Vanaf 25 mei 2018 wordt de Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangen door de Europese Algemene verordening gegevensbescherming (AVG). In het Engels heet de AVG: General Data Protection Regulation (GDPR). Uit recent onderzoek blijkt dat slechts 2% van de organisaties hier reeds aan voldoet. Want veilig en netjes omgaan met gegevens van kandidaten behoort ook tot een goede candidate experience.
De AVG: Wat, waarom en wanneer?
De Algemene verordening gegevensbescherming (AVG) is een Europese verordening die per 25 mei 2018 binnen de Europese Unie van toepassing zal zijn. Voor Nederland zal de huidige Wet bescherming persoonsgegevens (Wbp) daarmee komen te vervallen. De AVG gaat echter veel verder dan de Wbp als het gaat over de privacy rechten van het individu en het verzwaard verplichtingen voor bedrijven die gebruik van willen maken van persoonsgegevens. Het doel van de wet is niet om data uitwisseling onmogelijk te maken, maar wel veiliger en transparanter. Het komt er eigenlijk op neer dat het als organisatie niet jouw gegevens zijn maar die van het individu en dat je daar zeer zorgvuldig mee om moet gaan.
Wat is de impact voor het recruitment proces?
Hoe groot de impact is hangt grotendeels af van de huidige manier van werken en de systemen die worden gebruikt. Hoe meer systemen en processen hoe groter de impact. Om je alvast op weg te helpen hebben we aantal voorbeelden uitgewerkt zodat je zelf kunt bepalen waar je al aan voldoet of waar nog actie moet worden genomen.
Privacy statements & bewaartermijnen
Op de website hoort een privacy statement te staan waarin beschreven staat wat wordt verzameld, waarom dit nodig is en hoe hiermee wordt om gegaan. Ook de bewaartermijn hoort hierin genoemd te worden. Zorg ervoor dat gegevens tijdig en overal worden verwijderd. Het is daarom belangrijk vast te leggen waar gegevens worden opgeslagen. Denk hierbij aan het recruitmentsysteem, de e-mails of uitgeprinte versies.
Recht van inzage, wijziging of verwijdering
Als een kandidaat solliciteert heeft hij/zij het recht om in te zien wat je exact hebt vastgelegd. Het zijn immers zijn/haar gegevens. Daarbij horen ook zaken als aantekeningen van sollicitatiegesprekken, verrijkte gegevens via derden of andere kenmerken als toegekende talentpools. Daarnaast hebben kandidaten het recht om de gegevens te wijzigen of te laten verwijderen. Richt hiervoor processen in om dit goed te organiseren. Het verzoek moet namelijk binnen 1 maand worden beantwoord.
Verantwoordelijke en verwerkers
Wanneer er diensten of systemen worden gebruikt voor het optimaliseren van het recruitmentproces moet je als verantwoordelijke zorgen dat deze leveranciers (verwerkers) minimaal dezelfde standaard hanteren als de eigen organisatie. Jij bent uiteindelijk verantwoordelijk, ook als het bij je leveranciers fout gaat. Denk hierbij aan recruitmentsystemen, video- & e-assessments oplossingen maar ook diensten als Google Analytics. Verzeker jezelf ervan dat leveranciers goed omgaan met de opgeslagen data en controleer hier op. Sluit een verwerkersovereenkomst af en voer gezamenlijk een Privacy Impact Assessment uit zodat risico’s zichtbaar worden.
Datalek meldingen
Het is onder de AVG niet meer nodig om iedere datalek te melden bij de Autoriteit Persoonsgegevens. Als organisatie dien je wel ieder datalek incident op een gestructureerde manier te registreren en de risico’s voor betrokkenen te bepalen. In sommige gevallen moeten zowel de Autoriteit Persoonsgegevens als alle betrokkenen geïnformeerd worden. Een datalek kan snel ontstaan: per ongeluk een CV van een kandidaat aan de verkeerde persoon versturen of gegevens hebben uitgewisseld met een externe partij terwijl de overeenkomsten hiervoor niet getekend zijn.
Nog een kleine 300 dagen te gaan…
Zoals je ziet zijn heel wat zaken te regelen en dit is slechts een kleine selectie. En met minder dan 300 dagen te gaan is het moment om actie te ondernemen nu écht aangebroken. Op de website van de Autoriteit Persoonsgegevens staan alle relevante zaken over de AVG beschreven dus het ideale startpunt om te bepalen waar jouw organisatie op moet bijsturen.
Door: Martijn Faber
Martijn Faber is Chief Priviteer bij Priviteers dat advies en ondersteuning biedt bij het realiseren van een privacy compliant organisatie.
