Op 25 mei 2018 verandert de privacywetgeving. De huidige Wet bescherming persoonsgegevens (Wbp) wordt dan vervangen door de Algemene verordening gegevensbescherming (AVG) die in de gehele EU geldt en stuk uitgebreider is. Welke consequenties heeft dit voor het opslaan van gegevens van sollicitanten? Mogen cv’s nog wel bewaard worden en kun je als bedrijf nog wel een talentpool opbouwen? We legden deze vragen voor aan Maarten van Man van AVG Juristen.
Mag je met de AVG nog wel cv’s bewaren?
Ja, dat mag. Tot nu toe mocht dat zonder melding slechts één maand of met toestemming tot één jaar. Straks geldt die termijn niet meer. Als een sollicitant is afgewezen moet je de gegevens binnen een redelijke tijd verwijderen. Maar heb je toestemming en ook nog een reden om de gegevens langer te bewaren, dan mag dat. Let er wel op dat je de toestemming kunt aantonen en hanteer een bewaartermijn in je privacystatement voor deze situaties.
Als iemand zijn cv verwijderd wil zien, dan dien je hier gehoor aan te geven. Bovendien mag je de cv’s alleen gebruiken voor het doel waar je toestemming voor hebt gekregen en moet je de cv’s goed beveiligd opslaan. Let er daarnaast op dat de cv’s geen gevoelige persoonsgegevens bevatten die niet relevant zijn voor het doel. Denk aan een lidmaatschap van een geloofsgenootschap, informatie over iemands ras of een kopie van het paspoort.
Mag je straks nog wel een talentpool opbouwen?
Dit mag onder dezelfde voorwaarden. Zorg dat je toestemming hebt van de betrokkene voor het doel dat je nastreeft en bewaar je gegevens gepast. Als iemand solliciteert via een online contactformulier, dan kun je bijvoorbeeld de vraag opnemen of de gegevens voor een bepaalde tijd bewaard mogen worden. Die optie moet dan wel door de persoon zelf aangevinkt worden (opt-in) en niet al standaard aanstaan.
Een andere optie is om bij een schriftelijke afwijzing de vraag te stellen of de gegevens bewaard mogen worden. Diegene moet dan wel die vraag schriftelijk (per mail) bevestigen en het is belangrijk dat je die toestemming bewaart en kunt aantonen in het geval erom gevraagd wordt.
Hoe lang mag je deze gegevens bewaren?
Zolang als je toestemming hebt en het redelijk is. Het is te begrijpen dat je de gegevens voor een talentpool bijvoorbeeld drie jaar bewaart. Maar dan moet het wel aannemelijk zijn dat er in de toekomst een vergelijkbare functie voorbijkomt voor die persoon. Gegevens bewaren zonder relevante reden mag niet.
Na drie jaar zijn dit soort gegevens vaak ook wel verouderd. Je kunt degene dan een bericht sturen om de gegevens te controleren en eventueel aan te vullen. Daarbij kun je vragen of je ze nog langer mag bewaren. Niet alleen voldoe je zo aan de juiste bewaarplicht, maar zorg je er ook voor dat jouw talentpool waardevoller (want actueler) is.
Hoe ga je om met de aantekeningen tijdens een sollicitatiegesprek? Mag je die eigenlijk wel bewaren?
Als je eigen aantekeningen maakt op een kladje dat je later weggooit, dan is dat geen probleem. Maar ga je de gegevens vastleggen en toevoegen aan iemands dossier om voor langere tijd te bewaren, dan gelden dezelfde voorwaarden als hierboven genoemd. Alleen met toestemming dus. Zolang het niet om irrelevante informatie gaat als een kinderwens, want die gegevens mag je niet opslaan (je mag er overigens niet eens om vragen). Als je al toestemming hebt om de gegevens te bewaren om iemand later te benaderen, dan hoef je voor het sollicitatiegesprek geen losse toestemming te hebben.
Als er wel een arbeidsovereenkomst tot stand komt, mag je de gegevens ook niet langer bewaren dan nodig. Registratie van gemaakte afspraken mag natuurlijk wel.
Hoe ga je om met de schriftelijke communicatie over een kandidaat tussen recruiter en hiring manager. Moet die informatie/email nog verwijderd worden na een tijdje?
Dat hangt van de inhoud van de communicatie af. Als je bijvoorbeeld een kopie-paspoort of andere persoonsgegevens mailt, dan moeten die wel verwijderd worden. In principe geldt: als er persoonsgegevens in staan die niet langer nodig zijn, dan moeten ze worden verwijderd of geanonimiseerd. Verder geldt natuurlijk in algemene zin dat mailservers goed beveiligd zijn – ook met het oog op andere persoonsgegevens die daar mogelijk op staan.
En als ik als recruiter een cv doorstuur per mail?
Daar moet je inderdaad voorzichtig mee zijn. Want het wordt lastig controleren en verwijderen als er overal meerdere versies van één cv rondslingeren. Sowieso mag je zo’n cv alleen doorsturen naar iemand voor wie het relevant is (zoals een hiring manager). Maar nog verstandiger is het om de cv’s op één centrale plaats te bewaren en dan de hiring manager naar die plek te verwijzen.
Moet je in je vacaturetekst nog iets opnemen over hoe er wordt omgegaan met de gegevens?
Of een directe verwijzing noodzakelijk/gebruikelijk is zal in de praktijk blijken. Als de vacature op de website van het bedrijf staat, dan is het voldoende als er op die website een duidelijk vindbaar privacystatement staat. Mocht je de vacature elders uitzetten, dan kan het geen kwaad om onderaan een zin toe te voegen in de trant dat er zorgvuldig met de verstrekte gegevens wordt omgegaan, met daarin een link naar het privacystatement op de website van het bedrijf.
Is een privacystatement sowieso afdoende om bovenstaande issues te ondervangen? Door daarin op te nemen dat je zaken bewaart en dergelijke.
Tot op zekere hoogte wel. Maar niet als je nadrukkelijk een pool of database wilt opbouwen. Dan moet je echt toestemming hebben en ervoor zorgen dat je die toestemming kunt aantonen.
Wat betekent de AVG voor alle data in een ATS? Aan welke eisen moet dat voldoen?
Dat hangt van het systeem af. Maar in alle gevallen geldt dat je geen gevoelige gegevens mag opslaan (ras, geloof, gezondheid, enz.) en geen onnodige gegevens (alleen die je nodig hebt voor je doel). Verder is belangrijk dat de data goed beveiligd is en dat alleen mensen die de data nodig hebben daarbij kunnen.
Kan een sollicitant alle correspondentie opvragen die erover hem is geweest binnen het bedrijf (inclusief aantekeningen tijdens het sollicitatiegesprek en de mailwisseling met hiring manager)?
Onder de Wbp is het zo dat werkaantekeningen niet onder het inzagerecht vallen. Dit wil zeggen dat als je eigen aantekeningen hebt als geheugensteuntje ze dus niet ter inzage gegeven hoeven te worden. Gaan de aantekeningen deel uitmaken van het dossier, of worden ze gedeeld met anderen, dan is het inzagerecht wel van toepassing. Er is geen reden om ervan uit te gaan dat dit onder de AVG verandert.
Mag een sollicitant eisen om alle gegevens van hem te verwijderen?
Dat mag de sollicitant eisen. Het bedrijf dient uiterlijk binnen vier weken de verwijdering te hebben doorgevoerd. Het kan anders liggen als bijvoorbeeld iemand met valse diploma’s het steeds weer opnieuw probeert bij grote organisaties. Dan kun je daar een aantekening van maken. Bewaar dan echter enkel de gegevens die nodig zijn. Dit kan op basis van de belangenafweging.
Mag je straks nog wel kandidaten zoeken via social media?
Wel als dat gaat via Social Media die bedoeld zijn om iemands competenties kenbaar te maken. Dus bijvoorbeeld Linkedin, of iemand die veel twittert over zijn vakgebied. Zoeken via Facebook raden wij af. Hier posten mensen vooral privézaken die niet werkgerelateerd zijn.
Vind vandaag jouw nieuwe werknemer met Monster
Het vinden van de juiste kandidaat met de juiste vaardigheden is altijd een uitdaging, of het nu goed gaat met de economie of niet. Wat als je jouw inspanningen zou kunnen vermenigvuldigen met een betrouwbare rekruteringsdeskundige aan je zijde? Dat kan! En Monster staat klaar om je daarbij te helpen. Met een grote database van kandidaten en wervingsinzichten staat Monster voor je klaar om jouw bedrijf naar een hoger niveau te tillen. Profiteer van onze speciale aanbiedingen door vandaag je vacature te plaatsen.