Het is voor recruiters verleidelijk om veel gegevens van hun sollicitanten op te slaan. Maar pas op: wie niet oplet, kan zomaar enkele tonnen (!) aan boetes tegemoet zien.
Het was nogal een flinke tik op de vingers, die het bekende recherchebureau Hoffmann vorige jaar kreeg. De Autoriteit Persoonsgegevens constateerde bijvoorbeeld dat het bureau ongeoorloofde screenings uitvoerde, dat er onterecht om identiteitsbewijzen, burgerservicenummers en zelfs rasgegevens gevraagd werd, en dat gegevens van sociale media aan iemands profiel werden toegevoegd. Ook werden gegevens over iemands gezondheid verwerkt, strafrechtelijke gegevens, financiële gegevens, gegevens over de militaire dienstplicht en relationele gegevens.
Verboden om te verwerken
Misschien best interessante informatie voor een werkgever. Maar wel allemaal verboden om te verwerken, aldus de AP. Hoffmann verbeterde daarop zijn leven en paste zijn werkwijze aan. So far, so good dus. Maar het laat wel zien hoe gevoelig het onderwerp privacy is. Zeker als het gaat om sollicitanten. En het onderwerp is ook zeker niet zonder risico: als de AP bepaalt dat de Wet Bescherming Persoonsgegevens (Wbp) is overtreden, kan een boete volgen van maximaal 820.000 euro of 10 procent van de jaarlijkse omzet.
Een overtreding van de Wbp kan een boete opleveren van 820.000 euro
Veel meer dan naam alleen
De Wbp is van toepassing op élke verwerking van persoonsgegevens, of het nu gaat om het verzamelen en bewaren of om het anonimiseren of zelfs verwijderen. En ook het begrip ‘persoonsgegeven’ is ruim, zo staat in een recente whitepaper van Otys. Het gaat niet alleen om iemands naam, maar bijvoorbeeld ook IP- of mailadressen zijn persoonsgegevens. En bij een sollicitatie gaat het ook bepaald niet alleen om een motivatiebrief en een CV. Ook de aantekeningen die je maakt tijdens een sollicitatiegesprek horen ertoe, net als informatie die je verzamelt uit een screening, assessment, psychologisch onderzoek of medische keuring.
Behoorlijk strenge eisen
Wie met persoonsgegevens aan de slag gaat, krijgt ook te maken met behoorlijk strenge eisen. Zo moet niet alleen de betrokkene zelf ondubbelzinnig toestemming tot verwerking geven (wat bij een sollicitatie automatisch gebeurt), ook moet je bijvoorbeeld zorgen voor ‘adequate beveiliging’ van de gegevens. Belangrijk om te weten voor recruiters is dat ze gegevens van sollicitanten in principe maar 4 weken (na beëindiging van de procedure) mogen bewaren.
Wil je persoonsgegevens langer dan 4 weken bewaren? Vraag dan uitdrukkelijk toestemming
Talentpooltje aanleggen?
Een talentpooltje aanleggen? Dat mag dus alleen nog maar als je de gegevens van de sollicitanten anonimiseert. Of als je uitdrukkelijk toestemming van de sollicitant vraagt om de gegevens te bewaren (zo meldt ook een tweede whitepaper). In dat geval mag je de gegevens namelijk een jaar bewaren. Wil je ze langer bewaren? Dan moet je weer uitdrukkelijk toestemming vragen.
Gegevens doorspelen: verboden
En zo is het wel vaker oppassen geblazen met de gegevens van sollicitanten. Het is bijvoorbeeld ook verboden om zulke gegevens door te spelen naar een headhunter of een ander werving- en selectiebureau. Sowieso mag je geen gegevens langer bewaren dan voor de vacature noodzakelijk is. De vernieuwde NVP-sollicitatiecode vat het eigenlijk heel helder samen: ‘Alle van de sollicitant verkregen informatie wordt vertrouwelijk en zorgvuldig behandeld en in alle gevallen wordt de privacy van de sollicitant gerespecteerd’.
Meer informatie
Meer weten over de regels omtrent gegevensgebruik? Bijvoorbeeld hoe lang je de gegevens van uw kandidaten mag bewaren? Download dan een van de whitepapers van Otys over informatieplicht of regels rondom gegevensgebruik en kom niet voor vervelende verrassingen te staan.