GDPR gedoe in recruitment land – Deel 4 (Sourcen)

      Reacties uitgeschakeld voor GDPR gedoe in recruitment land – Deel 4 (Sourcen)
Wbp
Delen

We zitten alweer een flink aantal dagen in 2018 en de deadline van GDPR (25 Mei dit jaar) komt met rasse schreden dichterbij. Ondertussen ben ik al aardig ingeburgerd in het wereldje van GDPR/ AVG en zie ik om me heen wat leveranciers en bedrijven zoal (moeten) doen om stappen te nemen in de goede richting. Zoals bij alle nieuwe wetgeving weet je pas echt of je goed zit zodra de eerste rechtszaken of uitspraken zijn geweest.

Even een GDPR resumé tot nu toe

In GDPR gedoe deel 1 en deel 2 schreef ik dat de basis van deze wetgeving voor recruitment de bescherming van data van de kandidaat is. Kern is en blijft of het ook echt zijn/ haar data is. Mag de kandidaat gaan bepalen wie er wel of niet iets van hem of haar mag bewaren? In deel 3  ben ik ingegaan op wat wij als recruitment zoal doen met deze data en privacy gevoelige gegevens. Hebben we wel toestemming voor al deze persoonsdata en hoe zit het met de belangen van deze gegevens? Verder wordt in deel 3 aangegeven dat er een legitiem doel moet zijn om deze gegevens te bewaren en/ of kandidaten te contacten waar men weer toestemming voor moet geven. Kortom, het blijft een gedoe:-(

Sourcen en GDPR

Onder GDPR is het best lastig om te sourcen van kandidaten waar je geen gegevens over hebt. Immers, het belang van privacy van de potentiële kandidaat versus het commercieel belang van jou als recruiter staat m.i. in het voordeel van de privacy van de kandidaat. Het benaderen van de kandidaat kan immers ook op een andere wijze. Bijvoorbeeld via een campagne of het posten van een vacature bv op een jobboard. Je hoeft deze kandidaat dus niet te sourcen en er is een grote kans dat deze daar ook niet op zit te wachten (en kan dus een klacht indienen). Hoe dan contact op te nemen met kandidaten?

Om je in te dekken en de regels te volgen kun je bij het benaderen van potentiële kandidaten moeten werken met een opt-in. Je zult dus toestemming moeten vragen middels een opt-in om de gegevens van kandidaten te mogen gebruiken.

Voorbeeld opt-in inmail

Beste Bert,

Tijdens mijn search/ zoektocht naar kandidaten voor de vacature van ……. kwam ik toevallig jouw profiel tegen op LinkedIn/ Facebook/ website/…..  En wanneer ik kijk naar de vacature zou het een perfecte match zijn met jouw profiel.

Graag zou ik je meer informatie over de rol willen sturen en je op een geschikt moment willen bellen om te zien of het echt bij je past. Hiervoor heb ik echter wel jouw toestemming nodig. Verder hoor ik graag of je eventueel geïnteresseerd bent of belangstelling hebt?

Uiteraard behandelen we je persoonsgegevens vertrouwelijk en hanteren we een privacy policy, dit conform de wet GDPR/ AVG (verwijzing naar website of eigen policy)

Toestemming (Ja) – (Nee) 

Met vriendelijke groet, 

Ernie

 

Conform GDPR moet je voor dit soort mailtjes een doel formuleren. Dit doel kan dus belangstelling (registratie) potentiële kandidaten voor vacature X zijn. Je zult dan wel de rechtmatig verkregen opt-ins goed moet registreren en bijhouden en wie niet akkoord is verwijderen. Verder mag je in deze fase, conform GDPR, slechts het minimale aan persoonsgegevens opslaan.

Toestemming voor opslaan van de gegevens moet expliciet zijn, betekent dat je niet alle disclaimers in één alinea kunt bundelen. (Dus NIET: toestemming voor deze vacature en ALLE toekomstige vacatures en evenementen. Ook NIET: Mijn collega’s kunnen ook je gegevens zien, evenals de rest van de organisatie. En je krijgt al onze nieuwsbrieven…etc.). Duidelijk het doel formuleren en (helaas) per doel dus toestemming vragen voor het opslaan en gebruiken van de data.

Als je zelf kandidaat-gegevens hebt verzameld uit sociale profielen zoals Github, Stackoverflow etc. moet je hiervoor toestemming hebben van de kandidaat. Natuurlijk voordat je hun gegevens verwerkt in je ATS of sourcing tool.

Verrijk je deze gegevens vanuit andere bronnen, dan zul je daar ook toestemming voor moeten hebben (dus vragen) en kun je dat niet ongebreideld doen.

Samenvattend opt-in

Als je potentiele kandidaten benaderd dan moet je:

  • In eerste instantie zo weinig mogelijk gegevens opslaan voor het eerste contact
  • Moet je duidelijk aangeven waar je hun gegevens hebt gevonden en toestemming hebben gevraagd om contact met hen op te nemen
  • Toestemming vragen voor het verwerken en opslaan van de persoonsgegevens
  • Aangeven voor welk doel
  • Zorgdragen voor veilige opslag
  • Aangeven wie er toegang hebben tot de gegevens van de kandidaat

Regels contacten potentiële kandidaten

Er bestaan al regels die toestemming eisen voor e-mails, voorafgaand aan het contacteren van kandidaten. Dit geldt al voor de meeste landen, niet alleen in Europa, maar ook in Australië en Canada. In Nederland geldt dat je als bedrijf geen commerciële boodschap mag sturen naar bedrijven of particulieren. Behalve als er een factuurrelatie is, of als de ontvanger actief toestemming heeft gegeven (bv opt-in).

Meer uitgebreid: De privacywetgeving is onderdeel van de Telecommunicatiewet en beschermt de ontvanger tegen ongevraagde reclameboodschappen of spam. Officieel zegt de wetgeving dat het niet is toegestaan om zonder toestemming elektronische berichten te versturen via een geautomatiseerd systeem.

LinkedIn connecties exporteren, om ze vervolgens aan te schrijven met een mailing, mag dus al niet. Het meenemen van je LinkedIn contacten in de nieuwsbrief is dus niet toegestaan. Ook niet van de followers van je bedrijfspagina of fan pagina. Ook hiervoor geldt: toestemming vooraf vragen. Wanneer je het wel doet zul je moeten kunnen aantonen (door middel van een opt-in) dat er een toestemming aanwezig is. Besef dan wel dat je hiermee de eigenaar van de data recht geeft om zijn profielgegevens in te zien, te verhuizen en te laten verwijderen.

Persoonsgegevens en speciale gegevens

Binnen de regelgeving rondom bescherming persoonsgegevens maakt de EU onderscheid in persoonlijke en speciale gegevens. Persoonlijke data verwijst naar het privé-, professionele of publieke leven van een burger. Dit kan van alles zijn: een foto, naam, e-mailadres, bankgegevens, post’s op social media, functioneringsbeoordelingen, abonnementen, aankopen, opleiding, loginnamen en wachtwoorden, hobby’s en IP-adres.

Bij sourcen, maar ook bij het analyseren van bezoekers op je werkenbij site, gebruik je deze gegevens en heb je toestemming nodig! Verder zul je moeten nadenken hoe je minder gegevens kunt opslaan en wat echt relevant is.

De EU eist extra voorzichtigheid als het gaat om gegevens van minderjarigen. Daarnaast ook voor data die voor bepaalde mensen een groter veiligheidsrisico met zich meebrengt. GDPR bestempelt bepaalde persoonlijke gegevens als ‘speciale data’. Het is verboden om dergelijke gegevens te verwerken (ook niet voor rapportage doeleinden dus), tenzij hier vrijstelling voor is aangevraagd en is toegekend. Het gaat dan om gegevens over etnische afkomst, politieke opvattingen, levensovertuiging, genetische gegevens, medische gegevens, seksuele geaardheid en strafrechtelijke gegevens. Bij het registreren van data (ook van social media) zul je heel goed moeten opletten welke data je opslaat. En of je daar wel of geen vrijstelling voor moet aanvragen. Als het bijvoorbeeld gaat om etnische afkomst zul je dus moeten opletten wat je registreert.

 

Dit was het weer voor deze week. Volgende week maar op naar deel 5!

 

Meer lezen over GDPR?


Delen