Als recruiter heb je dagelijks te maken met het verwerken van persoonsgegevens. Wat betekent de GDPR voor de werving en selectie van nieuwe mensen? Wat mag wel en wat mag niet? Met deze do’s en dont’s maak je je recruitmentbeleid GDPR-proof. En dat niet alleen: wie het recruitment proces automatiseert, boekt ook nog eens flinke tijdswinst door het slim organiseren van processen.
De Europese privacywetgeving is aangescherpt, met als doel om de privacy van alle burgers in de EU goed te beschermen. En dat heeft flinke impact op alles en iedereen die persoonsgegevens verwerken: HR & Recruitment bij uitstek.
De GDPR is vanaf 25 mei 2018 van kracht. Wie zich niet aan de regels houdt loopt de kans om een boete te krijgen van ten hoogste 20 miljoen euro óf 4 procent van de totale jaaromzet van een onderneming.
GDPR: de do’s voor recruitment
Van alle persoonsgegevens die organisaties verwerken, is de data die in het recruitmentproces aan bod komt misschien nog wel het meest gevoelig. Vaak bevat het CV of de motivatiebrief vertrouwelijke informatie, dat door de sollicitant óf door de recruiter naar aanleiding van de gesprekken is toegevoegd.
Zó maak je je recruitmentbeleid GDPR proof:
- Neem het hele registratieproces onder de loep, zodat je weet waar de verwerking van alle persoonsgegevens plaats vindt. Bijvoorbeeld:
– bij aanvang van een sollicitatieprocedure;
– wanneer een sollicitant wordt opgenomen in de talentpool;
– als de gegevens van een sollicitant met een potentiële opdrachtgever gedeeld worden. - Zijn de persoonsgegevens die in het recruitmentproces verzameld worden gepast en noodzakelijk? Verzamel niet meer gegevens dan toegestaan.
- Stel een privacyverklaring op, waarin je uitlegt op welke manier er met persoonsgegevens wordt omgegaan.
- Verzuim nooit om sollicitanten te informeren over hoe hun persoonlijke gegevens gebruikt en beveiligd worden. Wijs hen ook op het recht hun persoonsgegevens in te zien, te wijzigen of publicatie te weigeren.Vraag alle sollicitanten periodiek om schriftelijke toestemming voor het opslaan van hun persoonlijke gegevens, bijvoorbeeld in de talentpool.
- Vraag alle sollicitanten periodiek om schriftelijke toestemming voor het opslaan van hun persoonlijke gegevens, bijvoorbeeld in de talentpool.
GDPR: de dont’s voor recruitment
Sollicitanten zoeken online naar een nieuwe baan, recruiters zoeken online naar nieuwe sollicitanten. Over het belang van een goede website is geen discussie. Sterker nog, de website is één van je beste recruiters: 24/7 actief en nooit ziek.
Maar ook de website verzamelt persoonsgegevens. Denk maar aan het contactformulier dat sollicitanten achterlaten of de registratie van bezoekersinformatie. Hieronder lees je welke veranderingen de GDPR wetgeving voor de website met zich meebrengt en de dont’s voor recruiters:
- Zonder SSL certificaat wordt data niet versleuteld verzonden via internet. Je ziet dan geen groen slot in de adresbalk en data kan worden onderschept. Veel sollicitanten weten inmiddels ook waar het slot voor staat, dus ook commercieel gezien is een SSL certificaat een pre. Daarnaast scoren deze websites hoger in Google.
- Laat persoonlijke informatie, zoals cv’s die door sollicitanten worden geüpload niet onnodig lang op de server staan. Houd een termijn aan van maximaal 30 dagen, waarbinnen deze data elders veilig wordt opgeslagen.
- Een website die niet up to date is, is minder veilig. Negeer je updates niet en installeer ze tijdig. Daarmee voorkom je datalekken, die het hackers makkelijk maken om binnen te komen.
- Zorg voor een sterk wachtwoordenbeleid. Zorg voor een automatische systeemmelding, die je medewerkers om de zoveel weken verzoekt een nieuw wachtwoord in te stellen.
Automatiseer het recruitmentproces
Concreet vereist de GDPR een aantal maatregelen ten aanzien van het recruitmentbeleid. Ten eerste dat de risico’s met betrekking tot persoonsgegevens in kaart gebracht worden. Ten tweede dat deze risico’s beperkt worden. Tot slot word je gevraagd aan te tonen hoe je dat hebt gedaan.
Met behulp van een goed document management systeem, kun je je recruitmentproces automatiseren. Zo reduceer je niet alleen de risico’s met betrekking tot de gevoelige informatie over sollicitanten, maar het is ook makkelijk aan te tonen dat het privacybeleid voldoet aan wet- en regelgeving.
Met een document management systeem:
- Anonimiseer je persoonsgegevens
- Autoriseer je alleen de juiste personen tot het inzien of bewerken van de gegevens
- Zorg je voor automatische informatieverschaffing naar sollicitanten, denk bijvoorbeeld aan het delen van een privacyverklaring.
- Vraag je je sollicitanten periodiek om goedkeuring voor het opslaan van gegevens door middel van een automatische notificatie
- Hanteer je de maximale bewaartermijnen door middel van automatische archivering
Dit is slechts een greep uit de mogelijkheden van een document management systeem voor HR & recruitment. In feite is elk HR proces te automatiseren, start bijvoorbeeld eens met automatisering van de drie meest tijdrovende HR processen. Organisaties die hun processen slim organiseren, boeken flinke tijdswinst door een efficiënte werkwijze.