4 praktische vragen over privacy op je werken-bij-website

Written by: Endouble Endouble
Blog

Lees in: English

Eén jaar AVG en je bent compliant. Maar schaf je een nieuwe carrièresite aan, dan zit je toch weer met vragen. Want hoe beschermt de website de persoonsgegevens van je kandidaten?

Nog niet zo lang geleden hadden we gewoon een aantal oude excelletjes met contactgegevens van oud-kandidaten achter de hand. Ergens in een mapje op de gezamenlijke recruitmentschijf. Wie het beter had georganiseerd, had een talentpool in het ATS die met de jaren groeide en groeide. 

Hoewel dit onder de ‘oude’ Wet bescherming persoonsgegevens (Wbp) al niet mocht, viel het kwartje bij veel werkgevers pas vorig jaar onder dreiging van enorme boetes onder de AVG. 

Veel van ons zijn inmiddels - bijna - AVG-proof. Toch krijgen we bij het bouwen van nieuwe carrièresites voor klanten nog veel vragen hoe de nieuwe website de privacy van kandidaten waarborgt. Daarom in dit blog de meest gestelde:

  1. Wie is er verantwoordelijk voor de privacy?
  2. Wat doen wij, wat doen jullie?
  3. Hoe passen we het job-alert aan?
  4. Hoe maken we sollicitatieformulieren AVG-proof?

Ontvang gratis privacy-advies voor je carrieresite

1. Wie is er verantwoordelijk voor de privacy?

kyle-glenn-dGk-qYBk4OA-unsplash

Dat zijn we allebei. Als werkgever ben je altijd ‘eindverantwoordelijk’ voor de gegevens die je van kandidaten verzamelt. Of zoals de AVG dit noemt: de werkgever is ‘verwerkingsverantwoordelijke’

Omdat wij deze gegevens in opdracht óók verwerken - denk aan het analyseren van geanonimiseerde gegevens en het doorsturen van data naar het ATS van onze klant - zijn wij volgens de AVG een ‘verwerker’ van de data. Daarom dragen ook wij verantwoordelijkheid voor de bescherming van persoonsgegevens. 

Hoe we dat doen, leggen we samen vast in een ‘verwerkersovereenkomst’. Hierin staat onder andere:

  • Welke gegevens slaan wij als bouwer van de website op en met welk doel?
  • Hoe zorgen we dat de kandidaat zijn gegevens kan inzien en verwijderen? 
  • Welke maatregelen treffen wij om de persoonsgegevens te beveiligen?
  • Of wij desgevraagd meewerken aan audits. (Ja, doen we.)


2. Wat doen wij, wat doen jullie? 

Een logisch vervolg op vraag 1. Want wie doet wat in het beschermen van alle kandidaatgegevens? Hieronder de taakverdeling.

Dit doet de werkgever zelf:

  • Opstellen privacyverklaring met de eigen juridische afdeling
  • Opstellen van een cookiemelding (inhoud en tekst)

Dit doen wij:

  • We plaatsen de cookiemelding op de werken-bij-website.
  • Wij verzorgen de functionele en analytische cookies
  • In samenwerking met ATS-aanbieder van de werkgever (klant) zorgen we voor een checkbox op de juiste plaatsen waarin een kandidaat actief akkoord gaat met het bewaren van zijn gegevens. Nodig bij het aanmelden voor een job-alert bijvoorbeeld, of het solliciteren via een sollicitatieformulier.
  • We bieden hulp, praktijkvoorbeelden en advies
    Wanneer je er niet uitkomt met het opstellen van een privacyverklaring of cookiestatement, hebben we natuurlijk genoeg voorbeelden van hoe andere bedrijven dit doen. Maar ondanks dat we goede security- en privacy-experts aan boord hebben, zijn we geen juridisch adviseur. Uiteindelijk is de werkgever zelf verantwoordelijk voor zijn compliancy.
  • Wij zorgen voor veilige sub-leveranciers
    Onze eigen partners moeten natuurlijk ook aan de AVG-regels voldoen. En dat zit wel goed. Indien de AVG hen ook als verwerker beschouwt, hebben we een verwerkersovereenkomst met ze gesloten. Bovendien zijn onze leveranciers net als wij ISO-27001 gecertificeerd. Daar kiezen we ze op uit.

Dit doen we samen: 

  • We stellen samen een verwerkersovereenkomst op en passen die aan op de recruitmentbehoefte van de werkgever.

3. Hoe passen we ons job-alert aan?

oleg-laptev-QRKJwE6yfJo-unsplash

Behalve een praktische ook een ‘wie-doet-wat-vraag’. Een job-alert op je carrièresite kan namelijk op twee manieren worden ingericht - en dus aangepast. 

  1. Job-alert via het ATS? (dan doet de leverancier dit)
  2. Job-alert via de werken-bij-site? (dan passen wij het aan)

En dan praktisch: welke aanpassingen heeft een vacature-alert nodig om aan de AVG  te voldoen?

Grof gezegd beantwoord je daarvoor deze drie vragen:

    1. Welke gegevens sla je op?
      Concreet betekent dit dat je het aantal vragenvelden in het formulier zo laag mogelijk houdt. Vraag alleen de écht noodzakelijke gegevens zoals naam en e-mailadres en interessegebieden.
    2. Wat ga je met deze gegevens doen? Wat is je doel? In dit geval een gericht vacature-aanbod sturen. Neem dit op in het privacystatement, en vraag de kandidaat duidelijk of hij hiermee akkoord gaat via een checkbox.

    3. Wat is de bewaartermijn van de verzamelde data?
      Hier gelden de algemene bewaartermijnen van sollicitatiegegevens: uiterlijk 4 weken na de sluiting van de sollicitatieprocedure moeten gegevens worden verwijderd. Tenzij de kandidaat expliciet toestemming geeft om zijn gegevens langer te bewaren, dan maximaal 1 jaar. 

Neem deze termijnen op in het privacystatement. Vraag de kandidaat hier weer duidelijk akkoord voor in het aanmeldformulier

Kijk bijvoorbeeld naar het vacature-alert van werkenbijNS.nl:

vacature alert NS - GDPR blog

4. Welke gegevens mogen we vragen in een sollicitatieformulier?

Om het simpel te houden: vraag alleen het broodnodige. In principe is dat alles wat nodig is om op de functie te solliciteren. Hoe maak je verder het sollicitatieformulier privacy-proof?

  1. Zet in het privacystatement waarom je deze gegevens bewaart. En (we blijven het zeggen!) vraag hiervoor actief om toestemming via een checkbox. Ook niet vergeten: in je privacystatement zet je welke persoonsgegevens je bewaart, op welke rechtsgrond, aan wie gegevens verstrekt worden en welke rechten een sollicitant op basis van de AVG heeft (inzage, verwijdering).
  2. Vraag de kandidaat hoe lang je zijn gegevens mag bewaren. 
    Hier gelden de standaardtermijnen van 4 weken na afloop van de sollicitatieprocedure of 1 jaar. De keuze is aan de kandidaat. Geef de twee opties duidelijk weer in het vraagveld in het formulier. (Bijvoorbeeld via een drop-down optie, zoals hieronder in ‘Voorbeeld 1’ van werkenbijNS.nl)

In praktijk hangt het van het eigen recruitmentproces af hoeveel en welk type gegevens je van de kandidaat vraagt. Hoe is bijvoorbeeld het eerste contactmoment met de kandidaat ingericht? En welke informatie heeft een recruiter daarvoor nodig? Hieronder twee praktijkvoorbeelden.

Voorbeeld 1: een simpel sollicitatieproces

Bij een traditionele selectie waarbij selectie vooral plaatsvindt op basis het cv en de brief, voldoet een kort en simpel sollicitatieformulier. Kijk naar het voorbeeld van NS hieronder. Naam- en contactgegevens zijn voldoende, daarna komt het uploaden van benodigde documenten als cv en motivatiebrief. 

sollicitatieformulier NS - GDPR blog

 

Voorbeeld 2: eerste screening via formulier

Een ander verhaal wordt het wanneer een organisatie de eerste screening al doet op basis van het sollicitatieformulier. Bijvoorbeeld wanneer er bepaalde kwalificaties nodig zijn om een eerste schifting te maken. Een voorbeeld hiervan is het sollicitatieformulier bij Tzorg. De zorginstantie vraagt naar zaken als beschikbaarheid, ervaring en beschikking over eigen vervoer, vereisten voor de functie. 

Tzorg sollicitatieform

Checken of jouw werken-bij-site de privacy van je kandidaten beschermt? 

Ontvang gratis privacy-advies voor je carrieresite