Iedereen in de werving en selectie zal straks dagelijks met de GDPR te maken krijgen, verwachten Hans Rook en Bo Stevens van Carerix. ‘Het is een misvatting te denken dat je ATS je volledig GDPR-proof kan maken.’
Het is vandaag nog iets minder dan zes maanden. Over een half jaar is de AVG voor iedereen van toepassing, en vindt ook handhaving plaats. In heel Europa. Sommige recruiters liggen er nu al wakker van, anderen denken: het zal mijn tijd wel duren. Maar hoe dan ook, ze krijgen allemaal met die nieuwe privacyregels te maken, zeggen Bo Stevens en Hans Rook, beiden van Carerix.
Een vooruitblik
Op 12 december zullen ze tijdens een speciaal seminar van Werf& de bezoekers meenemen in de technische toepassingen van hun systeem die gebruikers binnen de kaders van de wet brengen. Denk bijvoorbeeld aan je privacy-statement en het anonimiseren van cv’s. Hierbij alvast een vooruitblik, in een interview.
Wat is jullie belangrijkste boodschap tijdens het seminar?
Stevens: ‘Zorg dat in alle geledingen in je organisatie besef is van het belang van privacy. Je ATS is in dit geheel slechts een hulpmiddel. Het is een misvatting dat je ATS je volledig GDPR-proof kan maken.’
Waar zitten volgens jullie nog de grootste knelpunten in de voorbereidingen op de GDPR?
‘Je voelt in de markt dat er beweging is. Veel bedrijven houden nu hun processen tegen het licht om te checken in hoeverre die GDPR-proof zijn. Het is goed te beseffen dat de meeste regelgeving vanuit de GDPR helemaal niet nieuw is. Vanuit bestaande wetgeving bestaat al veel langer de plicht om integer en zorgvuldig om te gaan met (bijzondere) persoonsgegevens.
Het is goed te beseffen dat de meeste regelgeving vanuit de GDPR helemaal niet nieuw is.
We snappen best dat de aangescherpte regelgeving, aangekondigde handhaving en potentiële boetes organisaties wat onrustig maken. Maar wij gaan wel ervan uit dat je als personeelsbemiddelaar je bewust bent van je plicht om zorgvuldig om te gaan met de gegevens van je kandidaten. Afgaande op de vragen die we nu krijgen zien we overigens wel dat organisaties wel degelijk bezig zijn met GDPR. Al is de een daar wat verder in dan de ander.’
Hoe lastig is het voor verwerkers zoals een ATS om binnen de wet te blijven?
Rook: ‘Voor ATS-leveranciers geldt hetzelfde als voor hun klanten: privacy en databeveiliging is niet nu pas een hot topic. De beveiliging van de data in onze systemen staat al jaren hoog op onze agenda. Dit is in feite een continu proces. Software ontwikkelt zich en ook de beveiligingsstandaarden doen dat. Zo zie je dat met name de grotere organisaties steeds vaker gebruik maken van (beveiligde) geavanceerde toegangssystemen als LDAP(S), ADFS of SSO en dat (gedeeltelijke) data-encryptie steeds meer de standaard wordt.’
Kunnen jullie kort uitleggen wat je doet als je data anonimiseert?
‘In ons systeem kun je met een druk op de knop kandidaten ‘anonimiseren’. Dan wordt een record van een kandidaat als het ware ‘schoongeveegd’. Het bestand blijft bestaan, maar alle gegevens die het mogelijk maken om dat terug te leiden naar de natuurlijke persoon worden verwijderd. Denk hierbij aan bijlagen en activiteiten, maar ook de naam, contactgegevens en eventuele notitievelden worden dan gewist.
Bij anonimiseren wordt een record van een kandidaat als het ware ‘schoongeveegd’
Doordat het record blijft bestaan gaat historische kwantitatieve informatie niet verloren. Zo kun je nog altijd terugzien hoeveel kandidaten je ooit op een bepaalde vacature hebt gematcht zonder dat je dus kunt zien wie dat daadwerkelijk waren. Het voordeel voor de klant is dus dat zijn historische kwantitatieve data inzichtelijk blijven, maar dat deze niet meer te herleiden is naar een natuurlijk persoon en je dus compliant blijft.’
Hoe werkt het nu in de praktijk: helpen jullie klanten met het schrijven van bewerkersovereenkomsten?
‘Ja, Carerix heeft een standaard-bewerkersovereenkomst. Deze sluiten wij af met onze klanten.’
Hebben al die klanten ook al een Data Protection Officer, of DPO?
‘Onze klanten verwerken in principe persoonlijke data “op grote schaal”, zoals de wet dat omschrijft. Dat is nou eenmaal onderdeel van de werkwijze van onze klanten. Daarom hebben ze ook een DPO nodig. Maar zelfs als er klanten zijn die niet zo iemand nodig zouden hebben, zou dat de aanpak niet significant veranderen. Er moet immers ook aan andere onderdelen van de wet voldaan worden. Die DPO is maar een klein onderdeel in de context van de hele wet. Ook zonder zo’n Officer heeft de kandidaat rechten die je als organisatie moet faciliteren en moet je in control zijn van de data die je verwerkt.’
Ook zonder DPO heeft de kandidaat rechten en moet je in control zijn van de data die je verwerkt
Is dit een thema waar je nu echt dagelijks intensief mee bezig bent?
‘Je zou misschien verwachten dat dit een hygiënefactor is. Maar in de praktijk is ons vermoeden dat dit niet altijd het geval is. In die zin wordt het voor bepaalde recruiters wellicht wel iets waar ze – in elk geval de eerste periode – elke dag op moeten letten.
Het is straks echt noodzakelijk om je bewaartermijnen in de gaten te houden en toestemming voor het bewaren van de persoonsgegevens goed te registreren. Als je niet expliciet om toestemming hebt gevraagd, moet je de kandidaat uit je systemen verwijderen. In de praktijk werken veel organisaties nog niet zo. Daarom kost het nu tijd om procedures en processen tegen het licht te houden en aan te passen. En daarom komen hier nu ook bij ons als ATS-leverancier veel vragen over.’
Vergen de nieuwe rechten van kandidaten bij jullie nog nieuwe koppelingen en nieuwe functionaliteiten?
‘Het is niet zo dat er altijd nieuwe functionaliteit nodig is. Je kunt de kandidaat ook inzicht geven in de data die je van hem of haar bewaart door samen met die kandidaat in te loggen en die gegevens te bekijken. Hetzelfde geldt voor die gegevens wijzigen of verwijderen.
Je kunt de kandidaat inzicht geven in de data die je van hem of haar bewaart door samen in te loggen
In de praktijk wil je dat dit schaalbaar wordt en daar zal een ATS-leverancier zich op richten. Denk bijvoorbeeld aan portals die het mogelijk maken voor de kandidaat om zelf in te loggen en zijn gegevens in te zien. Met procesinrichting binnen je systeem (al dan niet gebaseerd op best practices) en extra tooling voor (gedeeltelijke) automatisering kunnen we de GDPR-gerelateerde processen vergemakkelijken.
Er zullen ongetwijfeld ook nog wel wat nieuwe koppelingen ontstaan, al zien we dat nu vooral in de maatwerksferen gebeuren. Tegelijkertijd zie je dat ook andere systemen hun maatregelen nemen om GDPR te ondersteunen. Maar de basis blijft, voor ons in elk geval, nog steeds het menselijk handelen.’
Kom naar het AVG/GDPR-seminar
Meer weten over hoe je je voorbereidt op de AVG of GDPR? Op 12 december spreken Stevens en Rook er in Utrecht over op een speciaal seminar van Werf& voor recruiters, dat alle ins en outs van de nieuwe privacyregels behandelt.
Zeker weten dat je goed bent voorbereid? Schrijf je dan nu in!
