HR is verantwoordelijk voor de sollicitatieprocedure binnen organisaties en komt in aanraking met de verwerking en opslag van persoonsgegevens. Het is belangrijk om aandacht te besteden aan het verzamelen, verwerken en bewaren van sollicitatiegegevens, evenals het waarborgen van de (privacy)rechten van sollicitanten. Er zijn veel voorbeelden waar dit niet goed geregeld is. Zo werd bij een hack van een recruitment platform pijnlijk duidelijk dat veel organisaties hun sollicitatiegegevens veel te lang bewaren. Laten we de belangrijkste punten op een rijtje zetten zodat de HR-afdeling een rechtmatige, transparante en ethische sollicitatieprocedure kan waarborgen.
De AVG (1) stelt specifieke eisen aan het verwerken van persoonsgegevens, die gelden onverminderd voor de sollicitatieprocedure. De organisatie dient een doelbinding en grondslag te hebben. Er zijn meerdere grondslagen voor de verwerking van persoonsgegevens voor werving en selectie. De verwerking van de sollicitatie (cv en motivatie) valt onder Artikel 6 lid 1 sub b AVG: verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen. Dit is echter alleen aan de orde als het daadwerkelijk een functie (contract) betreft waar de betrokkene op heeft gesolliciteerd.
Voor verwerkingsactiviteiten in het kader van online werving en headhunting, moet een organisatie zich beroepen op het gerechtvaardigd belang als grondslag (Artikel 6 lid 1 sub f AVG). Een organisatie mag nooit meer gegevens verzamelen dan noodzakelijk voor het doel, het invullen van bewuste vacature. Daarbij is er ook een informatieplicht richting sollicitanten. Wijs sollicitanten ook op hun privacy rechten om te voldoen aan deze informatieplicht. Een link naar uw privacyverklaring in de vacature is dan ook zeker het advies.
U mag als organisatie, tijdens de sollicitatieprocedure, geen bijzondere persoonsgegevens van sollicitanten verwerken zoals het BSN, informatie over gezondheid, ras en religie. Tenzij er een wettelijke uitzondering is zoals bijvoorbeeld wanneer een sollicitant een medische keuring moet ondergaan. Hier zitten strenge voorwaarden aan vast en mag alleen als de openstaande functie bijzondere eisen stelt volgens de Autoriteit Persoonsgegevens (AP) (2). Het is dus niet standaard bij een reguliere vacature.
Pas wanneer de sollicitant wordt aangenomen en dus uw werknemer wordt, bent u verplicht om bijzondere persoonsgegevens te verwerken zoals het BSN en kopie van het identiteitsbewijs om uitvoering te geven aan de overeenkomst tussen werkgever en werknemer. Daarbij kunt u ook het curriculum vitae, een eventuele motivatiebrief en een eventuele screening verwerken in het personeelsdossier van uw nieuwe werknemer. Het verwerken van gegevens over gezondheid, ras en religie is niet noodzakelijk om uitvoering te geven aan deze overeenkomst.
Vaak worden sollicitanten ook gescreend wanneer zij in de sollicitatieprocedure zitten. Hierbij is het belangrijk om met een aantal zaken rekening te houden.
Geef bij de vacature duidelijk aan hoe de sollicitatieprocedure eruit ziet. Wellicht zijn er meerdere gesprekken, of is een assessment onderdeel van de sollicitatieprocedure. Het is noodzakelijk om te vermelden wanneer een screening onderdeel van de sollicitatieprocedure is.
De screening kan op verschillende manier worden ingevuld.
Screening van diploma’s; dit is mogelijk op basis van de grondslag toestemming. De sollicitant kan een diploma overzicht opvragen via DUO en deze met u delen;
Screening voor strafrechtelijke gegevens en/of fraude in het EVA-register;
Het aanvragen van een VOG; meer informatie vindt u in dit artikel (3);
Het nabellen van ex-werkgevers wanneer de sollicitant deze als referent heeft opgegeven. De sollicitant geeft toestemming voor het afgeven van gegevens over zijn persoonlijkheid en het functioneren, wat in de praktijk als een lichte versie van een getuigschrift wordt gezien;
Screening van social media accounts zoals Facebook; dit is mogelijk op basis van de grondslag toestemming. Deze toestemming dient vooraf gegeven te worden en maak vooraf ook in de sollicitatieprocedure duidelijk dat de informatie op een later moment besproken kan worden. Dit blijft een gevoelige en lastige kwestie, want het mag alleen wanneer het noodzakelijk is voor een specifieke functie en is dus niet standaard.
De aanbevolen bewaartermijn voor het bewaren van sollicitatiegegevens is 4 weken, zoals de AP hier aangeeft (4). Nadat de sollicitatieprocedure is afgerond of de kandidaat is afgewezen dient deze 4 weken te worden gehanteerd. Het is mogelijk om de sollicitatiegegevens tot maximaal een jaar te bewaren, wat als een redelijk termijn wordt gezien. Hiervoor dienen organisaties toestemming te vragen bij de sollicitant. Vaak is dit een digitaal akkoord gestuurd via een e-mailbericht en jaarlijks dient het akkoord opnieuw te worden gevraagd.
Bij een aangenomen sollicitant kan het curriculum vitae en eventuele motivatiebrief worden opgenomen in het personeelsdossier, net zoals de VOG of andere sollicitatiegegevens die tijdens de sollicitatieprocedure zijn verwerkt. Zorg ervoor dat de verwijdering van de gegevens tijdig en volledig wordt uitgevoerd, volgens de opgestelde passende bewaartermijnen.
Let op dat deze verwerking, de beoordeling van sollicitaties en selectieprocessen, ook in het Register van Verwerkingen van de organisatie dient te staan zodat u als organisatie zich houdt aan de AVG verantwoordingsplicht.
Daarbij is er wellicht een Data Protection Impact Assessment (DPIA) noodzakelijk voor deze verwerking, omdat zeker bij screening er een hoog privacy risico aanwezig is.
Als persoonsgegevens worden overgedragen buiten de Europese Economische Ruimte (EER), zorg dan voor passende waarborgen, zoals het gebruik van modelcontractbepalingen of Binding Corporate Rules. Voor meer informatie hierover zie dit artikel (5) & ook dit artikel (6) wat wij eerder schreven.
Het komt vaak voor dat het betreffende recruitment systeem door een leverancier is geleverd. Hierdoor is het van belang dat er een overeenkomst is met deze externe leverancier en de beveiliging adequaat en passend is. Aanvullend dient de toegang binnen de organisatie ook beperkt te worden volgens een informatiebeveiligingsbeleid.
Het is ook van belang om nogmaals de bewaartermijnen te benoemen. Zorg ervoor dat er een bewaartermijnenbeleid is opgesteld en de opgestelde bewaartermijnen ook in de praktijk worden uitgevoerd in HR dossiers, eventuele recruitment systemen, of mailboxen etc.
Algemene Verordening Gegevensbescherming
https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/sollicitaties/gegevens-over-gezondheid-bij-sollicitaties
Hoe betrouwbaar is een Verklaring Omtrent het Gedrag (VOG)?
https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/sollicitaties/persoonsgegevens-van-sollicitanten
Privacy Shield ongeldig: wat kunt u doen?
Nieuw adequaatheidsbesluit voor gegevensuitwisseling tussen Europa en de VS
