Tijdens het selectieproces komen tal van data en persoonlijke gegevens van kandidaten op je af. Die je vervolgens ook gaat opslaan en gebruiken. Mét het nodige respect voor de Europese regelgeving rond privacy en gegevensbescherming. In deze context moeten bedrijven vandaag voldoen aan de General Data Protection Regulation (GDPR).

De richtlijnen rond GDPR zijn complex én uitdagend voor elke recruiter en HR-dienst. Wij maken je graag wegwijs in enkele best practices, om het contact met kandidaat-professionals vlot én compliant te laten verlopen!

Wat is precies de ‘verwerking van persoonsgegevens’?

Ongetwijfeld ken je de vage, maar befaamde uitdrukking over ‘de verwerking van persoonsgegevens’. Je vindt het zinnetje in ongeveer alle cookie-banners, of onderaan een inschrijfformulier.

De verwerking van persoonlijke gegevens gaat over informatie die werd verzameld tijdens het zoeken naar gekwalificeerde profielen, of de selectie en beoordeling van cv's. In de praktijk betekent het ‘verwerken’: het raadplegen, gebruiken, opslaan of verwijderen van gegevens. Deze data hebben bijvoorbeeld betrekking op de identiteit en demografische gegevens van de kandidaat, de beroepservaring, het beoordelen van skills en competenties uit het CV, de motivatiebrief en de resultaten van een eventuele persoonlijkheidstest.

Recruiters en HR-medewerkers zijn in een eerste fase niet verplicht om toestemming te vragen van sollicitanten. In een tweede fase, na het selectieproces, is dat wél nodig.

Welke persoonsgegevens mag je verzamelen en gebruiken?

Een recruiter heeft geen andere keuze. Om de job terdege te kunnen uitvoeren, moet hij of zij een aantal persoonlijke gegevens verzamelen van de kandidaat. Enkel zo kan ingeschat worden of de sollicitant tegemoet komt aan het vereiste profiel.

In deze context hanteert de Belgische Gegevensbeschermingsautoriteit een specifieke richtlijn voor het aanwerven van kandidaten. De werkgever mag bijvoorbeeld niet meer persoonsgegevens over de kandidaat verzamelen dan strikt nodig is. De vragen mogen bovendien enkel betrekking hebben op de aard en de voorwaarden van de functie waar de kandidaat voor solliciteert. Tenslotte mag je enkel persoonsgegevens inzamelen voor één doeleind: de selectie van kandidaten. Het is dus niet toegestaan om de kandidaat toe te voegen aan een commerciële database, zonder de expliciete toestemming van de persoon in kwestie.

De GDPR-regels zijn van toepassing op ongeveer alle acties van het wervings- en selectieproces:

• Het zoeken en identificeren van relevante profielen om sollicitaties te verwerven: het opbouwen van een CV-database, het creëren van een platform of jobsite voor het plaatsen van vacatures, het opbouwen van een online talentpool, het raadplegen van websites die vacatures op internet aanbieden, het leggen van contacten via een jobforum…
• Kandidaten voorselecteren: cv's en motivatiebrieven sorteren, registreren en klasseren op papier of in een database; scoretools van externe vacaturesites gebruiken…
• Beoordelen of de sollicitant geschikt is voor de job. En het analyseren en beoordelen van professionele vaardigheden aan de hand van informatie die werd verzameld tijdens persoonlijke, telefonische of online gesprekken.

Is de werkgever verplicht om de toestemming van kandidaten te vragen?

Om de kansen van de sollicitanten gaaf te houden, heeft een werkgever of recruiter in eerste instantie geen toestemming van een kandidaat nodig, voor de verwerking van zijn of haar persoonlijke gegevens tijdens het solllicitatieproces. Toch zijn er enkele elementen om rekening mee te houden:

• Proportionaliteitsbeginsel: het dossier mag niet meer gegevens bevatten dan nodig is voor het invullen van de vacante functie.
• Voorzichtigheidsprincipe: de recruiter of het selectiebureau mag de kandidaat enkel om gegevens vragen als dat noodzakelijk is voor de job.
• Anti-discriminatie: het is niet toegestaan om vragen te stellen die kunnen leiden tot discriminatie. Tijdens het selectieproces mag bovendien geen onderscheid gemaakt worden op basis van leeftijd, seksuele geaardheid, godsdienstige of levensbeschouwelijke overtuiging of handicap.
• Inzagerecht: De kandidaat heeft het recht om de persoonlijke resultaten van zijn interviews, tests en praktijkexamens in te kijken.
• Rechtzetting: iedereen heeft het recht om foutieve persoonsgegevens gratis te laten corrigeren.
• Referenties: voor het contacteren van referenties is de toestemming van de sollicitant nodig.

Let op: er is dus wél expliciete toestemming nodig als je van plan bent om de persoonlijke gegevens te gebruiken voor het aanleggen van een talentpool. Dit initiatief staat namelijk los van de sollicitatieprocedure!

Vergeet ten slotte niet om toestemming te vragen voor cookies op de corporate website of een vacaturepagina. Die verloopt doorgaans via pixels van Google Analytics, Meta en andere online tools die het gedrag van de website-bezoeker in kaart brengen. In tegenstelling tot vroeger, moet het ook mogelijk zijn om cookies te weigeren of aan te passen.

Wie mag de persoonsgegevens van kandidaten raadplegen?

De verantwoordelijke HR-manager of recruiter bepaalt welke collega’s (tijdelijk) toegang krijgen tot de persoonsgegevens van de sollicitanten. Deze toegang wordt verleend op basis van de toekomstige functie van de sollicitant.

Bedrijfsfuncties die persoonsgegevens van sollicitanten kunnen inkijken en/of verwerken:

• De verantwoordelijke recruiter
• De HR-manager
• De toekomstige manager van de sollicitant in kwestie
• De CEO of directeur van het bedrijf

Met andere woorden: niet iedereen die CV's en andere persoonlijke documenten van kandidaten ontvangt, is bevoegd om deze in te kijken! De precieze invulling van de toegang tot persoonsgegevens verandert na de aanwerving. Dan is het meestal nodig om andere medewerkers in te schakelen, ter voorbereiding of ondersteuning van de onboarding van de nieuwe collega. Denk bijvoorbeeld aan:

• De administratie rond human resources: payroll & loonadministratie, onboarding en opleiding, logistiek, IT, vervoer…
• De aanwerving van een collega met speciale noden, om aangepast kantoormeubilair te voorzien.

Tip: de GDPR-regels vereisen ook dat je openbaar maakt wie, waar en hoe persoonsgegevens gebruikt en verwerkt worden. Daartoe kan je best alle databronnen en betrokken medewerkers inventariseren en vastleggen in een register!

Hoe lang mag je persoonsgegevens van kandidaten bewaren?

De GDPR plakt geen exacte termijn of vervaldatum op de verzamelde gegevens tijdens het rekruteringsproces. Dat maakt de precieze bewaartermijn complex.

In de praktijk hanteren we volgende leidraad, aan de hand van twee belangrijke fasen:

De actieve database voor actueel gebruik

Tijdens deze fase gebruik je persoonlijke data als onderdeel van het lopende wervingsproces. De informatie wordt opgeslagen in de ‘actieve database’ en is toegankelijk voor de recruiter en de directe werkomgeving. Het CV van de kandidaten wordt in deze fase meestal opgeslagen op de computer van de recruiter, of op een server van het bedrijf.

De intermediaire of tussentijdse database voor gebruik op middellange termijn

Na het afronden van de sollicitatieprocedure, wordt de informatie over de kandidaat niet langer actief gebruikt – ongeacht of hij/zij werd geselecteerd. Het doel voor het inzamelen van de gegevens is dus bereikt. Daarom hoeft de recruiter de informatie niet langer in de actieve database te bewaren.

Toch kan deze informatie nog steeds van belang zijn. Bijvoorbeeld voor het beantwoorden van een vraag of een geschil over mogelijke discriminatie tijdens het selectieproces. Sommige publieke sectoren hebben de wettelijke verplichting om data tijdelijk te archiveren en enkele jaren bij te houden.

In alle andere gevallen kan de persoonlijke informatie over sollicitanten verhuizen naar een intermediaire of tussentijdse database, die beperkt toegankelijk is voor gemachtigde collega’s. De GDPR stelt geen specifieke termijn voorop, maar doorgaans wordt maximum één à twee jaar vooropgesteld als best practice voor het bijhouden van de gegevens.

Na het verstrijken van deze deadline moet de persoonlijke informatie van de sollicitant worden geanonimiseerd of verwijderd. Tenzij je er bijvoorbeeld voor kiest om de gegevens te gebruiken in een talentpool, of voor het versturen van nieuwsbrieven. In dat geval is het verplicht om (opnieuw) toestemming te vragen!