Op 25 mei 2018 wordt de nieuwe Algemene verordening gegevensbescherming (AVG) van kracht. De AVG heeft ook impact op werving en selectie, de sollicitatieprocedure en de privacy van (mogelijke) kandidaten. Hoe ga je hier als werkgever mee om?

Belangrijk is dat je zeer zorgvuldig met persoonsgegevens moet omgaan. Dit houdt in dat je kandidaten in detail dient te informeren over het gebruik van hun persoonsgegevens: voor welke doelen worden deze gebruikt? Op basis van welke wettelijke grondslag? Voor hoe lang worden de gegevens bewaard? Worden ze gedeeld, en zo ja, met wie? Ook dien je kandidaten te informeren over de rechten die zij hebben met betrekking tot hun persoonsgegevens

Als basis is het verstandig om de NVP Sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP) als uitgangspunt te gebruiken bij de werving en selectie van nieuwe medewerkers. Deze sollicitatiecode is gebaseerd op de pijlers eerlijkheid, vertrouwelijkheid en zorgvuldigheid. Daarbij is bescherming van de privacy essentieel.

De NVP Sollicitatiecode bevat basisregels die arbeidsorganisaties (bedrijven en instellingen die arbeidsrelaties aangaan) en sollicitanten naar het oordeel van (NVP) in acht behoren te nemen bij de werving en selectie ter vervulling van vacatures.

Het doel van de code is een norm te bieden voor een transparante en eerlijke werving en selectieprocedure. De code is chronologisch opgebouwd vanaf het ontstaan van de vacature tot de aanstelling. Een arbeidsorganisatie kan de (toepassing van de) code aan haar eigen specifieke situatie aanpassen, zo daartoe aanleiding bestaat. Zo heb je in ieder geval de basis goed geregeld.

Wat moet je in ieder geval regelen als werkgever met betrekking tot werving en selectie?

Stel een ‘privacyverklaring werving & selectie’ op waarin je sollicitanten informeert over hoe je als werkgever omgaat met persoonsgegevens en plaats deze duidelijk vindbaar op jouw website. Verwijs in je vacatures hier altijd naar. Hiermee ondervang je problemen indien je vacature wordt doorgeplaatst op een andere website dan je eigen bedrijfswebsite. Let wel, dit is alleen afdoende tijdens de procedure van de werving en selectie.

Verwijs sollicitanten bij het eerste contact expliciet naar jouw privacyverklaring. Bij sollicitanten zal het eerste contactmoment veelal het toezenden van een ontvangstbevestiging op de sollicitatie zijn. Je kunt hiervoor de volgende tekst gebruiken:

‘Wij maken u erop attent dat wij de persoonsgegevens die u ons heeft verstrekt en eventueel nog zult verstrekken, zullen verwerken op de manier zoals wij die in onze privacyverklaring hebben omschreven. Onze privacyverklaring is in te zien via [hyperlink invoegen]. Mocht de hyperlink onverhoopt niet werken, neemt u dan contact met ons op: (naam bedrijf), (adres), (plaats), (e-mail) en (telefoonnummer).’

Op het moment dat je een vacature online zet en je hierop een reactie ontvangt, dien je te voldoen aan de AVG. Heel veel sollicitatieprocedures verlopen tegenwoordig via Internet en vaak via geautomatiseerde systemen, waarin gegevens worden opgeslagen van sollicitanten. De sollicitant dient altijd toestemming te geven om de gegevens te verwerken. Deze toestemming moet vrijwillig worden gegeven, de sollicitant moet volledig op de hoogte zijn wat de toestemming inhoudt en deze moet ondubbelzinnig worden gegeven. Dit moet dus een actieve handeling inhouden, door bijvoorbeeld een extra vakje aan te vinken op een digitaal sollicitatieformulier.
Let op: deze toestemming mag niet zijn opgenomen in andere vragen om toestemming!
Hoe je hiermee omgaat binnen jouw bedrijf kun je ondervangen door de eerder genoemde privacyverklaring. In vacatures kun je dan altijd hiernaar verwijzen.

In een geautomatiseerd systeem mogen geen gevoelige gegevens worden opgeslagen. Denk hierbij aan zaken zoals ras, geloofsovertuiging, geaardheid, gezondheid, lid politieke partij en meer. En er mogen geen onnodige gegevens worden opgeslagen, zoals bijvoorbeeld een kopie van een identiteitsbewijs. De gegevens moeten altijd nodig zijn voor het doel. Alle gegevens in een geautomatiseerd systeem dienen goed beveiligd te zijn. Denk hierbij ook aan de bevoegdheden wie deze gegevens mag inzien. Maar ook of de sollicitant zijn eigen gegevens mag inzien, kan wijzigen en/of verwijderen. Ook het doorsturen van gegevens, in de vorm van enkel een CV dient te worden beschreven.

In sommige recruitmentsystemen is het zo dat er, zonder menselijke tussenkomst, een besluit wordt genomen of aan de gestelde criteria is voldaan. Op het moment dat de sollicitant niet wordt uitgenodigd, kan de sollicitant een inzageverzoek indienen om te achterhalen of het besluit om hem af te wijzen middels een automatisch besluit is genomen. Is dit het geval dan kan de sollicitant zich beroepen op artikel 22 van de AVG. Op dat moment moet de organisatie dus een nieuw besluit nemen waarbij dan wel een mens de gegevens heeft beoordeeld.

Indien een sollicitant niet is aangenomen dienen de opgeslagen gegevens binnen een redelijke termijn te worden verwijderd, of eerder indien de sollicitant er zelf om vraagt. Echter, het kan zo zijn dat je het CV zo interessant vindt dat je deze wilt bewaren voor een eventuele andere (toekomstige) functie. Hiervoor dien je altijd expliciet toestemming te vragen aan de sollicitant en daarin ook duidelijk de rechten en plichten te vermelden zodat deze altijd op de hoogte is. De richtlijnen hiervoor dien je te hebben beschreven in je privacyverklaring. Let hierbij op dat ook de bewaartermijn goed benoemd is. Leef deze ook na en houd je privacyverklaring altijd up-to-date.

Een sollicitant heeft altijd het recht om in te zien wat je hebt vastgelegd aan gegevens. Hieronder vallen niet alleen gegevens opgenomen in de geautomatiseerde systemen, maar ook extern ingewonnen gegevens, b.v. via een assessment of screening. Verder heeft de sollicitant altijd het recht om je te verzoeken zijn gegevens te verwijderen. Hier dien je dan altijd binnen 4 weken aan te voldoen en hem zodanig te informeren.

Vaak worden er aantekeningen gemaakt tijdens het sollicitatieproces. Als je deze alleen voor eigen gebruik houdt en niet deelt met anderen of ze in een systeem zet, hoef je ook niet te voldoen aan de AVG. Zodra je ze wel deelt, dien je te voldoen aan de AVG in het sollicitatieproces. Het zoeken op internet naar achtergrondinformatie over de sollicitant mag je sowieso niet zomaar doen. Het is anders als de informatie van het internet ter zake doet bij het uitvoeren van de functie.

De aantekeningen die je hebt gemaakt tijdens het sollicitatieproces en die niet ter zake doen bij het in dienst treden, mogen niet worden opgenomen in het personeelsdossier na het aannemen van de sollicitant. Uitzonderingen hierop zijn gemaakte afspraken, het is dan zaak om deze goed vast te leggen en te bevestigen door beide partijen. Denk hierbij aan extra arbeidsvoorwaarden of afspraken over bijvoorbeeld verlof.

Schakel je een externe partij in voor (een gedeelte van) het werving en selectieproces dan gelden dezelfde regels. Voor schriftelijke communicatie tussen jou en de derde partij geldt dat als er persoonsgegevens in gemeld staan die niet langer nodig zijn, deze moeten worden verwijderd of geanonimiseerd. Verder geldt natuurlijk in algemene zin dat b.v. mailservers goed beveiligd zijn – ook met het oog op andere persoonsgegevens die daar mogelijk op staan.

Tegenwoordig worden er ook vaak kandidaten gezocht via Sociale Media. Dat kan nog steeds maar alleen via Sociale Media die bedoeld zijn om iemands competenties kenbaar te maken. Dus bijvoorbeeld LinkedIn, of via Twitter als iemand veel twittert over zijn vakgebied. Zoeken via Facebook valt hier niet onder omdat mensen vooral privézaken posten die niet werk gerelateerd en dus niet relevant zijn.
Ook worden sollicitanten vaak gegoogeld om meer te weten te komen. Vanuit de AVG wordt geëist dat er vooraf een duidelijke belangenafweging wordt gemaakt en dat er maatregelen worden genomen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind je dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens?
Gebruik gegoogelde informatie alleen als die relevant is voor de aanname, maar sla het niet zomaar op. Deze informatie moet je in de regel eerst overleggen met de sollicitant (wederhoor) voordat je er een beslissing op baseert.
Het is daarom verstandig om hierover ook iets in de privacyverklaring te melden. Leg uit waarom je dit doet en wat er met de resultaten gebeurt en dat je deze resultaten (en jouw bevindingen daarop) deelt met de sollicitant.

Nog even alles kort op een rijtje.
Met de volgende (AVG-)normen dien je in de sollicitatieprocedure, in elk geval rekening te houden:

  • stel een ‘privacyverklaring werving & selectie’ op waarin je sollicitanten informeert over hoe je als werkgever omgaat met persoonsgegevens en plaats deze duidelijk vindbaar op jouw website;
  • bewaar gegevens van kandidaten niet langer dan strikt noodzakelijk, de termijn in de sollicitatiecode is vier weken; bewaar en bewerk alleen die gegevens die noodzakelijk zijn voor het sollicitatiedoel, en omschrijf dat doel duidelijk;
  • zorg ervoor dat de gegevens tijdig en overal worden verwijderd. Het is daarom belangrijk vast te leggen waar gegevens worden opgeslagen. Denk hierbij aan het recruitmentsysteem, de e-mails of uitgeprinte versies;
  • indien je gegevens langer wilt archiveren (ga in eerste instantie uit van een jaar), zorg dan voor expliciete toestemming van de kandidaat en vraag jaarlijks nogmaals expliciet deze toestemming als je de gegevens langer wilt bewaren;
  • ook voor het gebruik van beeldmateriaal van de kandidaat heb je expliciete toestemming nodig;
  • je mag vragen te solliciteren via een brief of video maar video niet verplichten;
  • archiveer geen gegevens van ras/etniciteit, geloof, gezondheid, politieke opvattingen, vakbondslidmaatschap, seksuele geaardheid;
  • kandidaten hebben recht op inzage van de gearchiveerde gegevens en op correctie en verwijdering;
  • Google niet zomaar kandidaten, dit kan alleen bij een vooraf gemaakte duidelijke belangenafweging;
  • benader alleen zelf kandidaten (bijvoorbeeld via Sociale Media) als er een gerechtvaardigd belang bij die kandidaat bestaat; check dit altijd eerst.

Nadere informatie over De NVP Sollicitatiecode vind je op: https://nvp-plaza.nl/sollicitatiecode

Bron: NVP Sollicitatiecodecommissie; CrossWise HRM & Organisatie