De Algemene verordening gegevensbescherming (AVG) die op 25 mei van kracht wordt heeft grote gevolgen voor organisaties die cv’s opslaan. Wie geen nadrukkelijke toestemming heeft van de sollicitant, mag de gegevens niet opslaan en moet alle cv’s ouder dan vier weken verwijderen. Dat betekent dat miljoenen cv’s moeten worden gewist of geanonimiseerd.
Dat is de inschatting van Intelligence Group op basis van eigen onderzoek naar het privacystatement bij de grootste Nederlandse werkgevers en intermediairs. Intelligence Group veronderstelt dat deze organisaties de implementatie van de AVG beter op orde hebben dan kleinere werkgevers en intermediairs.
AVG-proof privacy statement
De onderzoekers keken eind maart 2018 of de top-100 meest favoriete werkgevers en top-25 grootste (uitzend)bureaus voor hun een ‘AVG-proof’ privacystatement gebruikten. In dit privacystatement dienen expliciet de rechten van de sollicitant, de verwerking van zijn of haar cv, de bewaartermijn en de doeleinden van deze verwerking te worden vastgelegd.
Wissen of anonimiseren
Wanneer de sollicitant niet vooraf expliciet heeft ingestemd met het privacystatement en het opslaan van zijn gegevens, is het niet toegestaan de cv’s te bewaren. Dat betekent dat veel organisaties mensen alsnog om toestemming moeten vragen, of de opgeslagen cv’s moeten wissen of anonimiseren. Na anonimisering hebben de cv’s alleen nog waarde voor statistische doeleinden.
Uit het onderzoek kwam naar voren dat:
-
- 39 procent van de grootste werkgevers geen privacystatement hebben met daarin verwijzingen naar de verwerking van cv’s en/of sollicitanten en derhalve niet ‘AVG recruitment proof’ zijn;
- een op de drie werkgevers geen privacystatement voorlegt aan de sollicitant;
- 23 van de 25 grootste intermediairs een privacy statement hebben waarin wordt omgeschreven wat er met de cv’s gebeurt na sollicitatie zoals de bewaartermijn;
- bij een op de drie (33%) de sollicitant kan solliciteren, zonder dat hij akkoord moet gaan met het privacy statement.
Cowboys
Volgens Intelligence Group heeft de AVG vooral consequenties voor de ‘cowboys’ die cv’s online verspreiden. De onderzoekers verwachten dat dit ongevraagd leuren met cv’s zal stoppen, aangezien op overtreding van de AVG forse sancties staan.
Advies
Een goed en relevant privacystatement zegt iets over de professionaliteit van het recruitmentproces. Intelligence Group heeft daarom een aantal adviezen voor werkgevers:
- Solliciteer op uw eigen site en check of er een privacy statement is. Bekijk ook of er niet meer informatie wordt gevraagd dan noodzakelijk is.
- Check of het privacystatement ook van toepassing is op recruitment.
- Check of er een Functionaris voor Gegevensbescherming aangesteld moet worden.
- Volg verschillende relevante webinars en lees blogs zoals op de website van de Autoriteit Persoonsgegevens en van LinkedIn-groepen zoals Privacy en Security Groep Nederland (AVG, GDPR).
- Zet het team van recruitment bij elkaar (inclusief HR, IT, Legal et cetera) en bespreek welke aanpassingen moeten worden gemaakt op de site en in het proces.
- Neem de AVG serieus, de boetes liegen er niet om (maximaal €20.000.000,- of 4 procent van de wereldwijde jaaromzet) evenals reputatie- en employer brand schade.
- Vraag aan iedereen van wie u de gegevens wilt behouden voor 25 mei opnieuw toestemming aan de hand van het nieuwe privacy statement.
- Verplaats u eens in de sollicitant: zou u – op basis van de getroffen maatregelen – het gevoel hebben dat uw gegevens veilig en zorgvuldig worden verwerkt bij uw bedrijf?
Bron: pwnet.nl