Privacy statements? Als ze er al zijn, zeggen ze nog bar weinig over hoe de organisatie met cv’s en sollicitaties omspringt. Een behoorlijk probleem als straks de AVG in werking treedt, meldt recent onderzoek.
Zijn Nederlandse organisaties goed voorbereid op de AVG, zoals de Algemene Verordening Persoonsgegevens afgekort heet? Het lijkt erop van niet, aldus onderzoek van Intelligence Group. Volgens hen zouden organisaties wel eens miljoenen cv’s moeten verwijderen uit hun systemen, omdat ze sollicitanten niet (op tijd en/of duidelijk) hebben gevraagd of ze hun gegevens wel mogen verwerken.
‘Een grote Control-Alt-Delete van de cv-database’
Intelligence Group keek voor dit onderzoek naar de privacy statements op de sites van de 100 meest favoriete werkgevers en 25 grootste (uitzend)bureaus. Staat in die statements niets over hoe de bedrijven omgaan met sollicitanten, of laten ze sollicitanten niet instemmen (al dan niet met terugwerkende kracht) met een statement dat past bij de AVG, dan moeten ze alle cv’s ouder dan 4 weken uit het systeem verwijderen. ‘Een grote Control-Alt-Delete van de cv-database’, aldus de onderzoekers, die ‘voorzichtig’ inschatten dat het daarbij wel eens kan gaan om ‘vele honderden miljoenen cv’s’.
Bijna 4 op de 10 meldt niets over cv’s
Uit het eind maart gehouden onderzoek blijkt onder meer:
- 39% van de grootste werkgevers heeft géén privacy statement met verwijzingen naar de verwerking van cv’s en/of sollicitanten.
- Bij 1 op de 3 werkgevers wordt geen privacy statement voorgelegd bij of wordt de sollicitant niet om toestemming gevraagd (opt-in) alvorens hij of zij gaat solliciteren. Zulke privacy statements zijn niet ‘AVG-recruitmentproof’.
1 op de 3 werkgevers legt geen privacy statement voor of vraagt niet om toestemming
- 23 van de 25 grootste intermediairs hebben een privacy statement waarin wordt omgeschreven wat er met de cv’s gebeurt na sollicitatie (zoals de bewaartermijn). Bij 33% kan de sollicitant echter gewoon solliciteren, zonder akkoord te hoeven gaan met het privacy statement.
Laat hen instemmen
Om te voorkomen dat je als organisatie alle cv’s uit je database (ouder dan een maand) moet verwijderen, moet je sollicitanten actieve instemming vragen met je privacy statement. En in dat statement moet je dan heel wat vastleggen: van bewaar- en bezwaartermijn tot de rechten van de sollicitant, de verwerking van zijn of haar cv, en de doeleinden hiervan. Dit betekent dat honderdduizenden werkgevers en vele duizenden intermediairs de personen in hun database alsnog moeten vragen om toestemming. Zonder die toestemming is wissen of anonimiseren immers de enige oplossing.
Inspiratie hoe het wel moet…
Sollicitanten horen akkoord te geven op de bewaartermijn van het cv, de verspreiding ervan, de verwerking van de gegevens eruit en voor welke doelen deze gegevens worden gebruikt. Het siert een privacy statement als ook de rechten van de sollicitant erin staan. Denk aan de bezwaartermijn en het recht van inzage. Een aantal privacy statements kan als voorbeeld dienen voor anderen, aldus de onderzoekers, die daarbij de statements van Albert Heijn, Randstad, Landal Greenparks en Booking.com bij naam noemen.
Wat kwamen de onderzoekers zoal tegen?
Het onderzoek naar hoe ‘AVG-recruitmentproof’ de privacy statements van organisaties zijn, leverde ook verder nog een paar bijzondere ontdekkingen op. Wat te denken van een zin als “Onze bewaartermijn is net zolang als wij denken dat nodig is”? Of een site waarbij sollicitanten om BSN-nummer en nationaliteit werd gevraagd? Ook zetten organisaties wel eens persoonsgegevens standaard door naar verzekeraars, eventorganisaties en andere commerciële partijen. En soms vragen ze ook ‘zomaar’ akkoord te gaan met de algemene voorwaarden, terwijl die verder nergens op de site te vinden zijn.
soms vragen ze ‘zomaar’ met de algemene voorwaarden in te stemmen, terwijl die nergens te vinden zijn
Neem het niet lichtzinnig
Zelfs bij organisaties waar je dat misschien het eerst verwacht is nog weinig op orde, aldus de onderzoekers. Zo hebben de meeste consultancybedrijven zelf nog nauwelijks iets (goed) geregeld, terwijl ze over deze materie vaak wel hun klanten adviseren.
De belangrijkste adviezen die de onderzoekers geven:
- Solliciteer zelf op je eigen site en check of er een privacy statement is en of je instemming wordt gevraagd. Bekijk ook of je niet meer informatie vraagt dan nodig.
- Check of het privacy statement ook van toepassing is op recruitment
- Check of je een Functionaris Gegevensbescherming moet aanstellen.
- Volg verschillende relevante webinars, sites zoals deze en lees blogs.
- Zet HR, IT, Legal bij elkaar en bespreek welke aanpassingen je moet maken op de site en in het proces.
- Neem het niet lichtzinnig, de boetes liegen er niet om. Ook de kans op schade aan reputatie en employer brand is aanzienlijk.
- Vraag vóór 25 mei opnieuw actief toestemming aan iedereen van wie je de gegevens in je ATS wilt behouden. Doe dit aan de hand van het nieuwe privacy statement.
- Verplaats je eens in de sollicitant: zou jij – op basis van de getroffen maatregelen – het gevoel hebben dat deze organisatie je gegevens veilig en zorgvuldig verwerkt?
Lees ook
- LinkedIn komt met nieuwe voorwaarden om GDPR-problemen te voorkomen. Maar is het genoeg?
- ‘Zelf sourcen van kandidaten op sociale media? Met de AVG kan het niet meer’
- Het AVG/GDPR-woordenboek: 10 termen die je nu echt moet kennen
- Martijn Faber: ‘De AVG begint al voordat je ook maar één kandidaat in je systeem hebt’
- ‘De GDPR wordt voor recruiters straks echt dagelijkse kost’