Er is geen ontkomen aan: 2018 zal voor een groot deel in het teken staan van de privacy van de kandidaat. Verslag van een drukbezocht Breaking Seminar over de nieuwe regelgeving hieromtrent.
Met een kladblok onder mijn arm betreed ik de zaal van het Van der Valk Hotel waar het ‘Breaking seminar GDPR voor recruitment’ plaatsvindt. Mijn doel voor de dag? Mijn kop uit het zand halen en de GDPR-beer op de weg een knuffel geven. Want hoe je het ook wendt of keert, de wet komt er. En dan kun je maar beter voorbereid zijn…
We worden steeds bewuster
De middag start met een introductie van Geert-Jan Waasdorp, oprichter van Intelligence Group en de Academie voor Arbeidsmarktcommunicatie (foto). Ook hij wordt zich steeds meer bewust van wat je allemaal kunt met persoonsgegevens, zegt hij, en hij hoopt voor de bezoekers dat de hele regelgeving hieromheen vandaag een stuk duidelijk wordt.
De burger krijgt meer controle
Al snel geeft hij het stokje door aan Duco Nijhuis. De advocaat bij Van Boekel & Nederlof gaat vervolgens in op het juridische kader. Hij vertelt dat we overgaan van de Wet Bescherming Persoonsgegevens (Wbp) uit 2001 naar de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation of GDPR. Dit vanwege de vele ontwikkelingen op het gebied van internet en de significante stijging van de verzameling van persoonsgegevens. Daarom worden de regels strakker en duidelijker gemaakt en krijgt de burger meer controle over zijn of haar eigen gegevens.
Er blijken heel wat persoonsgegevens te zijn
Als je mij zou vragen wat persoonsgegevens zijn, zou ik best wat dingen kunnen noemen, zoals: naam, leeftijd en e-mailadres. De wet ziet persoonsgegevens als ‘alle informatie betreffende een natuurlijk persoon’. Dat gaat dus ook om dingen als: naam, adres, pasfoto, leeftijd, kenteken, e-mailadres, BSN en andere unieke persoonsnummers. Maar ook gegevens op grond waarvan iemand identificeerbaar is, zoals: personeelsnummer, IP-adres, cookies, (online) identifier, geloof, politieke voorkeur en medische gegevens.
‘Verwerken’, dat is een heel rijtje werkwoorden
Oké, maar wat wordt er dan verstaan onder ‘verwerken’ van zulke gegevens? Als ik een mooie kaartenbak heb waar ik nog gegevens in bewaar, heeft de burger wiens gegevens daarin zitten daar dan ook controle over? Het antwoord is: ja! Verwerken is namelijk iedere handeling die met persoonsgegevens kan worden uitgevoerd, al dan niet geautomatiseerd, zegt Nijhuis. Denk aan: opslaan, opschrijven, kopiëren, wijzigen, afschermen, opvragen en verwijderen.
‘Toestemming voor verwerking regel je niet zomaar met één vinkje’
Voor al dat verwerken moet je toestemming hebben van de betrokkene. En dat regel je niet zomaar even met één vinkje. Deze toestemming moet namelijk een duidelijke actieve handeling zijn, waarbij de betrokkene specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. En als je de informatie voor meerdere doelen gebruikt, moet je voor ieder doel weer opnieuw toestemming vragen.
Daar komt de persoonsgegevenspolitie…
De eerste vraag die mij te binnen schoot was: maar wie gaat dit dan ooit controleren? Daar komt de Autoriteit Persoonsgegevens (AP) om de hoek kijken. Voor hen moet jij als organisatie namelijk kunnen aantonen dat je de wet naleeft. Als de AP dat zelf wil, krijgen ze toegang tot bedrijfsruimten en middelen (zoals servers en computers) en inzage in alle persoonsgegevens die je verwerkt. En als de zaken niet op orde zijn, krijg je een waarschuwing, berisping of een flinke boete, oplopend tot wel 20 miljoen euro.
Je moet altijd antwoord kunnen geven als de burger vraagt welke gegevens je van hem hebt opgeslagen
Niet onbelangrijk dus om intern of extern een functionaris gegevensbescherming aan te stellen die kijkt of alle regels worden nageleefd op het gebied van persoonsgegevens. En minstens net zo belangrijk dus dat jij de betrokkenen goed inlicht over wat er met de informatie gebeurt. Jij hebt namelijk verantwoordingsplicht en moet dus altijd antwoord kunnen geven als de burger vraagt wat voor gegevens er van hem of haar opgeslagen zijn. Hierbij kan hij of zij ook vragen om de gegevens te verwijderen.
‘Als je het niet kunt uitleggen, is het niet belangrijk’
Na drie kwartier juridische kaders nemen Bo Stevens en Hans Rook het woord. Beiden zijn werkzaam voor Carerix, waarbij Stevens (foto hieronder) product owner is en Rook werkt als accountmanager. Zij drukken mij vooral op het hart om te kijken welke gegevens echt nuttig zijn om op te slaan. Als je het niet kunt uitleggen, is het ook niet belangrijk om op te slaan, zeggen ze. Waarom moet een kandidaat bijvoorbeeld aanvinken of hij of zij een man of een vrouw is? Wat voegt dat toe?
Ze gaan ook dieper in op het sollicitatieformulier, en maken daarbij het belang duidelijk dat je zorgt dat de kandidaat expliciet akkoord gaat met de voorwaarden of het privacy statement. Alleen als de kandidaat dit namelijk goed aanvinkt, heb je toestemming voor het opslaan van gegevens.
Het verplichte privacy statement moet beknopt, transparant, begrijpelijk en makkelijk toegankelijk zijn voor de lezer
Hiermee kun je natuurlijk ook nog wat spelen, want je kunt het vinkje aanzetten en hopen dat de betrokkene doorklikt zonder het uit te zetten of je kunt het vinkje uitzetten, zodat de betrokkene het bewust moet aanklikken. Zo’n privacy statement is verplicht op je website als je gegevens opslaat. Dit statement moet beknopt, transparant, begrijpelijk en makkelijk toegankelijk zijn voor de lezer.
Wat betekent dat nou voor mij?
Maar wacht even, hoe ziet dat er dan voor mij uit als copywriter? Wat gebeurt er dan met het meest gebruikte arbeidsmarktcommunicatiemiddel: de vacaturetekst? Kort antwoord: Niks! Het is niet nodig om in je vacaturetekst al dingen over de GDPR te benoemen, want de gegevens komen pas boven water als de kandidaat solliciteert. Wel kun je natuurlijk in de vacaturetekst opnemen dat je je strikt aan de privacyregels houdt. En in het kader van transparantie aan de voorkant: breid je sollicitatieprocedure en/of privacy statement op je werkenbij-/recruitmentsite uit, door vooraf aan te geven wat er met de persoonsgegevens van je sollicitanten gebeurt.
Een InMail mag nog wel, alleen…
Het is met deze wet niet zo dat je bijvoorbeeld niemand meer mag benaderen via LinkedIn, krijg ik te horen, vertelt Rook (foto hierboven). Wel moet je ook dán toestemming vragen om gegevens op te slaan. Stel, jij vindt Pietje Pluis een interessante kandidaat, dan moet jij toestemming vragen of je zijn gegevens mag opslaan. Als hij daar niet op reageert binnen de gestelde tijd (waarvan de lengte overigens nog onbekend is), dan ben je verplicht deze gegevens ook weer te verwijderen… Een lichte stress is voelbaar onder de bezoekers, dus tijd voor een pauze.
‘Zelfs om telefoonnummers op je privételefoon op te slaan moet je straks toestemming hebben’
En vergeet ook de nieuwsbrief niet
Vervolgens neemt Will-Martijn Swaager (DCURE) de microfoon in handen. Een 45 minuten durende vragenronde volgt. Hierin komt naar voren dat je zelfs om telefoonnummers op te slaan, voor zowel je privé- als je zakelijke telefoon, toestemming moet hebben. Ook moet je bij contact via whatsapp met klanten of kandidaten permissie vragen om hun gegevens op te slaan. En je moet alle kandidaten hoe dan ook opnieuw toestemming laten geven om hun persoonsgegevens te verwerken. Vergeet daarbij ook niet alle klanten die een nieuwsbrief ontvangen; ook zij moeten opnieuw toestemming geven om nieuwsbrieven te ontvangen en voor het feit dat hun gegevens worden verwerkt.
De GDPR beschermt ons ook heel goed
En dan is het slotwoord aan Martijn Faber, oprichter van Priviteers en specialist in data privacy (foto hierboven). Hij laat ons nog iets inzien, voordat we naar de borrel gaan of de weg op glibberen om huiswaarts te keren. We zijn namelijk allemaal bang voor de GDPR, maar dat is vooral vanuit zakelijk oogpunt, zegt hij. Uiteindelijk beschermt het ons ook heel goed, als je als gewone burger naar de nieuwe privacyregelgeving kijkt.
mijn armen zijn gespreid: Laat nu die grote grizzlybeer op de weg maar komen voor een dikke knuffel!
Met deze wijze woorden komt er een einde aan de middag. Na nog enkele vragen, is het aan ons de taak om de komende maanden te zorgen dat de waarschuwingen en boetes ons vanaf 25 mei 2018 bespaard blijven. Mijn armen zijn in elk geval gespreid: laat die grote grizzlybeer op de weg maar komen voor een dikke knuffel!
Dit blog is geschreven door Marjolein Vos, copywriter bij Voor Tekst.
Bekijk ook een videoverslag van het seminar:
Kom naar het tweede AVG/GDPR-Seminar
Meer weten over hoe je je voorbereidt op de AVG of GDPR? Op 31 januari 2018 vindt een tweede speciaal seminar van Werf& plaats voor recruiters, dat alle ins en outs van de nieuwe privacyregels behandelt.