GDPR en privacy bij recruitment automatisering

Waarom privacy in recruitment geen bijzaak is

Recruiters werken dagelijks met gevoelige data. CV's, transcripties van gesprekken, salarisverwachtingen, persoonlijke voorkeuren, soms zelfs medische informatie. Eén datalek en je staat in de krant. Eén GDPR-overtreding en je riskeert boetes tot 4% van je jaaromzet.

Toch behandelen veel recruitment teams privacy als een checkbox. Ze hebben een privacyverklaring op de website, vragen om toestemming en denken dat het genoeg is. Dat is het niet.

In dit artikel lees je wat de AVG/GDPR echt van je vraagt als je AI en automatisering inzet in je recruitmentproces. Geen juridisch jargon, maar praktische richtlijnen die je direct kunt toepassen.

De AVG in recruitment: de basis

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt eisen aan hoe je persoonsgegevens verzamelt, verwerkt en bewaart. Voor recruitment zijn er een paar kernprincipes:

Doelbinding

Je mag persoonsgegevens alleen verzamelen voor een specifiek, vastgesteld doel. In recruitment: het beoordelen van de geschiktheid van een kandidaat voor een specifieke functie. Je mag die data niet zomaar gebruiken voor andere doeleinden, zoals marketing of profilering.

Dataminimalisatie

Verzamel alleen wat je nodig hebt. Een cv en motivatiebrief: prima. Het social media profiel van de partner van de kandidaat: niet. Dit principe wordt vaak geschonden uit nieuwsgierigheid, niet uit kwade opzet.

Bewaartermijnen

Je mag kandidaatgegevens niet onbeperkt bewaren. Na afronding van de procedure moet je de data verwijderen, tenzij de kandidaat toestemming geeft voor opname in een talentpool. De standaard bewaartermijn is vier weken na afwijzing, verlengbaar tot een jaar met toestemming.

Recht op inzage en verwijdering

Kandidaten hebben het recht om te weten welke data je over hen hebt, en om verwijdering te vragen. Je moet hierop binnen een maand reageren.

AI en GDPR: de extra laag

Als je AI inzet in recruitment, komen er extra verplichtingen bij. De GDPR is hier duidelijk over:

Geautomatiseerde besluitvorming: Artikel 22 van de GDPR geeft individuen het recht om niet onderworpen te worden aan besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking. In de praktijk: je mag AI niet de enige beslisser laten zijn over of een kandidaat door mag naar de volgende ronde.

Transparantie: Je moet kandidaten informeren dat je AI gebruikt in het selectieproces. Wat doet de AI? Op basis waarvan maakt het beoordelingen? Hoe worden die beoordelingen gebruikt?

Data Protection Impact Assessment (DPIA): Als je AI inzet voor het beoordelen van kandidaten, ben je verplicht om een DPIA uit te voeren. Dit is een risico-analyse die beschrijft welke data je verwerkt, waarom, en welke beschermingsmaatregelen je neemt.

Transparantie is bij Simply geen abstract concept. Elke AI-gegenereerde observatie verwijst terug naar het exacte moment in het gesprek. Kandidaten (en toezichthouders) kunnen altijd controleren hoe een beoordeling tot stand is gekomen.

De EU AI Act: wat komt erbij in 2025

Naast de GDPR krijg je in 2025 te maken met de EU AI Act. Deze wet classificeert AI-systemen voor werving en selectie als 'hoog risico'. Dat betekent:

• Verplichte conformiteitsbeoordeling voor AI-systemen die worden gebruikt in recruitment
• Eisen aan de kwaliteit van trainingsdata (geen bias)
• Verplichte logging van AI-beslissingen
• Menselijk toezicht op alle AI-beslissingen
• Transparantie-eisen naar gebruikers en betrokkenen

Als je nu al AI-tools gebruikt, begin dan nu met het in kaart brengen van je compliance. Wacht niet tot de handhaving begint.

Praktische checklist voor GDPR-compliant recruitment

Hier is een checklist die je direct kunt gebruiken:

Voor het gesprek

• Informeer kandidaten over het gebruik van AI en opname-tools
• Vraag expliciete toestemming voor het opnemen van gesprekken
• Leg vast welke data je verzamelt en waarom
• Controleer je verwerkersovereenkomsten met alle tools die je gebruikt

Tijdens het gesprek

• Neem alleen op met toestemming
• Sla data op in systemen die voldoen aan de AVG
• Beperk de toegang tot opnames en samenvattingen tot geautoriseerde personen

Na het gesprek

Met AI-samenvattingen worden gesprekken automatisch samengevat. Die samenvatting bevat alleen relevante informatie, geen persoonlijke details die niet relevant zijn voor de beoordeling.

• Deel samenvattingen alleen met betrokkenen in het selectieproces
• Verwijder opnames en data na de bewaartermijn
• Documenteer het selectieproces (voor het geval een kandidaat inzage vraagt)

Veelgemaakte fouten

1. Geen verwerkersovereenkomst met je toolaanbieders

Elke tool die kandidaatdata verwerkt (je ATS, je opnametool, je AI-assistent) is een verwerker. Je moet een verwerkersovereenkomst hebben. Geen uitzondering.

2. Data bewaren 'voor de zekerheid'

'We bewaren het voor het geval de kandidaat later nog eens solliciteert.' Dat is geen geldige grondslag. Zonder expliciete toestemming moet je de data verwijderen na de bewaartermijn.

3. AI gebruiken zonder kandidaten te informeren

Veel teams gebruiken AI-tools zonder dit te melden aan kandidaten. Dat is een schending van de transparantieplicht. Neem het op in je privacyverklaring en vermeld het in de uitnodiging voor het gesprek.

4. Geen DPIA uitvoeren

Als je AI inzet voor het beoordelen van kandidaten, moet je een DPIA uitvoeren. Veel organisaties slaan dit over omdat het 'te ingewikkeld' is. Maar het is verplicht, en de consequenties van niet doen zijn groter dan de moeite van het doen.

Security: meer dan een wachtwoord

GDPR-compliance gaat niet alleen over beleid. Het gaat ook over technische beveiliging. Kandidaatdata moet beschermd zijn tegen ongeautoriseerde toegang, datalekken en verlies.

Enterprise-grade security bij Simply omvat:

• GDPR-compliant dataverwerking
• ISO-27001 certificering
• Encryptie van data in transit en at rest
• Rolgebaseerde toegangscontrole
• Regelmatige security audits en penetratietests

Dit zijn geen nice-to-haves. Dit zijn de minimale vereisten voor elke tool die kandidaatdata verwerkt.

De rol van de Functionaris Gegevensbescherming (FG)

Als je organisatie een FG heeft, betrek die bij je recruitment-technologiekeuzes. Niet achteraf, maar vooraf. De FG kan je helpen met:

• Het uitvoeren van een DPIA
• Het beoordelen van verwerkersovereenkomsten
• Het opstellen van een privacyverklaring die voldoet aan de eisen
• Het adviseren over bewaartermijnen en grondlagen

Heb je geen FG? Dan is dit een goed moment om na te denken over of je er een nodig hebt. Bij grootschalige verwerking van bijzondere persoonsgegevens (en dat is wat recruitment is) is een FG vaak verplicht.

Internationaal werven: extra complexiteit

Werf je kandidaten buiten de EU? Dan krijg je te maken met extra regels rondom dataoverdracht naar derde landen.

• Data-overdracht naar de VS: mogelijk via het EU-US Data Privacy Framework, maar blijf de ontwikkelingen volgen
• Data-overdracht naar het VK: op basis van adequaatheidsbesluit, maar het VK kan eigen regels gaan stellen
• Data-overdracht naar andere landen: standaard contractbepalingen (SCC's) zijn meestal nodig

Tools die je kandidaatdata verwerken moeten transparant zijn over waar data wordt opgeslagen. Integraties met je bestaande systemen zorgen ervoor dat data niet onnodig gekopieerd wordt naar extra locaties.

Kandidaatvertrouwen als concurrentievoordeel

Privacy is niet alleen compliance. Het is ook vertrouwen. Kandidaten die erop vertrouwen dat je zorgvuldig omgaat met hun data, zijn eerlijker in gesprekken, meer betrokken bij het proces en positiever over je merk.

Hoe bouw je dat vertrouwen?

• Wees proactief transparant (vertel wat je doet, voordat ze ernaar vragen)
• Geef kandidaten controle (laat ze zien welke data je hebt en laat ze kiezen)
• Reageer snel op inzageverzoeken
• Behandel data als iets dat aan de kandidaat toebehoort, niet aan jou

Praktische stappen voor GDPR-compliant AI-gebruik

Veel bureaus willen AI inzetten maar twijfelen over de privacy-implicaties. De belangrijkste stap is het informeren van de kandidaat. Leg vooraf uit dat het gesprek wordt opgenomen, waarvoor de opname wordt gebruikt en hoe lang deze wordt bewaard. Dit kan met een standaardzin aan het begin van elk gesprek.

Daarnaast is het belangrijk om een verwerkersovereenkomst te hebben met je AI-leverancier. Hierin staat vastgelegd waar data wordt opgeslagen, wie er toegang toe heeft en wat er gebeurt bij beëindiging van het contract. Simply biedt dit standaard aan. Alle data wordt verwerkt binnen de EU, versleuteld opgeslagen en automatisch verwijderd na de afgesproken bewaartermijn. ISO-27001 certificering garandeert dat deze processen niet alleen beschreven zijn, maar ook daadwerkelijk worden gecontroleerd door een onafhankelijke auditor.