Dat we met nieuwe privacy-wetgeving te maken hebben, zal iedere Nederlander die niet onder een steen leeft inmiddels wel weten. Als je er binnen je eigen organisatie niet mee te maken hebt, dan heb je vast een e-mailtje of twintig ontvangen van alle bedrijven waarmee je ooit zaken hebt gedaan. Ze hebben hun privacy-overeenkomst gewijzigd. Maar dat is niet alles wat je moet aanpassen. Online recruitment doet heel veel met persoonsgegevens: van een eerste reactie tot bevestiging van het contract. In dit blog leer je hoe het precies zit en krijg je een helder stappenplan om ook jouw online recruitment AVG-compliant te maken.
Iedere burger binnen de Europese Unie en elk bedrijf dat zaken doet met Europese consumenten heeft, direct of indirect, met deze nieuwe Europese wetgeving te maken. In Europa heet het de General Data Protection Regulation (GDPR), in Nederland heet de Algemene Veorderening Gegevensbescherming (AVG). De AVG heeft impact op de verwerking van alle persoonsgegevens van alle Europese consumenten: je naam, adres, (zakelijke) e-mailadres, interesses, samengestelde klantprofielen et cetera. Het maakt dan niet uit voor welke doeleinden die gegevens zijn vergaard, of waar je bedrijf is gevestigd.
En niet alleen grote, beursgenoteerde bedrijven moeten zich conformeren aan de nieuwe richtlijnen; ook zzp’ers en andere kleine firma’s zouden zich bewust moeten zijn van de impact die de AVG op hun dagelijkse werkzaamheden heeft. Hoe lang kun je bijvoorbeeld sollicitatiebrieven bewaren? Of verzonden offertes? Werknotities? Voor de verwerking van ieder brokje persoonsgegevens zul je je moeten kunnen verantwoorden; ofwel middels wettelijke grond, ofwel middels specifieke goedkeuring.
De HR-afdeling van iedere onderneming is een smeltkroes van persoonsgegevens. Van iedere werknemer en kandidaat-werknemer worden hier gegevens verwerkt. Vooral tijdens online recruitmentprocessen worden persoongegevens in hoog tempo rondgepompt in een organisatie. En blijven ze vervolgens decennia liggen bij mensen die daar volgens de AVG-wetgeving, eigenlijk helemaal geen reden voor hebben. Zo mag je bijvoorbeeld niet meer ongevraagd de persoongsgegevens bewaren van een afgewezen kandidaat.
Hoe zorg je er nu voor je online recruitment AVG-compliant is? Door onderstaande checklist door te nemen, met 7 stappen om het privacy-aspect van je online recruitment te verbeteren:
- Informeer je hele organisatie over de AVG.
Ja, de AVG heeft bijzondere impact op de HR-afdeling, maar nee, die afdeling kan het niet alleen. Iedereen in je bedrijf, van de secretaresse tot de directeur, zal zich bewust moeten zijn van de nieuwe AVG-regels. Interne e-mails, notulen, gespreksnotities; ieder document dat persoonsgegevens bevat, valt onder de nieuwe privacywetgeving. Het begint bij het besef van al je werknemers dat de AVG ook voor hen geldt en waar ze dan rekening mee moeten houden. Het lezen van een blog zoals dit of een speciale AVG-download zal niet voldoende zijn: denk aan meerdere kennissessies. - Stel een DPO aan.
De AVG verplicht grotere bedrijven om een DPO (Data Protection Officer) aan te stellen. Dat klinkt erg zwaar en ingrijpend, maar kan in de praktijk gewoon iemand zijn die namens jouw bedrijf als contactpersoon optreedt voor vragen rondom je dataverwerking. De DPO is daarnaast, mocht er sprake zijn van een datalek, verantwoordelijk voor het melden daarvan en een adequate aanpak van het probleem. - Voer een DPIA uit.
Weer zo’n nieuwe afkorting: een Data Protection Impact Assessment (DPIA). Zo’n onderzoek brengt in kaart welke routes persoonsgegevens in jouw bedrijf afleggen. Zo weet je wie met welke gegevens in aanraking komt en of dat wel noodzakelijk is. Ook zie je welke verbeterslagen je kunt aanbrengen. Over het algemeen geldt: als werknemers persoonsgegevens blijken te ontvangen of verwerken die ze niet nodig hebben, ben je waarschijnlijk niet AVG-compliant. - Verrijk je privacyverklaring met AVG.
De beruchte privacyverklaring, waarvan je inmiddels een mooie collectie in je mailbox hebt. Ook jouw bedrijf heeft er één nodig. Benoem de DPO en leg uit welke gegevens je verzamelt en voor welke doeleinden. Besteed specifieke aandacht aan je HR-afdeling en recruitmentprocessen. - HR op je website.
Kunnen kandidaten bij jouw bedrijf online solliciteren? Dan zul je ze om toestemming moeten vragen om, na afloop van het sollicitatieproces, nog gegevens van ze te mogen bewaren. Je mag niet zomaar cv’s in archiefkasten ‘bewaren’ omdat je over een paar weken nog een mooie vacature verwacht. Je moet ook uitleggen wat je precies doet met hun persoonsgegevens: het afdelingshoofd dat jouw profiel bespreekt met mensen van de werkvloer bijvoorbeeld. - Controleer je veiligheid.
Het klinkt logisch, maar al je HR-gerelateerde data moet zo veilig mogelijk opgeslagen worden. Dat betekent: alleen toegang voor de personen die ook toegang nodig hebben. Ook moet je persoonsgegevens op een veilige wijze weer kunnen verwijderen; een wijze waarop ze ook echt weg zijn. - Ontwerp processen voor nieuwe rechten.
Met de AVG hebben (kandidaat-)werknemers een aantal nieuwe rechten verworven, zoals het recht op dataportabiliteit: het kunnen opvragen en laten verwijderen van de eigen gegevens. Dat zijn nieuwe processen, waarbij je ook de aanvraag moet verifiëren. Is dit wel die werknemer die nu zijn persoonsgegevens opvraagt? Deze nieuwe processen moeten worden ingericht en afgestemd op de praktijk.
AVG-stress? Begin gewoon
Klinkt het allemaal als onmogelijk veel werk? Je bent niet de enige die dat zo ervaart. Het belangrijkste is dat je ‘gewoon’ begint en dat je dat als organisatie doet, niet als losse afdelingen IT, marketing of HR. Misschien wel de belangrijkste tip die daarbij te geven is: registreer alle stappen die je met elkaar neemt en zorg ervoor dat je op ieder moment een helder plan hebt om jouw organisatie zo AVG-compliant mogelijk te maken.
Je zult wellicht al zijn bang gemaakt met de ’torenhoge’ boetes (€ 20 miljoen of 4% van de wereldwijde omzet, afhankelijk van wat groter uitvalt). Er zijn nog geen boetes uitgedeeld (ook niet aan hele grote bedrijven die het erg bont maken). Daarnaast geldt: het kunnen aantonen dat je er als organisatie op een serieuze, betrouwbare manier mee aan de slag bent, is op dit moment het allerbelangrijkste. Kijk dus ook naar wat je al wél hebt ondernomen en leg dat in je organisatie vast.
Reacties