Miljoenen cv’s moeten worden verwijderd

Er is al veel geschreven en gesproken over de AVG/GDPR. Maar over iets meer dan een maand is het zover: op 25 mei treedt de AVG in werking. En voor de werkgevers en intermediairs die sollicitanten niet akkoord hebben laten gaan -al dan niet met terugwerkende kracht- met een ‘recruitment proof AVG’ statement, betekent het dat alle cv’s ouder dan 4 weken uit het systeem verwijderd moeten worden. Een grote ‘Control Alt Delete’ van de cv-database. 

Op basis van data en onderzoek van de Intelligence Group naar het privacy statement bij de grootste Nederlandse werkgevers en intermediairs, waarvan verondersteld mag worden dat zij de implementatie van de AVG beter op orde hebben dan ‘kleinere’ werkgevers en intermediairs, is de voorzichtige inschatting dat vele honderden miljoenen cv’s moeten worden gewist of geanonimiseerd.

Belangrijkste onderzoeksresultaten
Uit het onderzoek naar het hebben van een ‘AVG recruitment proof privacy statement’ bij de top-100 meest favoriete werkgevers en top-25 grootste (uitzend)bureaus kwam naar voren:
– Dat 39% van de grootste werkgevers geen privacy statement hebben met daarin verwijzingen naar de verwerking van cv’s en/of sollicitanten en derhalve niet ‘AVG recruitment proof’ zijn.
– Bij 1 op de 3 werkgevers wordt geen privacystatement voorgelegd bij of wordt niet om toestemming gevraagd (opt-in) bij de sollicitant alvorens te solliciteren.
– 23 van de 25 grootste intermediairs hebben een privacy statement waarin wordt omgeschreven wat er met de cv’s gebeurt na sollicitatie zoals de bewaartermijn, echter bij één op de drie (33%) kan de sollicitant solliciteren, zonder dat zij akkoord moet gaat met het privacy statement.

Bron: Intelligence Group

Een 'AVG recruitment proof privacy statement'
De AVG heeft veel consequenties voor het vakgebied recruitment, met name om de privacy en rechten van kandidaten te garanderen. Een blessing in disguise voor de professionele recruiter (zie dit inspirerende webinar van Talmark). Een nachtmerrie voor cowboys die nu nog cv’s als warme broodjes over het internet verspreiden. De algehele verwachting is dat het ongevraagd verspreiden van cv’s gaat stoppen na 25 mei 2018, gezien de boetes die de Autoriteit Persoonsgegevens gaat uitdelen.

De grootste problemen die Intelligence Group naar aanleiding van dit onderzoek constateren zijn:

1. Dat bij heel veel werkgevers en intermediairs gesolliciteerd kan worden zonder dat een sollicitant akkoord hoeft te gaan met een privacy statement.

2. Sollicitanten die akkoord gaan met het algemene privacy statement van het bedrijf, waarin niets wordt benoemd in relatie tot het cv en/of sollicitatie. De privacy statements zijn niet AVG recruitment proof.
_______________________________________________________________________________
Middagbijeenkomst: De implementatie van de AVG
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing; de privacywetgeving voor de hele Europese Unie (EU). Wat betekent dit voor u en uw organisatie? Schrijf u nu in….
_______________________________________________________________________________

Om te voorkomen dat alle cv’s die ouder dan een maand zijn (een maand wordt nu aangehouden o.b.v. de richtlijnen van de NVP die de Autoriteit Persoonsgegevens overneemt) verwijderd moeten worden, is het noodzaak dat sollicitanten akkoord zijn gegaan met het privacy statement dat verwijzingen maakt naar bewaar- en bezwaartermijn van sollicitanten. In dit privacy statement dienen expliciet de rechten van de sollicitant, de verwerking van zijn of haar cv, de bewaartermijn en de doeleinden van deze verwerking te worden vastgelegd. Dit betekent voor honderdduizenden werkgevers en vele duizenden intermediairs dat zij de personen die nu in database staan alsnog moeten vragen om toestemming. Zonder toestemming zal wissen of anonimiseren de enige oplossing zijn. Het anonimiseren is alleen relevant voor statistische doeleinden.

Inspiratie hoe het wel moet…
Sollicitanten horen akkoord te geven op de bewaartermijn van het cv, de verspreiding van het cv, de verwerking van de gegevens uit het cv en voor welke doeleinden deze gegevens worden gebruikt. Het siert een privacy statement als er ook de rechten van de sollicitanten in staan, zoals het bezwaartermijn dat zij hebben en het recht van inzage. Een aantal privacy statements kunnen dan ook echt als voorbeeld dienen voor andere werkgevers, zoals de:
– privacy statement van Albert Heijn
– privacy statement van Randstad
– privacy statement van Landal Greenparks
– privacy statement van Booking.com

Bijzondere zaken waar IG tegen aan is gelopen tijdens het onderzoek….

– “Onze bewaartermijn is net zolang als wij denken dat dat nodig is”.
– Het vastleggen van bijzondere persoonsgegevens, zoals BSN-nummer en nationaliteit.
– Het standaard doorzetten van persoonsgegevens aan verzekeraars, event organisaties en andere commerciële partijen.
– Akkoord gaan met de algemene voorwaarden die verder niet op de site te vinden zijn
– In het ene systeem van het bedrijf wordt het cv langer bewaard dan in het andere (internationale) systeem.

Advies
Een goed en relevant privacy statement zegt iets over de professionaliteit van het recruitmentproces. Daar waar je het zeker goed had verwacht, bijv. consultancy bedrijven o.a. op gebied van privacy en data met zeer professionele recruitmentprofessionals, ziet Intelligence Group we dat bijna niets nog op orde is. Van andere bedrijven krijg je de indruk dat zij met heel veel respect omgaan met de privacygegevens van een kandidaat. Dat reflecteert een sterk employer brand. 

De belangrijkste adviezen:
– Solliciteer op je eigen site en check of er een privacy statement is. Bekijk ook of er niet meer informatie wordt gevraagd dan noodzakelijk is.
– Check of het privacy statement ook van toepassing is op recruitment.
– Check of er een Fucntionaris Gegevensbescherming aangesteld moet worden.
– Volg verschillende relevante webinars en lees blogs zoals, de website van de autoriteit persoonsgegevens en LinkedIn-groepen zoals Privacy en Security Groep Nederland (AVG, GDPR).
– Zet het team van recruitment bij elkaar (incl. HR, IT, Legal etc.) en bespreek welke aanpassingen gemaakt moeten worden op de site en in het proces.
– Kijk op de site: https://priviteers.nl/ voor handige tips en documenten.
– Neem het serieus en niet lichtzinnig, de boetes liegen er niet om (maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet) evenals reputatie en employer brand schade.
– Vraag aan iedereen van wie je de gegevens in je ATS wilt behouden vóór 25 mei opnieuw toestemming a.d.h.v. het nieuwe privacy statement.
– Verplaats je eens in de sollicitant: zou jij -op basis van de getroffen maatregelen – het gevoel hebben dat jouw gegevens veilig en zorgvuldig verwerkt worden bij jouw bedrijf?