Maak je online recruitment AVG-compliant met deze 7 stappen

Artikelen Ondernemen Online recruitment
brand
Online recruitment - AVG compliant met deze checklist met 7 stappen

Maak je online recruitment AVG-compliant met deze 7 stappen

6 jaar geleden
Thomas Lapperre
Online recruitment
Marketing Privacy Website Ondernemen

Dat we met nieuwe privacy-wetgeving te maken hebben, zal iedere Nederlander die niet onder een steen leeft inmiddels wel weten. Als je er binnen je eigen organisatie niet mee te maken hebt, dan heb je vast een e-mailtje of twintig ontvangen van alle bedrijven waarmee je ooit zaken hebt gedaan. Ze hebben hun privacy-overeenkomst gewijzigd. Maar dat is niet alles wat je moet aanpassen. Online recruitment doet heel veel met persoonsgegevens: van een eerste reactie tot bevestiging van het contract. In dit blog leer je hoe het precies zit en krijg je een helder stappenplan om ook jouw online recruitment AVG-compliant te maken.

Kern van de GDPR/AVG

GDPR - AVG privacywetgeving Europa

Iedere burger binnen de Europese Unie en elk bedrijf dat zaken doet met Europese consumenten heeft, direct of indirect, met deze nieuwe Europese wetgeving te maken. In Europa heet het de General Data Protection Regulation (GDPR), in Nederland heet de Algemene Veorderening Gegevensbescherming (AVG). De AVG heeft impact op de verwerking van alle persoonsgegevens van alle Europese consumenten: je naam, adres, (zakelijke) e-mailadres, interesses, samengestelde klantprofielen et cetera. Het maakt dan niet uit voor welke doeleinden die gegevens zijn vergaard, of waar je bedrijf is gevestigd.

En niet alleen grote, beursgenoteerde bedrijven moeten zich conformeren aan de nieuwe richtlijnen; ook zzp’ers en andere kleine firma’s zouden zich bewust moeten zijn van de impact die de AVG op hun dagelijkse werkzaamheden heeft. Hoe lang kun je bijvoorbeeld sollicitatiebrieven bewaren? Of verzonden offertes? Werknotities? Voor de verwerking van ieder brokje persoonsgegevens zul je je moeten kunnen verantwoorden; ofwel middels wettelijke grond, ofwel middels specifieke goedkeuring.

Vier veelgemaakte fouten AVG

Een viertal zaken gaan regelmatig mis in de praktijk:Veelgemaakte fouten AVG-GDPR
  1. Nog bezig met de AVG. De AVG is al live sinds 25 mei 2016 maar wordt pas gehandhaafd sinds 25 mei 2018. Elk bedrijf zou nu al klaar moeten zijn.
  2. Reageer om deze nieuwsbrief te blijven ontvangen. Klanten mag je altijd al mailen (om ze te informeren over soortgelijke productren of diensten) en mensen die al eerder goedkeuring hadden gegeven, hoeven dat niet nogmaals te doen. De enige reden om zo’n mail te versturen is als je geen bewijs van goedkeuring hebt opgeslagen.
  3. Vul dit AVG-formulier in. De AVG wordt doorgezet als belasting op de consument, door ze een formulier te geven waarop ze hun persoonsgegevens invullen en nadrukkelijk toestemming moeten geven voor het gebruik van de gegevens. Maar wanneer persoonsgegevens nodig zijn voor het leveren van een product of dienst (zoals contactgegevens bijvoorbeeld), is er al een wettelijke grond.
  4. Alles of niets. Bij AVG-formulieren en cookies wordt je voor de keuze gesteld: ga akkoord met alles of stop met het gebruikmaken van onze website of dienst. Volgens de AVG zou de website of dienst juist moeten zijn ingericht met privacy als uitgangspunt (“privacy by design“). Het zou het functioneren niet in de weg mogen staan. Cookiewalls mogen dus niet, evenmin als het verplicht maken van persoonsgegevens die niet nodig zijn.

De AVG en online recruitment: checklist met 7 stappen

AVG checklist online recruitment

De HR-afdeling van iedere onderneming is een smeltkroes van persoonsgegevens. Van iedere werknemer en kandidaat-werknemer worden hier gegevens verwerkt. Vooral tijdens online recruitmentprocessen worden persoongegevens in hoog tempo rondgepompt in een organisatie. En blijven ze vervolgens decennia liggen bij mensen die daar volgens de AVG-wetgeving, eigenlijk helemaal geen reden voor hebben. Zo mag je bijvoorbeeld niet meer ongevraagd de persoongsgegevens bewaren van een afgewezen kandidaat.

Hoe zorg je er nu voor je online recruitment AVG-compliant is? Door onderstaande checklist door te nemen, met 7 stappen om het privacy-aspect van je online recruitment te verbeteren:

  1. Informeer je hele organisatie over de AVG. 
    Ja, de AVG heeft bijzondere impact op de HR-afdeling, maar nee, die afdeling kan het niet alleen. Iedereen in je bedrijf, van de secretaresse tot de directeur, zal zich bewust moeten zijn van de nieuwe AVG-regels. Interne e-mails, notulen, gespreksnotities; ieder document dat persoonsgegevens bevat, valt onder de nieuwe privacywetgeving. Het begint bij het besef van al je werknemers dat de AVG ook voor hen geldt en waar ze dan rekening mee moeten houden. Het lezen van een blog zoals dit of een speciale AVG-download zal niet voldoende zijn: denk aan meerdere kennissessies.
  2. Stel een DPO aan. 
    De AVG verplicht grotere bedrijven om een DPO (Data Protection Officer) aan te stellen. Dat klinkt erg zwaar en ingrijpend, maar kan in de praktijk gewoon iemand zijn die namens jouw bedrijf als contactpersoon optreedt voor vragen rondom je dataverwerking. De DPO is daarnaast, mocht er sprake zijn van een datalek, verantwoordelijk voor het melden daarvan en een adequate aanpak van het probleem.
  3. Voer een DPIA uit. 
    Weer zo’n nieuwe afkorting: een Data Protection Impact Assessment (DPIA). Zo’n onderzoek brengt in kaart welke routes persoonsgegevens in jouw bedrijf afleggen. Zo weet je wie met welke gegevens in aanraking komt en of dat wel noodzakelijk is. Ook zie je welke verbeterslagen je kunt aanbrengen. Over het algemeen geldt: als werknemers persoonsgegevens blijken te ontvangen of verwerken die ze niet nodig hebben, ben je waarschijnlijk niet AVG-compliant.
  4. Verrijk je privacyverklaring met AVG. 
    De beruchte privacyverklaring, waarvan je inmiddels een mooie collectie in je mailbox hebt. Ook jouw bedrijf heeft er één nodig. Benoem de DPO en leg uit welke gegevens je verzamelt en voor welke doeleinden. Besteed specifieke aandacht aan je HR-afdeling en recruitmentprocessen.
  5. HR op je website. 
    Kunnen kandidaten bij jouw bedrijf online solliciteren? Dan zul je ze om toestemming moeten vragen om, na afloop van het sollicitatieproces, nog gegevens van ze te mogen bewaren. Je mag niet zomaar cv’s in archiefkasten ‘bewaren’ omdat je over een paar weken nog een mooie vacature verwacht. Je moet ook uitleggen wat je precies doet met hun persoonsgegevens: het afdelingshoofd dat jouw profiel bespreekt met mensen van de werkvloer bijvoorbeeld.
  6. Controleer je veiligheid. 
    Het klinkt logisch, maar al je HR-gerelateerde data moet zo veilig mogelijk opgeslagen worden. Dat betekent: alleen toegang voor de personen die ook toegang nodig hebben. Ook moet je persoonsgegevens op een veilige wijze weer kunnen verwijderen; een wijze waarop ze ook echt weg zijn.
  7. Ontwerp processen voor nieuwe rechten. 
    Met de AVG hebben (kandidaat-)werknemers een aantal nieuwe rechten verworven, zoals het recht op dataportabiliteit: het kunnen opvragen en laten verwijderen van de eigen gegevens. Dat zijn nieuwe processen, waarbij je ook de aanvraag moet verifiëren. Is dit wel die werknemer die nu zijn persoonsgegevens opvraagt? Deze nieuwe processen moeten worden ingericht en afgestemd op de praktijk.

AVG-stress? Begin gewoon

Klinkt het allemaal als onmogelijk veel werk? Je bent niet de enige die dat zo ervaart. Het belangrijkste is dat je ‘gewoon’ begint en dat je dat als organisatie doet, niet als losse afdelingen IT, marketing of HR. Misschien wel de belangrijkste tip die daarbij te geven is: registreer alle stappen die je met elkaar neemt en zorg ervoor dat je op ieder moment een helder plan hebt om jouw organisatie zo AVG-compliant mogelijk te maken.

Je zult wellicht al zijn bang gemaakt met de ’torenhoge’ boetes (€ 20 miljoen of 4% van de wereldwijde omzet, afhankelijk van wat groter uitvalt). Er zijn nog geen boetes uitgedeeld (ook niet aan hele grote bedrijven die het erg bont maken). Daarnaast geldt: het kunnen aantonen dat je er als organisatie op een serieuze, betrouwbare manier mee aan de slag bent, is op dit moment het allerbelangrijkste. Kijk dus ook naar wat je al wél hebt ondernomen en leg dat in je organisatie vast.

DOWNLOAD het e-book: Gevonden! 43 online recruitment tips voor website, content en social media

+ BONUS! Vijf tips voor een efficiënte fotoshoot

43 online recruitment tips

Thomas Lapperre

Eigenaar Bloeise. Neemt altijd de zakelijke insteek. Schrijft over organisatie, IT infrastructuur en innovatie. Voor digitale bureaus, IT-bedrijven en mkb-bedrijven. Link met mij op LinkedIn.
Alle artikelen van Thomas Lapperre

Reacties

1 Reactie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Ook interessant

Alle artikelen
Alle artikelen