De 5 belangrijkste elementen uit de AVG voor recruitment bureaus

Blog AVG 5 dingen regelen

Toen de AVG in 2018 werd ingevoerd, was recruitmentland in rep en roer. Wat betekende dit voor je zorgvuldig opgebouwde kandidatendatabase? Kon je je werk nog wel normaal doen met al deze nieuwe regels? Nu, 5 jaar later, is het stof neergedaald, maar is jouw werkwijze ook veranderd? Of ben je teruggevallen in oude gewoontes? De boetes voor het overtreden van de privacywetgeving zijn flink (tot 20 miljoen euro of 4% van je jaaromzet), dus het is hoog tijd voor een opfrisser over de AVG. Deze 5 dingen zou je sowieso geregeld moeten hebben als recruitment bureau.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming is een Europese verordening die sinds 25 mei 2018 in werking is getreden in de Europese Unie. De Engelstalige afkorting voor deze verordening is GDPR. Met de AVG is de privacy van het individu belangrijker geworden en moeten organisaties die persoonsgegevens verwerken aan strengere regels voldoen. Het doel is om data-opslag en -uitwisseling veiliger en transparanter te maken.

Als recruitment bureau werk je veelvuldig met persoonsgegevens, zoals geboortedata, telefoonnummers en e-mailadressen, maar ook werkverleden en soms zelfs privé-informatie. Het is dus cruciaal dat je als recruiter weet wat de AVG voor jou betekent en hoe je deze regelgeving op een correcte manier toepast in je werk. Als jij zorgvuldig omgaat met gegevens, dan zullen klanten en kandidaten je daar dankbaar voor zijn!

1. Privacyverklaring

Voor invoering van de AVG hadden veel organisaties al een privacyverklaring waarin zij vermelden hoe ze omgaan met de verwerking van gegevens. Alleen ontbrak het vaak aan informatie over hoe er werd omgegaan met persoonsgegevens ten behoeve van personeelswerving. Wat doe je met een cv dat een sollicitant naar je stuurt? Wie heeft inzicht in deze gegevens? Hoe bescherm je de gegevens? In je privacyverklaring zou dit allemaal vermeld moeten worden.

Privacyverklaring: check of jouw bureau voldoet

  • Lees de privacyverklaring van jullie organisatie en check of de volgende recruitment gerelateerde zaken daarin benoemd worden:
    • Welke gegevens verzamel je van kandidaten?
    • Waarom is dit nodig? In juridische termen: wat is de grondslag voor het verwerken van deze gegevens?
    • Hoe ga je om met de opgeslagen gegevens? Waar sla je de gegevens op? Wie heeft er inzicht in?
    • Wat is de bewaartermijn van de gegevens?
  • Bij het indienen van een sollicitatie moet de sollicitant actief aanvinken akkoord te gaan met het verwerken van zijn/haar gegevens zoals beschreven in de privacyverklaring. Het vinkje mag niet al aangevinkt zijn.
  • Indien je op andere manieren kandidaatgegevens verzamelt, zoals bij het sourcen van kandidaten, dan dien je kandidaten te vragen akkoord te gaan met de verwerking van hun gegevens zoals beschreven in de privacyverklaring.

2. Een redelijke bewaartermijn

Je mag kandidaatgegevens niet zomaar eindeloos bewaren in je database. In de AVG wordt geen concrete regel genoemd over het bewaren van gegevens van sollicitanten, maar de Autoriteit Persoonsgegevens heeft een richtlijn opgesteld. Binnen 4 weken na het afronden van de sollicitatieprocedure dien je de gegevens van de kandidaat te verwijderen.1

Dat is natuurlijk niet altijd wenselijk, want misschien zie je kansen voor de kandidaat bij één van je andere opdrachtgevers of in de toekomst. In dat geval kun je de kandidaat om toestemming vragen voor het langer bewaren van de gegevens. 1 jaar is daarvoor een redelijke termijn. Alleen als de kandidaat expliciet toestemming geeft voor het langer bewaren van gegevens, is het toegestaan. Als de kandidaat niet reageert op je verzoek, dan gaat het dus helaas over en dien je de gegevens te verwijderen.

Bewaartermijn: check of jouw bureau voldoet

  • Zorg voor een goede borging van de bewaartermijn. Wijs een collega aan die ervoor zorgt dat kandidaatgegevens na 4 weken verwijderd worden of laat je recruitment systeem je hierbij helpen.
  • Is de kandidaat zeer interessant, maar helaas voor die ene vacature toch afgewezen? Vraag dan gelijk toestemming aan de kandidaat om de gegevens langer te bewaren. Dit doe je het liefst per e-mail, zodat je de toestemming schriftelijk hebt vastgelegd.
GDPR AVG

3. Recht van inzage, wijziging en verwijdering

Een persoon heeft sinds de invoering van de AVG het recht om in te zien welke gegevens je over hem/haar hebt opgeslagen. Daar vallen ook notities van gesprekken onder als je deze opslaat in het kandidaatprofiel of bijvoorbeeld verstrekt aan de opdrachtgever.

Ook mag de kandidaat een wijzigingsverzoek indienen en op elk moment ervoor kiezen om de gegevens te laten verwijderen. Je hebt 1 maand de tijd om zulke verzoeken te behandelen.

Recht van inzage, wijziging en verwijdering: check of jouw bureau voldoet

  • Richt processen in voor verzoeken voor inzage, wijziging en verwijdering. Je kunt hier bijvoorbeeld één collega verantwoordelijk voor maken, zodat verzoeken altijd tijdig opgepakt worden

4. Verwijderen of anonimiseren?

In dit artikel hebben we het steeds over het verwijderen van gegevens, maar eigenlijk is dat natuurlijk helemaal niet wat je wil. Je wil immers wel je data behouden, zodat je betrouwbare rapportages kunt creëren over je recruitment funnel en de effectiviteit van je wervingsmethoden.

Gelukkig hoef je niet per se de gegevens te verwijderen. Het gaat erom dat er geen persoonsgegevens meer opgeslagen zijn. Het anonimiseren van kandidaatdossiers is dus een prima oplossing. Je voldoet daarmee aan de AVG, want de persoonsgegevens zijn na anonimisering niet meer inzichtelijk, en je behoudt je statistieken voor rapportage- en besluitvorming.

Het is alleen niet te doen om elk kandidaatprofiel handmatig te anonimiseren. Gelukkig bieden de meeste recruitmentsystemen een dergelijke functionaliteit, waardoor je met 1 klik dossiers anonimiseert. Wel zo handig!

Anonimiseren: check of jouw bureau voldoet

  • Check welke opties je hebt in jouw recruitment systeem. Kun je kandidaatdossiers enkel verwijderen of ook kiezen voor het anonimiseren van gegevens? Ga ook na of de data na anonimisering nog terug komt in je rapportages.

5. Verwerkersovereenkomsten

Misschien is het ongemerkt, maar jij wisselt als bureau veel persoonsgegevens uit met anderen. Denk maar aan je ATS waar al die kandidaatgegevens in opgeslagen zijn. Maar ook als je gebruik maakt van een videosollicitatietool, solliciteren via Whatsapp of een tool voor assessments, dan wissel je persoonsgegevens uit met deze externe partijen.

Met elk van deze ‘verwerkers van gegevens’ ben je verplicht om een verwerkersovereenkomst te sluiten. Je legt daarin vast welke gegevens je verzamelt, wat de verwerker daarmee mag doen en hoe de gegevens beveiligd worden. Misschien niet zo’n leuk onderdeel van het werk, maar een heel belangrijk onderdeel van AVG-proof werken!

Verwerkersovereenkomsten: check of jouw bureau voldoet

  • Bekijk met welke (software)leveranciers of andere externe partijen je persoonsgegevens uitwisselt en check of er met deze partijen een verwerkersovereenkomst is afgesloten.
  • Ga je een nieuwe tool gebruiken of switchen naar een ander ATS? Sluit dan een verwerkersovereenkomst af met deze nieuwe partner.
  • De verwerker slaat gegevens op in databases. Bij voorkeur vindt die data-opslag plaats in de EU. Let daar dus op als je een keuze maakt tussen tools en softwareleveranciers.

AVG-proof werken met Bullhorn

AVG-proof werken kan met al deze regels een behoorlijke opgave zijn. Tenzij je werkt met slimme recruitment tools zoals die van Bullhorn. Met het Bullhorn ATS wordt AVG-proof werken eenvoudig, bijvoorbeeld door deze handige functionaliteiten:

  • Dossiers (zowel op kandidaat- als klantniveau) anonimiseren in één klik
  • Gegevens simpel exporteren (ook sms’jes en e-mails) om makkelijk te voldoen aan een inzageverzoek
  • Stuur kandidaten een toestemmingsverzoek voor het bewaren en verwerken van hun gegevens

Met Bullhorn Automation ga je nog een stap verder. Je stelt één keer automatiseringen in en hebt er daarna weinig omkijken meer naar. Zo kun je na een x periode een kandidaat automatisch een e-mail sturen met het verzoek om de gegevens langer te bewaren en de reacties hierop automatisch laten verwerken in het systeem. Of wat denk je van het geautomatiseerd anonimiseren van gegevens nadat de bewaartermijn is verstreken en er geen toestemming is gegeven voor het langer bewaren van de gegevens?

Met de tools van Bullhorn laat je het systeem voor je werken en kun jij je richten op wat je het liefste doet: de juiste match maken tussen werkgevers en kandidaten. Benieuwd hoeveel tijd jij kunt besparen met de AVG-features van Bullhorn? Plan een demo en we laten het je zien!

Ontvang content direct in je inbox

Vul het formulier in en ontvang regelmatig de nieuwste blogs, recruitment tips en best practices.