Als in mei 2018 de AVG geldt, kan zelf kandidaten sourcen wel eens bijna onmogelijk worden. ‘Het zijn persoonsgegevens. En daar moet je straks toestemming voor hebben van de persoon om die te gebruiken.’
Dat bommetje onder een veel gebruikte recruitmentpraktijk dropte Will-Martijn Swaager (DCure) gisteren tijdens het eerste Breaking Seminar van Werf& over wat de volgend jaar van kracht zijnde GDPR/AVG-privacyregelgeving voor de recruitmentwereld betekent.
‘Deze wet kost je hoe dan ook kandidaten’
‘Die hele wet gaat je kandidaten kosten’, zei hij. ‘Linksom of rechtsom. Of ze nou een hele waslijst aan checkboxen moeten aanvinken, of dat ze uit je bestand moeten omdat je ze daar helemaal niet in mag hebben. Je ontkomt er niet aan.’
Even behoorlijk geschrokken
De volgepakte zaal leek wel even behoorlijk geschrokken van de harde woorden van Swaager. Want zou de impact echt zo groot zijn? Ja, die is echt zo groot, stelde hij vastbesloten. En moet nou echt de hele recruitmentpraktijk veranderen? Ja, dat moet. ‘Ik denk dat je straks alleen nog een cv mag bewaren totdat het moment dat er iemand is aangenomen. Dan moet je alle cv’s verwijderen. Bij elke afzonderlijke vacature moet je uiteindelijk toestemming hebben van de kandidaat om zijn gegevens te gebruiken.’
Eén vinkje? Helaas, dat kan niet
En dat voorkom je niet door de kandidaat één ‘akkoord’ te laten aanvinken op je site, zoals je dat nu bijvoorbeeld ook met een cookiemelding doet. ‘Al die verplichte vinkjes samenvoegen tot één vinkje? Nee, dat kan niet. Je zult overal toestemming voor moeten vragen van de kandidaat. En dat voor iedere partij bij wie zijn of haar gegevens terecht komen.’
‘Als je kandidaten wil uitnodigen voor een feest, moet je ze eerst vragen of je dat mag doen’
Gratis zuipen? Toestemming nodig
Als ik de wet samenvat, zegt hij: ‘Je moet overal toestemming hebben. Voor elk lullig dingetje. Stel: je bedrijf bestaat 100 jaar. En je wil je kandidaten uitnodigen voor een feest. Gratis zuipen. Toch moet je daar toestemming van de kandidaat voor vragen, of je hem daarvoor mág benaderen.’
‘Dit kan wel eens de vijfde p worden’
En toch, ondanks het ogenschijnlijk wat sombere verhaal, ziet hij de nieuwe regels vooral als een kans voor bedrijven die de persoonlijke levenssfeer van de kandidaat als uitgangspunt nemen. ‘We hebben in marketing al de 4 p’s, van prijs, product, promotie en plaats. Privacy kan wel eens de vijfde p worden.’
‘Te grote belasting als je nu nog moet beginnen’
Als een kans voor bedrijven, zo wordt de regelgeving ook gezien door de slotspreker van de dag, Martijn Faber (Priviteers, ‘passie voor data privacy’). ‘Ik denk dat de AVG een te grote belasting is voor degenen die nu nog met de implementatie van de regels moeten beginnen. Maar het hele traject loopt al 2 jaar. Het kan voor niemand meer een verrassing zijn’, zegt hij onder meer.
Privacy is een heel hoog goed
Volgens Faber is de AVG een zegen voor iedere burger in Europa. Privacy is namelijk een heel hoog goed, zegt hij. ‘Je hebt wél iets te verbergen.’ En ja, dat is misschien lastig voor bedrijven die willen werven, maar het is niet anders. ‘Ik vind het namelijk ook niet fijn als bedrijven dingen met mijn gegevens doen die ik niet weet.’
‘Ik vind het niet fijn als bedrijven dingen met mijn gegevens doen die ik niet weet’
Zorg dat je de 8 privacyrechten regelt
De 8 rechten voor personen van wie persoonsgegevens worden verwerkt, opgesomd in artikel 13 tot 22 van de AVG, dat is waar het volgens hem om gaat. ‘Als je kunt aantonen dat je die rechten hebt geregeld, dan heb je veel pijnpunten te pakken’, aldus Faber. ‘Dit is naar buiten toe veruit het belangrijkste. Ik zeg niet dat je dan geen enkel risico meer loopt, maar er zal dan niet snel iemand een melding doen bij de AP.’
Hoe omgaan met referrals?
Want hoe erg het nou echt wordt met de torenhoge boetes waarover wordt gesproken? Niemand die het nu nog weet. Net zoals er nog wel meer onduidelijk is. ‘Hoe we omgaan met referrals? Ik heb daarover al 1,5 jaar een vraag liggen bij de AP, maar nog steeds geen antwoord’, zei bijvoorbeeld Swaager.
Voor elk doel toestemming vragen
En ook Duco Nijhuis, specialist arbeidsrecht bij advocatenkantoor Van Boekel en Nederlof, die de middag mocht aftrappen, had het over die onduidelijkheid. ‘Veel zal zich nog moeten uitkristalliseren’, zei hij onder meer. Maar dat is volgens hem zeker geen reden om achterover te leunen en te denken dat het wel overwaait. ‘Recruiters zullen het echt moeten hebben van duidelijk actieve toestemming van de kandidaat om hun gegevens te mogen verwerken. En als die verwerking meerdere doelen heeft, moet echt per doel toestemming worden verleend. Anders mag je die handeling niet doen.’
‘Een waslijst aan checkboxes? Wen er maar aan’
Dus ja, dat betekent een waslijst aan checkboxes bij je sollicitatieformulier. ‘Wen er maar aan. En daarbij moet je veel meer informatie geven over wat je van plan bent dan nu. Dan moet de betrokkene dus toestemming geven, en dan pas mag je ermee aan de slag. Mits de gegevens ook nog eens het doel dienen waarvoor je ze vraagt.’
Inzage met één druk op de knop
En dan moet je ook nog eens ‘bijna open source’ zijn tegenover de kandidaat, over wat je met zijn gegevens doet. ‘Je zult de kandidaat eigenlijk met één druk op de knop inzage moeten geven in het dossier dat u over hem of haar heeft. En je zult het de kandidaat ook makkelijk moeten maken om zijn gegevens te wissen.’
‘je zult het de kandidaat ook makkelijk moeten maken om zijn gegevens te wissen’
En doe je dat niet voor de kandidaat, doe het dan in elk geval voor de AP, raadt hij aan. ‘Hou alsjeblieft een register aan van al je verwerkingsactiviteiten. Dat geeft inzicht, en het zorgt er ook voor dat je aan de AVG voldoet.’
Leuker kunnen we het niet maken…
Je ATS kun je daar in elk geval niet alleen verantwoordelijk voor houden, stellen Bo Stevens en Hans Rook, de andere sprekers van de middag, en allebei verbonden aan Carerix, een van die veelgebruikte ATS’en in Nederland. Zij haalden een oude slogan van de Belastingdienst aan om hun benadering van de AVG te duiden: ‘Leuker kunnen we het niet maken. Wel makkelijker.’
De recruiter is eindverantwoordelijk
Softwareleveranciers zoals zij zijn dus níet verantwoordelijk voor het verwijderen van gegevens als een kandidaat daarom vraagt. Ze proberen het wel zo in hun systeem in te bouwen dat het makkelijk wordt gemaakt voor hun klanten om bijvoorbeeld een kandidaat volledig te vergeten. Maar de eindverantwoordelijkheid daarvoor ligt toch echt bij de recruitende organisatie zelf, aldus Stevens.
Aan de slag nu! En liefst als de wiedeweerga…
En dus is er aan het eind van de dag eigenlijk maar één conclusie mogelijk: aan de slag nu! En liefst als de wiedeweerga…
Kom naar het tweede AVG/GDPR-Seminar
Meer weten over hoe je je voorbereidt op de AVG of GDPR? Op 31 januari 2018 vindt een tweede speciaal seminar van Werf& plaats voor recruiters, dat alle ins en outs van de nieuwe privacyregels behandelt.
Zeker weten dat je goed bent voorbereid? Schrijf je dan nu in!Lees ook:
- Het AVG/GDPR-woordenboek: 10 termen die je nu echt moet kennen
- Martijn Faber: ‘De AVG begint al voordat je ook maar één kandidaat in je systeem hebt’
- ‘De GDPR wordt voor recruiters straks echt dagelijkse kost’