Naar inhoud

Duidelijke restricties voor bewaren van cv’s door AVG/GDPR

Inmiddels is al een boekenkast volgeschreven over de Algemene verordening gegevensbescherming, ook wel General Data Protection Regulation genoemd. Maar over een maand is het zover: op 25 mei treedt de nieuwe privacy-verordening van de Europese Unie in werking. En voor de werkgevers en intermediairs die sollicitanten niet akkoord hebben laten gaan – al dan niet met terugwerkende kracht – met een ‘recruitment-proof AVG’-statement, betekent het dat alle curricula vitae ouder dan 4 weken uit het systeem verwijderd moeten worden. Een grote ‘Control Alt Delete’ van de cv-database.

Een voorzichtige inschatting leert dat vele honderden miljoenen cv’s moeten worden gewist of geanonimiseerd. Dat concludeert arbeidsmarktonderzoeksbureau Intelligence Group op basis van eigen onderzoek naar het privacy-statement bij de grootste Nederlandse werkgevers en intermediairs. Daarbij is de vooronderstelling gemaakt dat deze organisaties de implementatie van de AVG beter op orde hebben dan kleinere werkgevers en intermediairs.

Recruitment-proof

Uit het onderzoek naar het hebben van een AVG-privacy-statement dat recruitment-proof is bij de 100 meest favoriete werkgevers en de 25 grootste uitzendbureaus komt naar voren dat:

  • 39 procent van de grootste werkgevers geen privacy-statement heeft met daarin verwijzingen naar de verwerking van cv’s of sollicitanten en derhalve niet AVG-recruitment-proof is;
  • bij 1 op de 3 werkgevers wordt geen privacy-statement voorgelegd bij de kandidaat of wordt niet om toestemming gevraagd – via opt-in – bij die sollicitant alvorens te solliciteren;
  • 23 van de 25 grootste intermediairs hebben een privacy-statement waarin wordt omgeschreven wat er met de cv’s gebeurt na sollicitatie zoals de bewaartermijn; bij één op de drie (33%) kan de sollicitant echter solliciteren zonder dat die akkoord moet gaat met het privacy-statement.

Privacy-statement

De AVG heeft veel consequenties voor het vakgebied recruitment, met name om de privacy en rechten van kandidaten te garanderen. Een blessing in disguise voor de professionele recruiter en een nachtmerrie voor cowboys die nu nog cv’s als warme broodjes over het internet verspreiden. De algehele verwachting is dat het ongevraagd verspreiden van cv’s stopt na 25 mei 2018, gezien de boetes die de Autoriteit Persoonsgegevens vanaf die datum kan uitdelen.

De grootste problemen uit het onderzoek voortkomen, zijn dat:

  1. bij heel veel werkgevers en intermediairs gesolliciteerd kan worden zonder dat een sollicitant akkoord hoeft te gaan met een privacy-statement;
  2. sollicitanten die akkoord gaan met het algemene privacy-statement van het bedrijf, waarin niets wordt benoemd in relatie tot het cv of de sollicitatie, een statement ondertekenen dat niet AVG-recruitment-proof is.

Om te voorkomen dat alle cv’s die ouder dan een maand zijn – een maand wordt nu aangehouden op basis van de richtlijnen van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling die de Autoriteit Persoonsgegevens overneemt – verwijderd moeten worden, is het noodzaak dat sollicitanten akkoord zijn gegaan met het privacy-statement dat verwijzingen maakt naar bewaar- en bezwaartermijn van sollicitanten. In dit statement dienen expliciet de rechten van de sollicitant, de verwerking van zijn of haar cv, de bewaartermijn en de doeleinden van deze verwerking te worden vastgelegd. Dit betekent voor honderdduizenden werkgevers en vele duizenden intermediairs dat zij de personen die nu in hun databases staan alsnog moeten vragen om toestemming. Zonder toestemming is wissen of anonimiseren de enige oplossing. Het anonimiseren is overigens alleen relevant voor statistische doeleinden.

Aansprekende voorbeelden

Sollicitanten horen akkoord te geven op de bewaartermijn van het cv, de verspreiding van het cv, de verwerking van de gegevens uit het cv en voor welke doeleinden deze gegevens worden gebruikt. Het siert een privacy-statement als er ook de rechten van de sollicitanten in staan, zoals de gehanteerde bezwaartermijn en het recht van inzage. Een aantal privacy statements kunnen dan ook echt als voorbeeld dienen voor andere werkgevers, zoals het:

Opmerkelijke constateringen

Tijdens het onderzoek zijn ook een aantal opmerkelijke constateringen gedaan, zoals:

  • de zin ‘Onze bewaartermijn is net zolang als wij denken dat dat nodig is’ in het statement;
  • het vastleggen van bijzondere persoonsgegevens, zoals BSN-nummer en nationaliteit;
  • het standaard doorzetten van persoonsgegevens aan verzekeraars, eventorganisaties en andere commerciële partijen;
  • akkoord gaan met de algemene voorwaarden die verder niet op de site te vinden zijn;
  • in het ene systeem van het bedrijf wordt het cv langer bewaard dan in het andere (internationale) systeem.

Belangrijkste adviezen

Een goed en relevant privacy-statement zegt iets over de professionaliteit van het recruitmentproces. Daar waar je het zeker goed verwacht, bijvoorbeeld bij consultancybedrijven onder andere op gebied van privacy en data met zeer professionele recruitmentprofessionals, is nog niets op orde is. Van andere bedrijven krijg je de indruk dat zij met heel veel respect omgaan met de privacygegevens van een kandidaat. Dat reflecteert een sterk employer brand. De belangrijkste adviezen zijn:

  1. solliciteer op de eigen site van een organisatie en check of daar een privacy-statement staat; bekijk ook of er niet meer informatie wordt gevraagd dan noodzakelijk is;
  2. check of het privacy-statement ook van toepassing is op recruitment;
  3. check of er een functionaris gegevensbescherming aangesteld moet worden.
  4. volg verschillende relevante webinars en lees blogs op bijvoorbeeld de website van de Autoriteit Persoonsgegevens en LinkedIn-groepen als Privacy en Security Groep Nederland (AVG, GDPR);
  5. zet het team van recruitment bij elkaar, inclusief afdelingen als HR, IT en legal en bespreek welke aanpassingen gemaakt moeten worden op de site en in het proces;
  6. kijk op de site Priviteers voor handige tips en documenten;
  7. neem het serieus en niet lichtzinnig, de boetes liegen er niet om – maximaal € 20.000.000,- of 4 procent van de wereldwijde jaaromzet – evenals schade aan reputatie en employer brand;
  8. vraag aan iedereen van wie je de gegevens in je alternative tracking system wilt behouden vóór 25 mei 2018 opnieuw toestemming aan de hand van het nieuwe privacy-statement.
  9. verplaats je eens in de sollicitant: heb jij dan – op basis van de getroffen maatregelen – het gevoel hebben dat jouw gegevens veilig en zorgvuldig verwerkt worden bij jouw bedrijf?

Het lijkt omslachtig, maar er circuleren een aantal privacy-statements waarvan zelfs Facebook nog rode oortjes krijgt. En dat wil je voorkomen.

Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie