Wie in de flexbranche over compliance praat, heeft het al snel over gelijke beloning, de Waadi en de aankomende toelatingsplicht onder de WTTA. Logisch, want de financiële risico’s zijn fors en de regels worden strenger. Maar er is een tweede compliancedossier dat bij intermediairs minstens zo zwaar weegt en veel minder aandacht krijgt: de bescherming van persoonsgegevens. Uitzendbureaus, detacheerders en payrollbedrijven verwerken dagelijks meer gevoelige gegevens dan de gemiddelde onderneming. Eén verkeerd verstuurde e-mail kan al een meldplichtig datalek zijn.

Intermediairs verwerken meer persoonsgegevens dan gemiddeld

Een intermediair zit per definitie tussen twee partijen in. Dat betekent dat er van elke uitzendkracht of gedetacheerde een compleet dossier door de organisatie stroomt: identiteitsgegevens, BSN, bankrekeningnummers, loonstroken, contracten en soms ook gegevens over gezondheid of verzuim. Daar komt de beloningsadministratie nog bij. Wie de inlenersbeloning correct wil toepassen, wisselt structureel salarisgegevens uit met opdrachtgevers.

Al die gegevensstromen vallen onder de AVG. En anders dan bij een bakker of een bouwbedrijf gaat het bij een intermediair niet om een personeelsdossier van twintig eigen medewerkers, maar om honderden of duizenden flexkrachten van wie gegevens voortdurend worden gedeeld, aangevuld en doorgestuurd. Elke uitwisseling is een moment waarop het mis kan gaan.

Niet hackers, maar medewerkers veroorzaken de meeste datalekken

De cijfers van de Autoriteit Persoonsgegevens laten al jaren hetzelfde beeld zien. In 2024 werden 37.839 datalekken gemeld, bijna vijftig procent meer dan het jaar ervoor, en in 2025 liep dat aantal verder op naar ruim 44.000 meldingen. Opvallend is de oorzaak: slechts zo’n vier procent van de gemelde datalekken was het gevolg van een cyberaanval. Verreweg de grootste categorie bestaat uit menselijke fouten, zoals brieven en e-mails die bij de verkeerde ontvanger belanden.

Voor de flexbranche is dat een ongemakkelijke conclusie. Juist het dagelijkse werk van een intermediair bestaat uit het versturen van gegevens: een cv naar een opdrachtgever, een loonstrook naar een uitzendkracht, een urenoverzicht naar de inlener. Hoe meer verzendmomenten, hoe groter de kans dat er een keer iets naar het verkeerde adres gaat. Techniek alleen lost dat niet op. Een firewall houdt geen collega tegen die het verkeerde dossier aan een e-mail hangt.

Wat is privacy awareness en waarom werkt het?

Privacy awareness betekent dat medewerkers zich bewust zijn van de persoonsgegevens waarmee ze werken en weten hoe ze daar zorgvuldig mee omgaan. Het gaat om praktische vragen. Mag ik een kopie van een ID-bewijs opslaan in een gedeelde map? Wat doe ik als een opdrachtgever om het BSN van een uitzendkracht vraagt? En bij wie meld ik het als ik per ongeluk een loonstrook naar de verkeerde persoon heb gestuurd?

De AVG verwacht bovendien dat organisaties hun personeel aantoonbaar trainen in de omgang met persoonsgegevens. Een eenmalige presentatie tijdens het inwerktraject is daarvoor niet genoeg, want kennis zakt weg en risico’s veranderen. Steeds meer organisaties kiezen daarom voor doorlopende privacy awareness training, waarbij medewerkers in korte, realistische scenario’s leren om privacyrisico’s te herkennen in hun eigen dagelijkse werk. Het voordeel van die aanpak is dat het bewustzijn op peil blijft en dat de organisatie met rapportages kan aantonen dat er structureel wordt getraind. Dat bewijs is goud waard op het moment dat de toezichthouder na een datalek vragen stelt.

AVG en Waadi: twee kanten van dezelfde medaille

Op het eerste gezicht lijken de AVG en de Waadi los van elkaar te staan. In de praktijk raken ze elkaar voortdurend. Wie de gelijke beloning onder de Waadi correct wil toepassen, moet beloningsgegevens opvragen, vastleggen en delen. Diezelfde gegevens zijn persoonsgegevens in de zin van de AVG. Een intermediair die zijn beloningsadministratie professionaliseert, doet er dus verstandig aan om de privacykant direct mee te nemen: wie heeft toegang tot deze gegevens, hoe lang worden ze bewaard en via welk kanaal worden ze gedeeld?

Met de komst van de WTTA wordt die samenhang alleen maar sterker. Toelating vraagt om een aantoonbaar beheerste bedrijfsvoering, en een organisatie die haar datalekken niet onder controle heeft, zal ook op andere onderdelen kritische vragen kunnen verwachten. Compliance is in de flexbranche steeds minder een verzameling losse verplichtingen en steeds meer één geheel.

Zo maak je privacy awareness concreet

Privacybewustzijn opbouwen hoeft geen groot project te zijn. Deze stappen vormen een goede basis:

  • Breng in kaart welke persoonsgegevens de organisatie verwerkt en wie er toegang toe heeft, van recruitment tot verloning.
  • Stel duidelijke werkafspraken op voor het delen van gegevens met opdrachtgevers en flexkrachten, bijvoorbeeld via beveiligde kanalen in plaats van losse e-mailbijlagen.
  • Train medewerkers doorlopend en niet eenmalig, met herkenbare situaties uit de uitzendpraktijk.
  • Maak melden laagdrempelig, zodat een fout snel boven tafel komt en binnen de wettelijke termijn van 72 uur gemeld kan worden.
  • Leg trainingen en afspraken vast, zodat de organisatie bij een controle kan aantonen dat privacy serieus wordt genomen.

Bewustzijn is de goedkoopste beveiligingsmaatregel

De flexbranche investeert volop in compliance rond beloning en toelating, en terecht. Maar de grootste dagelijkse risico’s zitten vaak in kleine handelingen: een bijlage, een adresregel, een gedeelde map. Privacy awareness pakt precies dat aan. Voor een branche die draait op het verwerken van persoonsgegevens is een team dat weet waar de risico’s zitten geen luxe, maar de logische volgende stap in professionalisering.