GDPR / AVG en Privacy statements
Heb jij jouw dataprotectiebeleid al op orde? Met de inwerkingtreding van de GDPR (General Data Protection Regulation) ofwel AVG (Algemene Verordening Gegevensbescherming) zijn de regels aanzienlijk aangescherpt. Zo is het voor organisaties belangrijk om te communiceren waarom en op welke wijze ze persoonsgegevens verwerken. De AVG stelt een aantal eisen aan de transparantie over de verwerking en communicatie aan de betrokkene (in ons geval de kandidaat). Dit kan door middel van een privacy statement. Wat is een privacy statement en hoe geef je deze vorm?
Aan welke eisen moet een privacy statement voldoen?
Een privacy statement moet voldoen aan de volgende kenmerken:
- beknopt
- transparant
- begrijpelijk
- gemakkelijk toegankelijk
Deze eisen dienen ervoor te zorgen dat een kandidaat weet waar hij aan toe is op het gebied van zijn privacy. Afhankelijk van de manier waarop de gegevens van de kandidaat verzameld worden, is er een aantal specifieke eisen waaraan een privacy statement moet voldoen. Gegevens kunnen op directe en op indirecte wijze worden verzameld. Bij de directe wijze geeft de kandidaat rechtstreeks gegevens door, bijvoorbeeld via een sollicitatieformulier. Bij de indirecte wijze worden de gegevens via een externe bron verzameld. Dit gebeurt bijvoorbeeld als een recruiter gegevens over de kandidaat uit LinkedIn haalt.
Directe verwerking van persoonsgegevens
Als de gegevens direct van de kandidaat komen, dan dient het privacy statement te worden verstrekt op het moment dat de persoonsgegevens doorgegeven worden. Dit kan door een link naar het privacy statement op te nemen op het sollicitatieformulier. Het privacy statement moet minimaal de volgende informatie bevatten:
- Identiteit en contactinformatie van de verwerkingsverantwoordelijke;
- Doel en wettelijke basis voor de verwerking;
- De legitieme belangen van de verwerkingsverantwoordelijke (als deze van toepassing is);
- Eventuele ontvangers (of categorieën van ontvangers) van de persoonsgegevens (bijvoorbeeld eventuele verwerkers);
- Informatie omtrent het doorsturen van de persoonsgegevens naar een derde land (buiten EU), indien van toepassing;
- De bewaartermijn, of de criteria waarmee de bewaartermijn bepaald wordt;
- De betrokkene dient gewezen te worden op de rechten die hij heeft;
- De betrokkene dient gewezen te worden op het recht om zijn toestemming voor de verwerking in te trekken;
- De betrokkene dient gewezen te worden op zijn recht om een klacht in te dienen bij de toezichthouder;
- Als gebruik wordt gemaakt van geautomatiseerde besluitvorming dient dit vermeld te worden;
Indirecte verwerking van persoonsgegevens
Wanneer gegevens op indirecte wijze worden verzameld, bijvoorbeeld via LinkedIn, gelden dezelfde eisen als hierboven zijn aangegeven. Daarnaast moet je duidelijk aangeven welk soort (categorie) gegevens je hebt verwerkt en welke bron je hiervoor gebruikte.
De betrokkene dient binnen een redelijke termijn (in ieder geval binnen een maand na verwerking) geïnformeerd te worden over bovenstaande punten. Als de persoonsgegevens verwerkt worden om te communiceren met de betrokkene, dan dient deze informatie op zijn laatst tijdens het eerste contact met de betrokkene verstrekt te worden.
Ook als de persoonsgegevens worden doorgestuurd naar een andere partij, dan moet je betrokkene hiervan op de hoogte stellen en wel op zijn laatst op het moment dat de gegevens gedeeld worden met deze andere partij.
Identiteit en contactinformatie
In het privacy statement moet de identiteit en contactinformatie van de verwerkingsverantwoordelijke worden vermeld. Als de verwerkingsverantwoordelijke een Functionaris Gegevensbescherming (of Data Protection Officer) in dienst heeft, dan dienen ook de contactgegevens van deze functionaris vermeld te worden.
Wettelijke basis voor de verwerking
Om persoonsgegevens te kunnen verwerken, dient er een wettelijke basis voor de verwerking te zijn. Er moet in elk geval aan de onderstaande punten zijn voldaan:
- De betrokkene heeft toestemming gegeven voor de verwerking
- Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is, of geschiedt op verzoek van de betrokkene voor de sluiting van een overeenkomst;
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke;
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;
- De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang;
- De verwerking is noodzakelijk voor de behartiging van de legitieme belangen van de verwerkingsverantwoordelijke.
Bewaartermijn
Persoonsgegevens van betrokkene mogen niet langer dan strikt noodzakelijk bewaard worden voor het doel waarvoor deze gegevens oorspronkelijk verwerkt werden. Als er geen ‘harde’ bewaartermijn te bepalen is, dan dienen in het privacy statement de criteria vermeld te worden die de bewaartermijn bepalen. Zo zou het afwijzen van een kandidaat een criterium kunnen zijn om de gegevens verwijderen. Met een anonimiseringsscript kan je automatische procedures inrichten waarmee je het bewaren en tijdig wissen van gegevens volgens jouw interne richtlijnen regelt.
Noot:
In recent uitgebrachte richtlijnen van de Working Party 29 (een adviesorgaan van de Europese Commissie, waarin de nationale toezichthouders vertegenwoordigd zijn) wordt onder andere gesproken over de bewaartermijn voor gegevens die tijdens het recruitmentproces worden verzameld. Deze zullen in het algemeen verwijderd dienen te worden op het moment dat duidelijk is dat de kandidaat niet aangenomen wordt (zie: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, paragraaf 5.1)
Als je de gegevens van de kandidaat wil behouden voor eventuele toekomstige aanbiedingen, dan moet je de kandidaat hierover te informeren. Hij moet hierbij de mogelijkheid krijgen om hiertegen bezwaar te maken, waarna hij alsnog verwijderd dient te worden.
Layered privacy statement
Mocht je nu heel veel informatie willen vermelden in je statement, dan kun je voor de overzichtelijkheid gebruik maken van een layered privacy statement. Op de eerste laag plaats je de hoofdlijnen en voegt links toe naar een tweede laag. Zo kun je een beknopt privacy statement plaatsen, terwijl alle informatie toch toegankelijk is voor de bezoeker.
Voorbeelden privacy statement
Mocht je een beeld willen krijgen bij hoe een layered privacy statement eruit ziet, dan kan je eens googelen of die van IBM en Microsoft bekijken.
Meer weten over de GDPR/AVG?
Wil je je goed voorbereiden op de GDPR? In onze GDPR voor Recruitment Hub vind je een verzameling artikelen, blogs en webinars die je als recruitment professional helpen voor te bereiden op de nieuwe wetgeving. Neem een kijkje in de GDPR voor Recruitment Hub en meld je aan voor onze updates. Dan ben je altijd als eerste op de hoogte van nieuwe content!