Deze website maakt gebruik van cookies. Meer informatie Melding niet meer tonen
Deel deze pagina

De kandidaat die je vandaag afwijst, kan overmorgen nog wel eens van pas komen. Maar hoe lang mag je zijn gegevens eigenlijk nog bewaren?

Door Peter Boersma (Werf&)

De Wet Bescherming Persoonsgegevens (Wbp) en de Sollicitatiecode van de NVP zijn er in principe heel duidelijk over: sollicitatiegegevens bewaar je tot hooguit 4 weken na beëindiging van de procedure worden. Op twee uitzonderingen na:

Als je de kandidaat hebt aangenomen

Als je toestemming van de kandidaat hebt om zijn gegevens langer te bewaren. In dat geval geldt een bewaarperiode van maximaal 1 jaar. Daarna moet je de kandidaat weer toestemming vragen voor verlenging van de bewaarperiode.
Voor bemiddelingsorganisaties geldt een bewaarperiode van hoogstens 5 jaar, aldus de NVP-code.

Het einde van de talentpool?

Betekent dit nou het einde van de talentpool, waar je de gegevens van je kandidaten opslaat voor eventuele latere vacatures? Mag je de sollicitant van meer dan een jaar geleden niet meer benaderen voor een nieuwe vrijgevallen functie? Nou, zo heet wordt de soep ook weer niet gegeten, zegt Alwin Baaij, international business consultant bij Carerix, die een whitepaper over de materie heeft geschreven en op de recente Carerix Roadshow nader inging op het onderwerp.

Anonimiseren houdt het goud binnen

Binnen de Carerix-software bestaat bijvoorbeeld de mogelijkheid gegevens te anonimiseren. Het ‘goud van je organisatie’ blijft zo behouden, maar je voldoet toch aan de wet, zegt Alwin Baaij. Hij zegt er overigens meteen bij dat er ‘geen pasklaar antwoord’ is op de vraag hoe je als recruiter met de Wbp moet omgaan. ‘Het verschilt per organisatie. Helaas is het niet zo dat ik 5 stappen biedt en als je die allemaal doorloopt, dat je dan helemaal Wbp-proof bent.’

De wet is soms wat ‘grijs’

Volgens Alwin Baaij is de Wbp niet altijd zwart/wit. ‘Op bepaalde gebieden is hij wat grijs. Daar moet je met de hele organisatie afspreken: hoe interpreteren wij de wet nou?’ Voorzichtigheid is wel geboden, zegt hij, want het gaat niet altijd goed, zelfs bij grote organisaties niet, zo blijkt in de praktijk.

Handig: een privacy policy-statement

Baaij raadt elke organisatie aan in elk geval een privacy policy-statement op te stellen en dat op de website te zetten, zodat de kandidaat weet waar hij aan toe is. ‘Dat is eigenlijk een beslissing op directieniveau.’ Daarin moet bijvoorbeeld staan hoe je als organisatie omgaat met een ‘opt-out‘: iemand die zichzelf uit jouw database wil verwijderen. ‘Hoe moet diegene een afmelding doen? Per mail? Of is een telefoontje ook genoeg?’

Je afspraken nakomen, dat is mensenwerk

Zo’n document wordt vaak opgesteld, aldus Alwin Baaij. ‘Het voorkomt gedoe als je er eentje hebt. En het geeft natuurlijk ook een professionele uitstraling.’ Maar niet alleen het document is belangrijk, zegt hij. ‘Naleving natuurlijk ook. En dat is mensenwerk. Je afspraken nakomen.’

Nog een paar keer: goed om te weten

Alwin Baaij somt nog een paar dingen op die goed zijn om te weten:

  • ‘LinkedIn-gegevens opslaan zonder toestemming van de betrokkene, dat mag niet. Als je via Inmail eerst een bericht stuurt naar de persoon en hij of zij uitdrukkelijk toestemming geeft, kun je de gegevens wel gebruiken.’
  • ‘Het is niet zo dat je bijzondere persoonsgegevens helemaal niet mag opslaan. Geaardheid of religie mag je niet opslaan, omdat dat voor recruitment geen nut heeft om te weten. Maar het BSN-nummer hoort volgens de Wbp bijvoorbeeld ook tot de ‘bijzondere persoonsgegevens’. Een kopietje van een paspoort of rijbewijs bewaren zonder dat iemand in dienst is, dat mag dus in beginsel niet. Daar staat immers een BSN-nummer op.’
  • ‘Er is een verschil tussen een datalek en een beveiligingsincident. Een datalek moet je doorgaans melden aan de Autoriteit Persoonsgegevens (AP). In bepaalde gevallen moet je het ook melden aan de betrokkene(n), met name als het lek ongunstig is voor hem of haar. Als het daarentegen gaat om een beveiligingsincident bepaalt het type of je dit moet melden aan de AP en/of betrokkenen. Meestal is dat niet het geval. Een beveiligingsincident of -zwakte kan echter wel weer leiden tot een datalek.’

Meer weten?

Download de whitepaper. Ook handig: De handreiking van ABU en NBBU.

Beeld: https://commons.wikimedia.org/wiki/File:Online_Privacy_and_the_Founding_Fathers.jpg

Lees meer nieuws