Klanten van sollicitatieplatform Homerun hebben persoonsgegevens van sollicitanten veel langer bewaard dan is toegestaan. Bekende namen zoals Tony’s Chocolonely, De Correspondent, Blendle en Amac hadden data van sollicitanten vaak jaren opgeslagen. Dat blijkt uit onderzoek van VPNGids.nl.
De Autoriteit Persoonsgegevens (AP) stelt dat gebruikelijk is dat een organisatie de gegevens van een sollicitant tot maximaal vier weken na het sluiten van de sollicitatieprocedure opslaat. Dit kan opgerekt worden tot één jaar, maar dan moet de sollicitant daar expliciet toestemming voor geven.
Bij alle bedrijven waar VPNGids.nl contact mee heeft gehad, werden deze termijnen ruimschoots overschreden. In sommige gevallen gaat het om sollicitaties van vier tot vijf jaar geleden. Zij erkennen dat dit nooit had mogen gebeuren en bieden excuses aan. Deze fout is inmiddels hersteld, waardoor gegevens van sollicitanten voortaan tijdig worden verwijderd.
Begin november schreef VPNGids.nl al over het datalek bij het Amsterdamse bedrijf Homerun. Door een kwetsbaarheid in de Apache webserver software slaagden hackers erin om op afstand opdrachten uit te voeren en zogeheten access tokens van Amazon Web Services (AWS) te stelen. Zodoende hadden de aanvallers toegang tot de gegevens van zo’n 1.500 klanten van Homerun.
Nadat het datalek bij Homerun aan het licht kwam, heeft het bedrijf haar klanten hierover ingelicht. Zij hebben vervolgens uitgezocht welke sollicitanten mogelijk de dupe zijn geworden van het lek bij het Amsterdamse bedrijf. Deze kandidaten hebben de afgelopen weken een e-mail hierover ontvangen.
Via het forum Gathering of Tweakers vertelden leden dat ze jaren geleden hadden gesolliciteerd en alsnog een e-mail hadden ontvangen waarin stond dat hun gegevens mogelijk waren ingezien door de hackers. Dit blijkt geen uitzondering, maar regel. VPNGids.nl heeft meerdere e-mails ingezien van bedrijven die erkennen persoonsgegevens van sollicitanten te lang te hebben bewaard.
Eén van die partijen is De Correspondent, een online journalistiek platform dat gefinancierd wordt door donateurs en leden. In een reactie tegenover VPNGids.nl zegt CEO en medeoprichter Ernst-Jan Pfauth dat De Correspondent niet goed heeft gehandeld.
Homerun introduceerde in 2018 een functie waarmee de gegevens van sollicitanten na één jaar automatisch werden verwijderd. Voor de gegevens van kandidaten van vóór 2018 bleek dat echter niet het geval te zijn. “We zijn ons bewust van onze verantwoordelijkheid dat wij dit alsnog handmatig hadden moeten doen (…) Bij De Correspondent staat privacy hoog in het vaandel en dit strookt daar niet mee. Daar zijn we ons goed van bewust”, aldus Pfauth.
Ook bij Tony’s Chocolonely ging het mis. Net als De Correspondent schakelde de chocolademaker over op een nieuw wervingsplatform. Dat was in april 2020. Door het datalek bij Homerun constateerde Tony’s Chocolonely dat gegevens van sollicitanten “in gevaar zijn gebracht en mogelijk zijn gelekt”. Het bedrijf ontdekte dat de gegevens van sommige kandidaten te lang zijn bewaard.
Chief Financial Officer (CFO) Jan Huij vertelt tegenover VPNGids.nl dat zijn bedrijf in de toekomst zijn uiterste best zal doen om ervoor te zorgen dat alle activiteiten aan de GDPR-voorwaarden voldoen (GDPR is de Engelse benaming voor de Europese privacywetgeving AVG). Het nieuwe sollicitatieplatform is volgens Huij “100 procent GDPR-compliant”. Daarmee bedoelt hij dat persoonsgegevens van kandidaten die bij het bedrijf solliciteren nu binnen vier weken automatisch worden verwijderd.
Amac, dat sinds medio 2021 de enige Apple Premium Reseller in Nederland is, was eveneens slachtoffer van het datalek bij Homerun en ook hier zijn gegevens te lang bewaard. Hoe dat heeft kunnen gebeuren, is onduidelijk. In een reactie vertelt Amac dat bij veel kandidaten de gegevens waren verwijderd, maar dat deze data “op de achtergrond” beschikbaar bleef in het platform van Homerun. “Daar waren wij ons tot onze spijt niet van bewust, anders was dit nooit gebeurd”, aldus het bedrijf.
Amac stelt dat het om een vergissing gaat. “Het is nooit onze intentie geweest de gegevens van sollicitanten langer te bewaren. We hebben een privacybeleid dat als doel heeft de gegevens van onze medewerkers, klanten en sollicitanten te beschermen. Dit incident past niet bij dat beleid”, zo laat het bedrijf aan ons weten. Om herhaling in de toekomst te voorkomen, worden gegevens van sollicitanten voortaan automatisch verwijderd bij Homerun.
Een andere grote naam die getroffen is door het datalek bij Homerun, is Blendle. Blendle is een dienst waar gebruikers voor een vast maandelijks bedrag losse artikelen uit alle grote Nederlandse dagbladen en tientallen tijdschriften kunnen lezen en heeft meer dan een miljoen abonnees. Blendle heeft eveneens een e-mail aan kandidaten die ooit bij het bedrijf hebben gesolliciteerd gestuurd en erkent de persoonsgegevens te lang te hebben bewaard.
Blendle zegt direct maatregelen te hebben genomen om ervoor te zorgen dat het niet nog een keer gebeurt. “We hebben ons databeleid inzake sollicitanten aangescherpt en gaan de bewaartermijn van gegevens aanzienlijk verkorten”, belooft Chief Marketing Officer (CMO) Willem Jan Lems.
Een andere prominente klant die de dupe is van het datalek bij Homerun, is Prowise. Prowise ontwikkelt software waarmee leerkrachten in het basis-, voortgezet en hoger onderwijs hun eigen lessen kunnen maken en voorbereiden. Het bedrijf is actief in 26 landen en telt meer dan 800.000 gebruikers wereldwijd.
“Wij verwijderen sollicitatiegegevens periodiek uit al onze applicaties binnen de daartoe gestelde bewaartermijn, tenzij we toestemming hebben ontvangen om deze langer te bewaren”, schrijft Human Resource Director Jolanda van Oers aan sollicitanten die in het verleden bij Prowise hebben gesolliciteerd. “Uw gegevens zijn hierbij mogelijk over het hoofd gezien en dat betreuren wij zeer. Uiteraard hebben we uw gegevens na ontdekking direct handmatig verwijderd uit Homerun wanneer het sollicitatieproces is afgerond voor de vacature waarop u heeft gesolliciteerd.” Tevens zegt Van Oers toe dat “het interne proces van opschoning van data van sollicitanten” is geoptimaliseerd.
Door het datalek bij Homerun is gebleken dat alle klanten die wij hebben gesproken persoonsgegevens van sollicitanten te lang bewaren. Organisaties zijn zelf verantwoordelijk voor het handhaven van de bewaartermijn van vier weken. Bij overtreding kunnen werkzoekenden een klacht indienen bij de AP. De toezichthouder bepaalt of het al dan niet een boete oplegt. In dit soort gevallen deelt de privacywaakhond veelal een waarschuwing uit.
Momenteel wachten meer dan 10.000 Nederlanders op afhandeling van hun klacht. Op haar eigen website waarschuwt de AP dat het ongeveer een half jaar duurt voordat een klacht in behandeling wordt genomen.
Het is niet voor niets dat we in Nederland een bewaartermijn van vier weken hanteren voor persoonsgegevens van sollicitanten. Dergelijke data langer bewaren is om te beginnen niet zinvol: kandidaten zetten hun zoektocht naar een baan voort. Als ze elders wel aan de bak komen, is hun cv achterhaald. Daarnaast gaat het om vertrouwelijke en privacygevoelige informatie van werkzoekenden. Dit soort gegevens horen niet onnodig lang in de handen van potentiële werkgevers te blijven.
Sollicitanten lopen daarbij het gevaar dat hun gegevens worden buitgemaakt door hackers. Zoals het datalek bij Homerun aantoont zit een ongeluk in een klein hoekje. Met mogelijk verregaande gevolgen. Persoons- en contactgegevens zijn goud waard voor cybercriminelen. Deze data kunnen zij gebruiken voor phishing, identiteitsdiefstal, WhatsApp-fraude, spam en stalking. Of om door te verkopen aan de hoogste bieder.
