Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.09 BIJLAGE 9 ALLES OMTRENT SOCIALE MEDIA

Inleiding

Recruitment is bij uitstek een branche die social media als belangrijke bron voor het vinden van kandidaten hanteert.  Dit document bevat een tweetal artikelen (met link) over de invloed van de AVG op gebruik van social media in recruitment: die van Werf&; en een van Monsterboard. Het valt op dat er nog geen consensus is, vooral over toestemming voor gebruik en bewaartermijn; de normen dus. Dat geldt ook voor gebruik van bronnen: wat is de “grondslag…”? Verder is de bron ook van belang: wat is het doel daarvan? Zo wordt Facebook meer als “social” gezien en LinkedIn als “zakelijk”. Contact zoeken met personen op LinkedIn zal “passender” overkomen. Er is echter geen vaste regel.Wel is duidelijk dat een aantal beheersmaatregelen moeten worden getroffen. 

 

Visie van Werf&

In een artikel van Werf& (voorjaar 2018) is hun visie van de invloed van de AVG op recruitment verwoord: “Als in mei 2018 de AVG geldt, kan zelf kandidaten sourcen wel eens bijna onmogelijk worden. ‘Het zijn persoonsgegevens. En daar moet je straks toestemming voor hebben van de persoon om die te gebruiken.’ Dat bommetje onder een veel gebruikte recruitmentpraktijk dropte Will-Martijn Swaager (DCure) gisteren tijdens het eerste Breaking Seminar van Werf& over wat de volgend jaar van kracht zijnde GDPR/AVG-privacyregelgeving voor de recruitmentwereld betekent.  

‘Deze wet kost je hoe dan ook kandidaten’

‘Die hele wet gaat je kandidaten kosten’, zei hij. ‘Linksom of rechtsom. Of ze nou een hele waslijst aan checkboxen moeten aanvinken, of dat ze uit je bestand moeten omdat je ze daar helemaal niet in mag hebben. Je ontkomt er niet aan.’Even behoorlijk geschrokken De volgepakte zaal leek wel even behoorlijk geschrokken van de harde woorden van Swaager. Want zou de impact echt zo groot zijn? Ja, die is echt zo groot, stelde hij vastbesloten. En moet nou echt de hele recruitmentpraktijk veranderen? Ja, dat moet. ‘Ik denk dat je straks alleen nog een cv mag bewaren totdat het moment dat er iemand is aangenomen. Dan moet je alle cv’s verwijderen. Bij elke afzonderlijke vacature moet je uiteindelijk toestemming hebben van de kandidaat om zijn gegevens te gebruiken.’

Eén vinkje? Helaas, dat kan niet

En dat voorkom je niet door de kandidaat één ‘akkoord’ te laten aanvinken op je site, zoals je dat nu bijvoorbeeld ook met een cookiemelding doet. ‘Al die verplichte vinkjes samenvoegen tot één vinkje? Nee, dat kan niet. Je zult overal toestemming voor moeten vragen van de kandidaat. En dat voor iedere partij bij wie zijn of haar gegevens terecht komen.’

Gratis zuipen? Toestemming nodig

Als ik de wet samenvat, zegt hij: ‘Je moet overal toestemming hebben. Voor elk lullig dingetje. Stel: je bedrijf bestaat 100 jaar. En je wil je kandidaten uitnodigen voor een feest. Gratis zuipen. Toch moet je daar toestemming van de kandidaat voor vragen, of je hem daarvoor mág benaderen.’

‘Dit kan wel eens de vijfde p worden’

En toch, ondanks het ogenschijnlijk wat sombere verhaal, ziet hij de nieuwe regels vooral als een kans voor bedrijven die de persoonlijke levenssfeer van de kandidaat als uitgangspunt nemen. ‘We hebben in marketing al de 4 p’s, van prijs, product, promotie en plaats. Privacy kan wel eens de vijfde p worden.’

‘Te grote belasting als je nu nog moet beginnen’

Als een kans voor bedrijven, zo wordt de regelgeving ook gezien door de slotspreker van de dag, Martijn Faber (Priviteers, ‘passie voor data privacy’). ‘Ik denk dat de AVG een te grote belasting is voor degenen die nu nog met de implementatie van de regels moeten beginnen. Maar het hele traject loopt al 2 jaar. Het kan voor niemand meer een verrassing zijn’, zegt hij onder meer.

Privacy is een heel hoog goed

Volgens Faber is de AVG een zegen voor iedere burger in Europa. Privacy is namelijk een heel hoog goed, zegt hij. ‘Je hebt wél iets te verbergen.’ En ja, dat is misschien lastig voor bedrijven die willen werven, maar het is niet anders. ‘Ik vind het namelijk ook niet fijn als bedrijven dingen met mijn gegevens doen die ik niet weet.’

Zorg dat je de 8 privacyrechten regelt

De 8 rechten voor personen van wie persoonsgegevens worden verwerkt, opgesomd in artikel 13 tot 22 van de AVG, dat is waar het volgens hem om gaat. ‘Als je kunt aantonen dat je die rechten hebt geregeld, dan heb je veel pijnpunten te pakken’, aldus Faber. ‘Dit is naar buiten toe veruit het belangrijkste. Ik zeg niet dat je dan geen enkel risico meer loopt, maar er zal dan niet snel iemand een melding doen bij de AP.’

Hoe omgaan met referrals?

Want hoe erg het nou echt wordt met de torenhoge boetes waarover wordt gesproken? Niemand die het nu nog weet. Net zoals er nog wel meer onduidelijk is. ‘Hoe we omgaan met referrals? Ik heb daarover al 1,5 jaar een vraag liggen bij de AP, maar nog steeds geen antwoord’, zei bijvoorbeeld Swaager.

Voor elk doel toestemming vragen

En ook Duco Nijhuis, specialist arbeidsrecht bij advocatenkantoor Van Boekel en Nederlof, die de middag mocht aftrappen, had het over die onduidelijkheid. ‘Veel zal zich nog moeten uitkristalliseren’, zei hij onder meer. Maar dat is volgens hem zeker geen reden om achterover te leunen en te denken dat het wel overwaait. ‘Recruiters zullen het echt moeten hebben van duidelijk actieve toestemming van de kandidaat om hun gegevens te mogen verwerken. En als die verwerking meerdere doelen heeft, moet echt per doel toestemming worden verleend. Anders mag je die handeling niet doen.’

‘Een waslijst aan checkboxes? Wen er maar aan’

Dus ja, dat betekent een waslijst aan checkboxes bij je sollicitatieformulier. ‘Wen er maar aan. En daarbij moet je veel meer informatie geven over wat je van plan bent dan nu. Dan moet de betrokkene dus toestemming geven, en dan pas mag je ermee aan de slag. Mits de gegevens ook nog eens het doel dienen waarvoor je ze vraagt.’

Inzage met één druk op de knop

En dan moet je ook nog eens ‘bijna open source’ zijn tegenover de kandidaat, over wat je met zijn gegevens doet. ‘Je zult de kandidaat eigenlijk met één druk op de knop inzage moeten geven in het dossier dat u over hem of haar heeft. En je zult het de kandidaat ook makkelijk moeten maken om zijn gegevens te wissen.’

En doe je dat niet voor de kandidaat, doe het dan in elk geval voor de AP, raadt hij aan. ‘Hou alsjeblieft een register aan van al je verwerkingsactiviteiten. Dat geeft inzicht, en het zorgt er ook voor dat je aan de AVG voldoet.’

Leuker kunnen we het niet maken…

Je ATS kun je daar in elk geval niet alleen verantwoordelijk voor houden, stellen Bo Stevens en Hans Rook, de andere sprekers van de middag, en allebei verbonden aan Carerix, een van die veelgebruikte ATS’en in Nederland. Zij haalden een oude slogan van de Belastingdienst aan om hun benadering van de AVG te duiden: ‘Leuker kunnen we het niet maken. Wel makkelijker.’

De recruiter is eindverantwoordelijk

Softwareleveranciers zoals zij zijn dus níet verantwoordelijk voor het verwijderen van gegevens als een kandidaat daarom vraagt. Ze proberen het wel zo in hun systeem in te bouwen dat het makkelijk wordt gemaakt voor hun klanten om bijvoorbeeld een kandidaat volledig te vergeten. Maar de eindverantwoordelijkheid daarvoor ligt toch echt bij de recruitende organisatie zelf, aldus Stevens.”  

Visie van Monsterboard

“Mag je met de AVG nog wel cv’s bewaren?

Ja, dat mag. Tot nu toe mocht dat zonder melding slechts één maand of met toestemming tot één jaar. Straks geldt die termijn niet meer. Als een sollicitant is afgewezen moet je de gegevens binnen een redelijke tijd verwijderen. Maar heb je toestemming en ook nog een reden om de gegevens langer te bewaren, dan mag dat. Let er wel op dat je de toestemming kunt aantonen en hanteer een bewaartermijn in je privacy statement voor deze situaties.

Als iemand zijn cv verwijderd wil zien, dan dien je hier gehoor aan te geven. Bovendien mag je de cv’s alleen gebruiken voor het doel waar je toestemming voor hebt gekregen en moet je de cv’s goed beveiligd opslaan. Let er daarnaast op dat de cv’s geen gevoelige persoonsgegevens bevatten die niet relevant zijn voor het doel. Denk aan een lidmaatschap van een geloofsgenootschap, informatie over iemands ras of een kopie van het paspoort.

Mag je straks nog wel een talentpool opbouwen?

Dit mag onder dezelfde voorwaarden. Zorg dat je toestemming hebt van de betrokkene voor het doel dat je nastreeft en bewaar je gegevens gepast. Als iemand solliciteert via een online contactformulier, dan kun je bijvoorbeeld de vraag opnemen of de gegevens voor een bepaalde tijd bewaard mogen worden. Die optie moet dan wel door de persoon zelf aangevinkt worden (opt-in) en niet al standaard aanstaan.

Een andere optie is om bij een schriftelijke afwijzing de vraag te stellen of de gegevens bewaard mogen worden. Diegene moet dan wel die vraag schriftelijk (per mail) bevestigen en het is belangrijk dat je die toestemming bewaart en kunt aantonen in het geval erom gevraagd wordt.

Hoe lang mag je deze gegevens bewaren?

Zolang als je toestemming hebt en het redelijk is. Het is te begrijpen dat je de gegevens voor een talentpool bijvoorbeeld drie jaar bewaart. Maar dan moet het wel aannemelijk zijn dat er in de toekomst een vergelijkbare functie voorbijkomt voor die persoon. Gegevens bewaren zonder relevante reden mag niet.

Na drie jaar zijn dit soort gegevens vaak ook wel verouderd. Je kunt diegene dan een bericht sturen om de gegevens te controleren en eventueel aan te vullen. Daarbij kun je vragen of je ze nog langer mag bewaren. Niet alleen voldoe je zo aan de juiste bewaarplicht, maar zorg je er ook voor dat jouw talentpool waardevoller (want actueler) is.

Hoe ga je om met de aantekeningen tijdens een sollicitatiegesprek? Mag je die eigenlijk wel bewaren?

Als je eigen aantekeningen maakt op een kladje dat je later weggooit, dan is dat geen probleem. Maar ga je de gegevens vastleggen en toevoegen aan iemands dossier om voor langere tijd te bewaren, dan gelden dezelfde voorwaarden als hierboven genoemd. Alleen met toestemming dus. Zolang het niet om irrelevante informatie gaat als een kinderwens, want die gegevens mag je niet opslaan (je mag er overigens niet eens om vragen). Als je al toestemming hebt om de gegevens te bewaren om iemand later te benaderen, dan hoef je voor het sollicitatiegesprek geen losse toestemming te hebben.

Als er wel een arbeidsovereenkomst tot stand komt, mag je de gegevens ook niet langer bewaren dan nodig. Registratie van gemaakte afspraken mag natuurlijk wel.

Hoe ga je om met de schriftelijke communicatie over een kandidaat tussen recruiter en hiring manager. Moet die informatie/email nog verwijderd worden na een tijdje?

Dat hangt van de inhoud van de communicatie af. Als je bijvoorbeeld een kopie-paspoort of andere persoonsgegevens mailt, dan moeten die wel verwijderd worden. In principe geldt: als er persoonsgegevens in staan die niet langer nodig zijn, dan moeten ze worden verwijderd of geanonimiseerd. Verder geldt natuurlijk in algemene zin dat mailservers goed beveiligd zijn – ook met het oog op andere persoonsgegevens die daar mogelijk op staan.

En als ik als recruiter een cv doorstuur per mail?

Daar moet je inderdaad voorzichtig mee zijn. Want het wordt lastig controleren en verwijderen als er overal meerdere versies van één cv rondslingeren. Sowieso mag je zo’n cv alleen doorsturen naar iemand voor wie het relevant is (zoals een hiring manager). Maar nog verstandiger is het om de cv’s op één centrale plaats te bewaren en dan de hiring manager naar die plek te verwijzen.

Moet je in je vacaturetekst nog iets opnemen over hoe er wordt omgegaan met de gegevens?

Of een directe verwijzing noodzakelijk/gebruikelijk is zal in de praktijk blijken. Als de vacature op de website van het bedrijf staat, dan is het voldoende als er op die website een duidelijk vindbaar privacy statement staat. Mocht je de vacature elders uitzetten, dan kan het geen kwaad om onderaan een zin toe te voegen in de trant dat er zorgvuldig met de verstrekte gegevens wordt omgegaan, met daarin een link naar het privacy statement op de website van het bedrijf.

 

Is een privacy-statement sowieso afdoende om bovenstaande issues te ondervangen? Door daarin op te nemen dat je zaken bewaart en dergelijke.

Tot op zekere hoogte wel. Maar niet als je nadrukkelijk een pool of database wilt opbouwen. Dan moet je echt toestemming hebben en ervoor zorgen dat je die toestemming kunt aantonen.

Wat betekent de AVG voor alle data in een ATS? Aan welke eisen moet dat voldoen?

Dat hangt van het systeem af. Maar in alle gevallen geldt dat je geen gevoelige gegevens mag opslaan (ras, geloof, gezondheid, enz.) en geen onnodige gegevens (alleen die je nodig hebt voor je doel). Verder is belangrijk dat de data goed beveiligd is en dat alleen mensen die de data nodig hebben daarbij kunnen.

Kan een sollicitant alle correspondentie opvragen die erover hem is geweest binnen het bedrijf (inclusief aantekeningen tijdens het sollicitatiegesprek en de mailwisseling met hiring manager)?

Onder de Wbp is het zo dat werkaantekeningen niet onder het inzagerecht vallen. Dit wil zeggen dat als je eigen aantekeningen hebt als geheugensteuntje ze dus niet ter inzage gegeven hoeven te worden. Gaan de aantekeningen deel uitmaken van het dossier, of worden ze gedeeld met anderen, dan is het inzagerecht wel van toepassing. Er is geen reden om ervan uit te gaan dat dit onder de AVG verandert.

Mag een sollicitant eisen om alle gegevens van hem te verwijderen?

Dat mag de sollicitant eisen. Het bedrijf dient uiterlijk binnen vier weken de verwijdering te hebben doorgevoerd. Het kan anders liggen als bijvoorbeeld iemand met valse diploma’s het steeds weer opnieuw probeert bij grote organisaties. Dan kun je daar een aantekening van maken. Bewaar dan echter enkel de gegevens die nodig zijn. Dit kan op basis van de belangenafweging.

Mag je straks nog wel kandidaten zoeken via social media?

Wel als dat gaat via Social Media die bedoeld zijn om iemands competenties kenbaar te maken. Dus bijvoorbeeld Linkedin, of iemand die veel twittert over zijn vakgebied. Zoeken via Facebook raden wij af. Hier posten mensen vooral privézaken die niet werkgerelateerd zijn.”

 

Afdrukken