GDPR gedoe in recruitment land – Deel 2

      Reacties uitgeschakeld voor GDPR gedoe in recruitment land – Deel 2
Wbp
Delen

In Deel 1 GDPR gedoe schreef ik dat ik mij de komende weken maar eens in ga verdiepen in de GDPR. In de hoop meer duidelijkheid te krijgen en concrete handvatten te vinden om er mee aan de slag te gaan. Afgelopen week heb ik de nodige documenten gelezen en een aantal websites bezocht. Hoogtepunt was de Werf& bijeenkomst op 12 december. Mij is opgevallen dat menig recruiter nog vraagtekens heeft bij deze wetgeving en nog niet zo goed weet wat de impact zal zijn. Het antwoord is simpel: Groot!

Gelukkig worden ook buiten recruitment allerlei oplossingen bedacht en gewerkt aan het probleem. Ja, het is niet een alleen een probleem voor recruitment. GDPR gaat ook op voor data betreffende klanten of leveranciers. Misschien is een integrale oplossing/ aanpak de beste manier om met GDPR om te gaan.

De basis van GDPR wetgeving is dat de data van de kandidaat ook echt zijn data is. De kandidaat gaat bepalen wie er wel of niet iets van hem of haar mag bewaren of inzage mag hebben. En welke voorwaarden er gaan gelden voor deze zaken. Op zich een logisch uitgangspunt, maar met een grote impact. Zeker gezien de krappe arbeidsmarkt, waar de kandidaat veel te bepalen heeft.

Maar wat zijn nu de kernpunten van GDPR voor recruitment? Laten we met het volgende beginnen.

Data opslag

Voor het opslaan van data is er een duidelijk en afgebakend doel nodig, bijvoorbeeld invulling van een vacature. Is dat doel bereikt, dan moeten alle persoonlijke data verwijderd worden, er mag niets meer opgeslagen of bewaard worden. Voor het gestelde doel is toestemming nodig van het individu (kandidaat). Geen toestemming, dan mag je de data niet opslaan. Ook het verrijken van de data, door bijvoorbeeld informatie van social media, mag niet zomaar. Hiervoor zul je toestemming moeten vragen. Voorts moet deze informatie vallen onder het doel van het invullen van de vacature.

Toegang van de kandidaat

In GDPR staat opgenomen dat er een zogenaamd Recht op Toegang is. Met andere woorden, ieder individu (kandidaat) heeft het recht te weten wie er toegang heeft tot zijn/ haar data. Ook welke data wordt verwerkt en waarvoor deze data wordt gebruikt (doel).

Elk individu moet een kopie kunnen krijgen van zijn/ haar digitale data die wordt gebruikt of verwerkt. Het is dus aan te bevelen om zo snel mogelijk te gaan werken met kandidaten portals. Gelukkig hebben de meeste ATS-en deze functionaliteiten.  Maar hoe ga je de kandidaat informeren over wie er allemaal naar zijn/ haar gegevens kijkt? In het sollicitatieproces zijn dat vaak al een behoorlijk aantal mensen. Naast de recruiter is dat vaak de hiring manager, een teamlid en een expert. Soms is HRM ook nog ergens aangehaakt en hebben recruitment of HRM ondersteuners ook toegang voor het inplannen van afspraken. Het lijkt mij een uitdaging om elke kandidaat hierover te informeren.

Vergeten van kandidaten

In GDPR is er ook een zogenoemd recht om vergeten te worden. Een kandidaat/ sollicitant kan eisen dat al zijn/ haar data wordt verwijderd. Alles moet dus uit de systemen worden gehaald en alle communicatie over die kandidaat moet worden verwijderd. Ook hier hebben de ATS leveranciers al een oplossing voor!

De kandidatenportal zal voor een gedeelte kunnen voorkomen dat gegevens van kandidaten via mails en/ of Whatsapp worden verspreid. Vooral het kunnen downloaden (en verspreiden via mail) van kandidaat gegevens is een eerste stap om verspreiding te voorkomen en controle op deze gegevens te houden. Je moet immers de kandidaat kunnen informeren wie er zoal toegang hebben tot zijn/ haar gegevens. Maar deze ook kunnen verwijderen. Dit heeft eveneens impact op het hebben van talentpools. Je zult daarom mensen uit talentpools moeten verwijderen als ze er om vragen, ook uit zaken als Whatsapp, Trello, etc.

Ook kandidaten die op zogenaamde zwarte lijsten staan, of die na een afwijzing een jaar lang niet meer mogen solliciteren door het niet behalen van een assessment, dien je dus op verzoek te verwijderen. Helaas weet je dan ook niet meer of het een bekende of onbekende is die (opnieuw)solliciteert.

Niet te veel opslaan!

GDPR is heel duidelijk als het gaat om data opslag. Als organisatie mag je niet te veel data opslaan en voor bepaalde data gelden zelfs strenge richtlijnen.

Organisatie en recruitment moeten dan ook aan de slag met Data Minimization. Met andere woorden, organisaties moeten streven om zo weinig mogelijke data van kandidaten op te vragen en te verwerken. Het binnenhalen van data van kandidaten van social media is dus niet meer zo makkelijk. Kun je als recruitment wel een doel formuleren voor deze data en wat ook nog relevant is voor recruitment?

Verder moet je bedenken dat de kandidaat toestemming moet geven voor het binnenhalen en opslaan van deze data. Ik denk dat een gedeelte van de data opslag zal verschuiven naar bijvoorbeeld LinkedIn, dat er dus minder data opslag zal plaatsvinden in het ATS. LinkedIn zal als één van de eerste proberen om GDPR compliant te zijn. Het opslaan binnen de LinkedIn omgeving zal naar mijn mening mogelijk zijn met toestemming. Maar downloaden van deze gegevens naar het eigen ATS zal niet zo eenvoudig zijn. Waarschijnlijk zal je er apart toestemming voor moeten vragen.

Meer administratie!

GDPR zal een extra belasting betekenen voor de afdelingen recruitment en HRM als het gaat om het bijhouden van datgene wat je van kandidaten zoal opslaat en het vragen van toestemmingen van kandidaten. Daarnaast zullen er ook verwijderverzoeken binnen komen, danwel geen reactie van kandidaten op toestemming verzoeken. Zo zullen er ook audit’s komen op dit soort zaken en zal recruitment zich meer en meer moeten verantwoorden met betrekking tot data opslag en verwerking. Zeker gezien de hoogtes van de boetes.

ATS 3.0

Een ander punt van GDPR is dat er meer en meer digitale koppelingen gaan ontstaan. Anders gezegd, een goed ATS moet data van derden kunnen koppelen en in de verschillende stappen van de flow kunnen invoegen. Een mooi voorbeeld is bijvoorbeeld een VOG verklaring of bezit van diploma’s. Met een druk op de knop zal straks de kandidaat toestemming geven om deze data te ontsluiten. Zijn de ATS-en al klaar voor bi-directioneel verkeer? Kan men al goed communiceren met de verschillende systemen in de keten? Hoe gaan we daar blockchaintechnologie op toepassen? Hoe gaan we sollicitant, overheden, en bedrijven op één lijn krijgen in een ogenschijnlijk simpel proces?

Upside

Na bovenstaande geschreven en herlezen te hebben moet ik toch wel een beetje zuchten. Ik zie een berg werk liggen. En er is al zo veel te doen op menig recruitment afdeling. Is er in deze regelgeving geen upside te vinden voor recruitment. Gelukkig wel:

  1. Als we de data opslag op recruitment lean en mean weten te houden. Dus als we alleen opslaan wat echt nodig is, alleen data van datgene dat relevant is, zul je zien dat menig database in omvang zal afnemen. De hoeveelheid data zal dan behapbaar worden/ blijven en misschien daardoor het contact ook persoonlijker.
  2. Door de kleinere databases zijn er ook minder kosten voor opslag en is het eenvoudiger om deze data te beveiligen.
  3. In de keten zal men op elkaar moeten kunnen rekenen en vertrouwen als het gaat om data uitwisseling. Verder is in de keten veiligheid niet iets van één organisatie, nee, meer iets van de hele keten.
  4. Door GDPR worden zaken transparanter en is controle (door de kandidaat) makkelijker.

Volgende week

Volgende week ga ik nog dieper in wat GDPR voor de verschillende recruitment activiteiten zal betekenen. Verder heb ik al een aardige lijst met relevante documenten, welke ik ook op hi-re zal publiceren.

Meer lezen over GDPR?


Delen