GDPR Webinar Bullhorn

On demand Webinar: GDPR voor Recruitment: zo bereid je je optimaal voor

De GDPR heeft grote impact op recruitment. Is het een bedreiging of juist een kans? Zorg dat je er klaar voor bent. Weet wat van je verwacht wordt en breng jouw processen op orde. Hoe? Ontdek het in ons Webinar ‘GDPR voor Recruitment: zo bereid je je optimaal voor!’

 

Data Privacy Expert Martijn Faber van Priviteers geeft antwoord op vragen als:

  • Wat betekent de nieuwe wetgeving voor recruitment?
  • Hoe zorg je dat je recruitmentprocessen aansluiten op de GDPR?
  • Hoe voorkom je reputatieschade?
  • Hoe geef je dankzij de GDPR de concurrentie het nakijken?
  • Hoe kan het Bullhorn Connexys recruitmentsysteem hierin faciliteren?

 

Q&A

Tijdens het webinar stelden deelnemers een aantal interessante vragen. Wij zetten deze vragen met de antwoorden van Martijn Faber van Priviteers hieronder voor je op een rijtje.

 

Q: Moeten Zwitserse bedrijven aan de GDPR voldoen?
A: Indien Zwitserse bedrijven gebruik willen maken van gegevens van Europese burgers dan zullen ook zij zich moeten houden aan de voorwaarden van de GDPR. Overigens is het zeer waarschijnlijk dat Zwitserland zich zeer nauw verbindt met de privacywetgeving omdat ze dat in het verleden ook hebben gedaan.

 

Q: Zijn onze klanten/prospects binnen de GDPR Controllers? Dus kortom is er sprake van een gedeelde verantwoordelijkheid?
A: Dit is sterk afhankelijk van de contractuele afspraken en de daadwerkelijke handelingen die plaatsvinden. Een sluitend antwoord kan hier dan ook niet op worden gegeven met de beperkte informatie die nu beschikbaar is.

 

Q: Indien kandidaten worden voorgesteld bij onze klanten/prospects zijn er dan bepaalde zaken die wij in acht moeten nemen met betrekking tot hoe de gegevens ter beschikking worden gesteld?
A: De kandidaat moet op de hoogte zijn (informatierecht) wat er met zijn/haar persoonsgegevens gaat gebeuren en voor welk doel. Bij klanten kun je nog zeggen dat je e.e.a. doet vanuit een overeenkomst, maar bij prospects is dat maar de vraag. “Zomaar“ persoonsgegevens delen met potentiële klanten zonder dat daar een opdracht voor is lijkt lastig omdat je dan nergens naar kunt verwijzen in relatie tot de omgang van de persoonsgegevens die je hebt verzonden. M.a.w: hoe houd je grip op de persoonsgegevens waar jij als verzendende organisatie verantwoordelijk voor bent bij een organisatie waar je verder geen contractuele verbintenis mee hebt?

 

Q: In hoeverre ziet Martijn Faber klanten (dus niet kandidaten) als verwerkers in de zin van de AVG? Kan hij het 2 kanten op formuleren dus; wel verwerker - geen verwerker?
A: Dit kan beide het geval zijn. Het hangt sterk af van de wijze van samenwerking wie exact het doel bepaalt. Dit kan per situatie anders zijn.

Hier is de kernvraag steeds: welke organisatie heeft het doel van de verwerking bepaald. Wanneer ik als organisatie een externe partij vraag om namens mij de selectie van kandidaten te doen en daarbij afspreek dat die organisatie niets anders mag doen met die gegevens dan wat de opdrachtgever bepaalt, dan heb je een verwerkingsverantwoordelijke en verwerker. De één doet iets in opdracht van de ander en bepaalt zelf geen verdere doelen.

Stel: je vraagt een externe partij om kandidaten aan te leveren voor vacatures en de externe partij heeft ook de doelen bepaald. Als hij die gegevens dan bijvoorbeeld aan andere klanten gaat aanbieden, is hij een verwerkingsverantwoordelijke. De externe partij doet dit immers niet in expliciete opdracht van de uitvragende organisatie. In zo’n geval zal je gezamenlijk verwerkingsverantwoordelijke zijn en dus samen afspraken moeten opstellen over hoe je omgaat met de persoonsgegevens en de rechten van betrokkene.

Zoals je ziet hangt het sterk af van de situatie. Er is dus niet één antwoord waarbij je wel of geen verwerker bent.

 

Q: Wat vindt Martijn Faber van de bewaartermijn, gesteld door de Autoriteit Persoonsgegevens, van 1 jaar op basis van toestemming?
A: Dit lijkt mij een prima uitgangspunt. De gestelde termijn van 1 jaar is op basis van expliciete toestemming van een betrokkene om opgenomen te worden in bijvoorbeeld een talentpool. Je mag voor het aflopen van dit jaar nogmaals om expliciete toestemming vragen om het met weer een jaar te verlengen  Of de kandidaat dat wil heeft te maken met de toegevoegde waarde die je als organisatie binnen dat jaar hebt geboden.

 

Q: Wij zijn een recruitmentorganisatie. Kunnen wij gebruik maken van het gerechtvaardigd belang? Bedrijfsbelangen spelen immers een belangrijke rol (het gaat om de voortgang van ons bedrijf) en bij dataminimalisatie is verlies van belangrijke data klein.
A: Welke grondslag je gebruikt zul je per verwerking moeten bepalen. Dit is niet iets wat je kiest voor de gehele organisatie. Als recruitmentorganisatie zul je verschillende verwerkingen doen waarvoor vaak ook verschillende grondslagen van toepassing zullen zijn.

 

Q: Als recruitment organisatie dien je dus met iedere klant een verwerkingsovereenkomst te sluiten?
A: Dit is sterk afhankelijk van de daadwerkelijke werkzaamheden. Dat kan per klant verschillen afhankelijk van wie welk doel heeft bepaald. Er is hier niet één correct antwoord voor.

 

Q: Als met een kandidaat besproken is bij welk bedrijf wij hem voorstellen, moet dan met dat bedrijf een overeenkomst gesloten worden?
A: In dit geval ben je als bedrijf verwerkingsverantwoordelijke (je hebt het doel zelf gedefinieerd) en zul je iets willen afspreken met de partij aan wie je die gegevens toezendt. Immers, als jij verantwoordelijkheid draagt (alleen of gezamenlijk) dan wil je wel met elkaar afspreken hoe je daar mee omgaat. Als de kandidaat bijvoorbeeld niet in dienst gaat bij die partij, verwijderen zij dan de gegevens of mogen ze die gebruiken, bewaren of weer delen? Dat soort zaken wil je wel afgesproken hebben met elkaar.

 

Q: Langdurig data bewaren van kandidaten is m.i. noodzakelijk als executive search bureau. Kandidaten kom je na vele jaren weer tegen en dan is die oude informatie nuttig om erbij te gebruiken. Hoe verhoudt dit zich t.o. van de te hanteren bewaartermijnen?
A: De AVG heeft geen expliciete vermelding van bewaartermijnen. Deze zal je dus zelf moeten kunnen onderbouwen. Als voor de uitvoering van je diensten aantoonbaar te maken valt dat een langere bewaartermijn noodzakelijk is, dan kun je dit als onderbouwing gebruiken. Bij vragen kun je hierover ook met de Autoriteit Persoonsgegevens discussiëren.

 

Q: Hoe moet je volgens de AVG omgaan met klanten en contactpersonen hiervan?
A: Contactpersonen bij bedrijven zijn ook persoonsgegevens. Je dient deze dus ook veilig en netjes te bewaren. En wanneer er geen vooraf gedefinieerd doel meer geldt, zou je die gegevens dus ook moeten verwijderen.

 

Q: Op welke wijze kun je geanonimiseerde CV's nog bruikbaar houden?
A: Een echt geanonimiseerd CV bevat geen herleidbare persoonsgegevens. Daar kan het dus ook niet meer voor worden gebruikt. De waarde ervan is dus beperkt.

 

Q: In hoeverre heeft de wet terugwerkende kracht. Stel een kandidaat wil weten wat een bedrijf 3 jaar geleden heeft vastgelegd, in hoeverre moet een bedrijf hier informatie over kunnen verschaffen?
A: Je moet als organisatie verantwoording kunnen afleggen over alle persoonsgegevens binnen de organisatie. Dat doe je door te kunnen onderbouwen waarom je die gegevens hebt (doel), met welke onderbouwing (grondslag) en voor hoe lang. Dat gaat over nieuwe gegevens, maar dus ook over bestaande gegevens.

 

Q: Is het zinvol om in een arbeidsovereenkomst iets op te nemen over data die verzameld wordt?
A: Een geheimhoudingsverklaring als het gaat over omgang van persoonsgegevens namens het bedrijf kan prima. Tevens kan je een interne gedragscode toevoegen als het gaat over de omgang met persoonsgegevens.

 

Q: Hoe zit het met gegevens van klanten of prospects ten behoeve van het salesproces? Moet je toestemming hebben om prospects te mogen benaderen?
A: De AVG gaat hier deels inhoudelijk over maar ook andere wetten zijn hierop van toepassing. Dit valt onder direct marketing en dat is ook onder de AVG onder voorwaarden toegestaan.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/reclame-en-direct-marketing

Er is een nieuwe Europese verordening in de maak (E-privacy verordening) die ook hier op zal sturen.

 

Q: Waarom is een CV versturen via e-mail onveilig? (en zou het via een gemeenschappelijke opslag in de Cloud wel veilig zijn?)
A: E-mail wordt technisch gesproken niet gezien als een veilig communicatiemiddel, zolang het niet encrypted is. Bovendien heeft het een groot verwerkingrisico in zich dat het aan een verkeerde persoon verzonden kan worden. Een kandidatenportaal (met wachtwoord/gebruikersnaam) of een beveiligde upload via een website heeft minder risico’s. Maar ook daarover is niet te zeggen of het echt veilig is, immers iedere verwerking heeft een bepaald risico.

 

Q: Als je uitsluitend op basis van LinkedIn kandidaten zoekt en benadert, dan is dat een open database. Ik neem aan dat de GDPR dan niet aan de orde is?
A: De GDPR geldt hier ook. Zodra je gebruik maakt van LinkedIn als zakelijke organisatie ga je een overeenkomst aan met LinkedIn. O.a. de algemene voorwaarden en terms & conditions en het privacy statement zijn van toepassing. Hierin staat beschreven wat je wel en niet mag doen met de persoonsgegevens. De kandidaten op LinkedIn gaan ook overeenkomsten aan met LinkedIn waarin LinkedIn zal hebben aangegeven dat de gegevens openbaar kunnen worden gemaakt binnen dat netwerk. De kandidaten hebben allerlei privacy instellingen en kunnen dit ook deels beperken. Zodra jij als organisatie binnen LinkedIn zoekt, maak je dus gebruik van deze toestemming binnen dit netwerk. De AVG is dus ook hier van toepassing.

 

Q: Ik heb begrepen dat bij meer dan 100 werknemers een bedrijf verplicht is om een privacy officer aan te nemen. Geldt dit ook voor uitzendbureau met bijvoorbeeld 100 uitzendkrachten?
A: Het gaat hier om de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG). Die is in de GDPR niet gekoppeld aan het aantal medewerkers (in vorige versies wel, maar in de finale versie niet). De uitleg over wel of geen FG staat beschreven op de website van de Autoriteit Persoonsgegevens. Daar staat ook een verwijziging naar een richtlijnen document van de WP29 die hierover advies geeft. Het is helaas niet in alle gevallen exact beschreven onder welke voorwaarden je wel of geen FG moet aanstellen.