GDPR gedoe in recruitment land – Deel 3

Wbp
Delen

We zijn weer een week verder en weten nu gelukkig ook wat meer over GDPR. Allerlei leveranciers en deskundigen beginnen zich te roeren en dat is fijn. Kunnen we wat van leren zou je denken, of weten zij het eigenlijk ook niet? Zoals bij alle nieuwe wetgeving weet je het pas echt zodra de eerste rechtszaken zijn geweest en de rechter zijn oordeel heeft gegeven. Om daar nu op te wachten is volgens mij niet slim. Maar het is wel de waarheid. Zonder straf of uitspraken weten we niet goed hoe zwaar en impactvol deze wetgeving zal zijn.

In GDPR gedoe deel 1 en deel 2 schreef ik al eerder dat de basis van deze wetgeving voor recruitment de bescherming van data van de kandidaat is. Kern is en blijft of het ook echt zijn/ haar data is. Mag de kandidaat gaan bepalen wie er wel of niet iets van hem of haar mag bewaren? Of ter inzage mag hebben? Kunnen huidige op de markt zijnde recruitmentsystemen hier al in voorzien (of is het een excel export rapport?)? En welke voorwaarden gaan er gelden voor deze zaken?

Gegevens die we als recruiter gebruiken

Nog even een korte samenvatting van wat we tot nu toe weten over GDPR. Deze wet zal al per 25 mei 2018 ingaan, mede onder de naam Algemene verordening gegevensbescherming (AVG/GDPR). Deze wet gaat vanaf dan ook gelden voor persoonsgegeven die thans/ tot nu toe (vrij) via een openbare bron te vinden zijn. De wet GDPR/AVG wordt dus geschreven voor alle verwerkingen van persoonsgegevens. Ongeacht de status van de bron of waar je de gegevens vandaan hebt. Of je nu een W&S bureau bent met een zelf opgebouwd nieuwsbriefbestand hebt of dat je als Corporate Recruiter e-mailadressen uit LinkedIn of Facebook haalt en deze vervolgens in je ATS zet. In beide gevallen zul je moeten laten zien dat je een wettelijke grondslag hebt om dit te mogen doen.

Met andere woorden, vertel maar eens:

1. Waar is de gegeven toestemming?

2. Voor welk contract of overeenkomst is deze verwerking?

3. Welke belangenafweging voor wat betreft privacy waarborgen heb je gemaakt?

Een rechter zal ook kijken of er geen andere manier is om aan kandidaten te komen (bv adverteren) en zal dat mee gaan wegen als het gaat om privacy bescherming van de kandidaat.

GDPR: Belang recruiter vs individueel privacybelang?

Wat ik tot nu toe begrijp is dat we denken dat bij informatie uit openbare bronnen je mag veronderstellen dat daar toestemming voor hergebruik is gegeven (waarom zijn ze dan ook openbaar?). De kandidaat zet het zelf op zijn linkedin profiel of op internet.

Onder de AVG is toestemming alleen rechtsgeldig gegeven als deze specifiek is gegeven. In het geval van openbare gegevens of linkedin adressen heb je daar geen specifieke toestemming voor, dus zul je dus apart om moeten vragen. Daarbij moet je gaan aangeven dat je de persoon een nieuwsbrief wilt mailen of wilt uitnodigen voor een evenement, Er zal dus eens specifiek doel moeten zijn. En ‘alles mag’ is het tegenovergestelde van specifiek. Het verwerken van iemands gegevens, mogelijk zonder toestemming mag niet meer. Maar er lijkt een maas in de wet te zijn.

Je mag wel gegevens verzamelen mits er een duidelijke belangenafweging is geweest. En dat het gerechtvaardigd is én je zo veel mogelijk rekening hebt gehouden met de privacy van de kandidaat. Dat gaat hier meteen mis: Met het verwerken van persoonsgegevens wordt er een inbreuk gemaakt op belangen of fundamentele rechten van de potentiële kandidaat. De kandidaat zit namelijk niet altijd te wachten op nieuwsbrieven, vragen op de mail, etc.

Dus of je nu een zelf opgebouwd nieuwsbriefbestand hebt, of e-mailadressen uit LinkedIn haalt, in beide gevallen zul je moeten laten zien dat je een grondslag uit de wet hebt om dit te mogen doen.

Sourcing is onder GDPR misschien wel over!

Bovenstaande heeft dus behoorlijk wat impact als het gaat om sourcing van kandidaten. Voor sourcing zul je dus toestemming van de kandidaat moeten krijgen als het gaat om zijn of haar data. Echter om deze toestemming te krijgen heb je een naam, emailadres of telefoonnummer nodig, Maar…, dat zijn persoonsgegevens en die vallen onder GDPR. Daarmee kun je dus niet zo maar mee aan de slag.

Je voelt het al aankomen, bij sourcing gaat het straks om een juridische balans te vinden tussen de gegevens van de kandidaat of lead en het belang wat jij als recruiter hebt (geld verdienen). Je zult het dus heel goed moeten onderbouwen wanneer je gegevens gebruikt van openbare bronnen of sociale profielen. Niet iedereen wil benaderd worden voor een baan en stel je voor dat men een klacht gaat indienen.

Verplicht werken met opt-in

Eigenlijk wisten we dit al maar een recruiter en sourcer zal moeten gaan werken met opt-ins. Nu gaat het onderdeel worden van het proces. Geen goedkeuring bij het eerste contact met de kandidaat, dan kunnen we gewoon niet verder. Ik verwacht dat LinkedIn, Facebook en jobboards snel met nieuwe opt-in’s gaan komen. Besef dan goed dat je helder formuleert waar deze op-in voor zal gelden en het bundelen van verschillende doelen (nieuwsbrief, event, talenpool, tec..) niet meer kan.

Wat ik ook heb begrepen is dat het opslaan van de bekende strings (oa in talentsonar, sourcehub, hiringsolved, etc.) met gegevens of het opslaan van sociale profielen van strings (vaak automatisch) ook vallen onder persoonsgegevens en dus problematisch worden.

Gaat de privacy van de kandidaat de komende jaren de boventoon voeren, dan zie ik het somber in voor de sourcers. In de afweging zal een rechter kijken naar de privacy impact van het individu ten opzichte van jouw belang als sourcer en ik denk dat ik weet wie er dan gaat winnen. GDPR heeft immers als doel data minimization en ongeoorloofde data opslag tegen te gaan. Er is een positieve kant en dat is als een kandidaat eenmaal goedkeuring heeft gegeven je met hem aan de slag mag, zolang hij maar niet op de opt-out knop drukt.

Meer lezen over GDPR?


Delen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *