De impact van AVG op ICT-recruitment: waarop moet je letten bij het selecteren van kandidaten?

AVG / GDPR-wetgeving: wat is het ook al weer?

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de bescherming van persoonsgegevens in de EU te verbeteren. De regelgeving beschrijft hoe bedrijven met gevoelige, persoonlijke informatie moeten omgaan. De verordening ging in op 25 mei 2018 en heeft betrekking op alle wervingsprocedures waarbij persoonsgegevens van EU-burgers betrokken zijn. Vrijwel alle informatie die je verzamelt of aanvraagt tijdens het recruitmentproces valt onder deze nieuwe regels. De Engelse term voor AVG is General Data Protection Regulation (GDPR).

Wie moet voldoen aan de AVG / GDPR?

De regelgeving is van toepassing als jouw organisatie in de EU werft en persoonsgegevens van EU-burgers verwerkt. Alle bedrijven die zakendoen in de EU moeten voldoen aan de AVG, ongeacht hun locatie.

De impact van de AVG op ICT Recruitment

De nieuwe privacyregels hebben een enorme impact op de recruitment-sector. Werkgevers of HR-managers mogen geen gevoelige informatie opslaan zonder uitdrukkelijke toestemming van kandidaten. Alleen relevante informatie mag worden verzameld en gebruikt voor wervingsdoeleinden.

De belangrijkste wijzigingen op een rij

Ook jouw bedrijf moet voldoen aan de strenge voorwaarden van de nieuwe privacywetgeving. Een overzicht van belangrijke wijzigingen.

1. Het begrip ‘persoonsgegevens' is verbreed. Activiteiten vallen veel sneller onder de privacywet. Data gekoppeld aan IP- en MAC-adressen valt bijvoorbeeld, naast traditionele NAW-gegevens, onder de nieuwe regels.

2. De privacyverklaring moet nóg duidelijker zijn. Geef aan voor welke doeleinden je persoonsgegevens verzamelt en hoelang data wordt bewaard. Daarnaast moet je kandidaten wijzen op hun rechten.

3. Onder de vorige richtlijn hoefde een datalek alleen te worden gedocumenteerd als je deze meldde bij de Autoriteit Persoonsgegevens. Onder nieuwe privacyregels moeten alle datalekken intern worden gedocumenteerd, dus ook de lekken die niet gemeld hoeven worden.

4. Je moet kunnen aantonen dat je in overeenstemming met de AVG handelt; de zogenoemde verantwoordingsplicht. Maak een overzicht gegevensverwerkingen zodat betrokkenen hun privacyrechten kunnen uitoefenen.

• Welke persoonsgegevens verwerkt jouw bedrijf?
• Waar haal je de informatie vandaan?
• Voor welke doeleinden verzamel je data?
• Met wie wordt het gedeeld?
• Hoe beveilig je privacygevoelige gegevens?

5. Een bedrijf moet een verwerkersovereenkomst sluiten met al zijn leveranciers en afnemers, met daarin afspraken over de omgang met persoonsgegevens. Je moet toestemming hebben van de klant als je diensten uitbesteedt waarbij persoonsgegevens van die klant zijn betrokken.

6. Boetes (sancties) zijn enorm verhoogd. Een bedrijf dat de AVG onvoldoende naleeft kan per overtreding een boete ontvangen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Een aanzienlijk zwaardere sanctie dan bij de vorige richtlijn, toen de boete 900.000 euro bedroeg.

7. Tot 25 mei 2018 mochten bedrijfseigenaren zelf bepalen of er een Data Protection Officer (DPO) aangesteld moest worden. Een DPO ziet toe op de naleving van de privacyregelgeving in een organisatie en is onder de nieuwe regels verplicht voor:

• bedrijven die op grote schaal bepaalde categorieën (bijzondere) persoonsgegevens verwerken;
• organisaties die op grote schaal individuen 'regelmatig en stelselmatig' volgen;
• publieke organisaties en overheidsinstanties (rechtbanken uitgezonderd).

8. Verwacht je hoge privacyrisico's bij het verwerken van persoonsgegevens? Dan moet er een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Pas als de uitkomsten van dit raadplegende onderzoek zijn doorgevoerd mogen persoonsgegevens worden verwerkt.

9. De hoeveelheid gevoelige data moet tot een minimum worden beperkt. Beschrijf in het privacybeleid wanneer informatie wel of niet relevant is en hoe gegevens worden verwijderd.

10. ‘Privacy by design' en ‘privacy by default': al in de ontwerpfase van software en diensten moet rekening gehouden worden met bescherming van persoonsgegevens. Maak standaardinstellingen zo privacyvriendelijk mogelijk.

11. (Gegevens)beveiliging moet op orde zijn en blijven. Denk aan dataversleuteling, een veilig protocol voor dataverwijdering, het scheiden van informatie en systeemcontroles.

12. Ieder bedrijf moet een intern privacybeleid hebben waarin staat wie welke rol heeft bij de omgang met persoonsgegevens. Medewerkers moeten op de hoogte zijn van dit beleid.

13. Servicedesks- en afdelingen moeten mogelijk worden aangepast om op een correcte manier met verzoeken en klachten om te kunnen gaan. Een verzoek tot inzage, correctie of wissen van persoonsgegevens moet binnen een maand inhoudelijk afgehandeld zijn. Betrokkenen moeten hun gegevens makkelijk kunnen exporteren in een standaardformaat om die vervolgens door te kunnen geven aan een andere organisatie (recht op dataportabiliteit).


Bron: ICTRecht juridisch adviesbureau, De Algemene Verordening Gegevensbescherming wat verandert er echt?

Ook ICTerGezocht.nl stelt alles in het werk om aan de AVG te voldoen. Ben je benieuwd wat wij voor jou kunnen betekenen? Bekijk onze producten!