de reden van afwijzing worden vermeld in het dossier van de Flexwerker.

3) 3. ITSync verplicht haar medewerkers die per telefoon of e-mail met verzoeken om inzage of inlichtingen van Flexwerkers te maken hebben, hier voorzichtig mee om te gaan, en zich niet te laten dwingen persoonlijke informatie (telefonisch) te onthullen. In het bijzonder dienen medewerkers daarom:

• de identiteit van de Flexwerker te controleren om zich ervan te vergewissen dat de informatie alleen aan de Flexwerker die hiertoe gerechtigd is wordt gegeven. Bij onzekerheid over de identiteit van de Flexwerker en dus de rechtmatigheid van het verzoek mag geen informatie worden verschaft.
• voor te stellen dat de Flexwerker het verzoek schriftelijk doet of dat de Flexwerker persoonlijk langskomt, als men niet zeker is van de identiteit van de Flexwerker en/of wanneer zijn/haar identiteit niet kan worden gecontroleerd.

4) ITSync instrueert haar medewerkers om in lastige situaties contact op te nemen met de afdeling Juridische Zaken.

Artikel 11: Klachten
1) Indien de Flexwerker van mening is dat de bepalingen van dit Protocol niet worden nageleefd of overige klachten heeft met betrekking tot de Verwerking van zijn PES gegevens, kan hij in eerste instantie terecht bij zijn contactpersoon bij ITSync. Wordt geen bevredigende oplossing gevonden of heeft de Flexwerker zwaarwegende redenen waarom hij/zij niet de contactpersoon kan benaderen, dan kan hij schriftelijk of per e-mail contact met opnemen via juridischezaken@ITSync.nl of ITSync t.a.v. afdeling Juridische Zaken, Zwarteweg 10, 1412 GD, Naarden. De afdeling Juridische Zaken is ook telefonisch bereikbaar via telefoonnummer 085-0403270.

2) Wanneer de Flexwerker schriftelijk of per e-mail een klacht indient bij de afdeling Juridische Zaken, stuurt een medewerker van deze afdeling de Flexwerker een ontvangstbevestiging. In deze ontvangstbevestiging wordt aangegeven binnen welke termijn ITSync een inhoudelijke reactie op de klacht verwacht te kunnen geven, tenzij ITSync de klacht direct inhoudelijk kan adresseren. Indien ITSync een klacht telefonisch ontvangt, informeert ITSync de Flexwerker eveneens binnen welke termijn ITSync inhoudelijke reactie op de klacht verwacht te kunnen geven, tenzij zij de klacht direct telefonisch kan adresseren.

3) De afdeling juridische zaken van ITSync behandelt de klacht vervolgens inhoudelijk, indien nodig met behulp van de Privacy Officer, waarna zij de Flexwerker op de hoogte stelt van de uitkomst van haar beoordeling. Indien gewenst is de afdeling Juridische Zaken beschikbaar voor een nadere toelichting van haar beoordeling of voor de beantwoording van vervolgvragen van de Flexwerker. Mocht de nadere toelichting of de beantwoording van de afdeling Juridische Zaken voor de Flexwerker onbevredigend zijn, dan zal de afdeling Juridische Zaken de Flexwerker wijzen op de mogelijkheid van bemiddeling door het CBP.

4) Medewerkers van ITSync, Opdrachtgevers en Derden kunnen met vragen of klachten over de naleving van dit Protocol ook terecht bij de Privacy Officer van ITSync.

Artikel 12: Publicatie Protocol
ITSync zal dit Protocol publiceren op een wijze waarop het gemakkelijk raadpleegbaar is, en onder de aandacht van haar medewerkers brengen (bijv. middels werkinstructies op intranet en tijdens de opleiding van (nieuwe) intercedenten).

Bijlage 1: Melding en Aanvraag Voorafgaand Onderzoek inzake PES administratie
Versie 1.02, d.d. 4 april 2018

ITSync gebruikt cookies om bepaalde voorkeuren te onthouden en vacatures af te stemmen op je interesses.