Overslaan en naar de inhoud gaan

Over CVWarehouse & de General Data Privacy Regulation (GDPR)

Over CVWarehouse & de General Data Privacy Regulation (GDPR)

Vanaf mei 2018 geldt de nieuwe Europese General Data Protection Regulation (GDPR).

In wezen komt de naleving van GDPR neer op het identificeren van welke persoonlijke identificeerbare gegevens een organisatie over personen verzamelt en voor welk doel:

  • Consumenten (B2C)
  • Klanten en zakenpartners (B2B)
  • Kandidaten & werknemers (rekrutering & HR)

Vooral de transparantieverplichting om personen te informeren over welke gegevens verzameld worden en voor welk doel, om personen toe te staan deze gegevens te wijzigen en corrigeren en hen toestemming te laten geven om sommige gegevens te gebruiken, brengt een vrij technologische uitdaging met zich mee om hen deze controle te geven.

Het recht om vergeten te worden (het verwijderen van alle gegevens over iemand, zelfs historiek) en de regelgeving rond gegevensoverdraagbaarheid (de verplichting om alle gegevens die u over een persoon heeft door te sturen in een machineleesbaar formaat (PDF, csv, XML)) maken deze uitdaging uiteraard nog groter.

De verplichting om al deze zaken voor iemand uit te voeren binnen een periode van een maand doet organisaties dromen van een systeem dat al deze zaken voor hen doet.

Met CVWarehouse wordt reeds aan alle bovengenoemde eisen voldaan.

Vanaf dag één heeft CVWarehouse privacy zeer serieus genomen en een bottom-up-aanpak uitgewerkt die kandidaten de mogelijkheid geeft om zelf hun persoonlijke gegevens en informatie correct te beheren (en bewust toestemming geven om hun gegevens uitsluitend te gebruiken voor rekruteringsdoeleinden).

Deze aanpak maakt CVWarehouse compliant by design voor GDPR:

  • Kandidaten weten welke gegevens en documenten ze delen met uw bedrijf voor welke vacature of zelfs werfreserve.
  • Zij controleren deze gevoelige gegevens en kunnen ze op elk moment veranderen of verwijderen.
  • Wanneer kandidaten “vergeten” willen worden, dan brengt CVWarehouse dat ook in orde voor hen.

Maak u dus geen zorgen over uw kandidaten & GDPR, we zorgen ervoor dat u al vanaf het begin in orde bent!

GDPR Berichtgeving

 

GDPR CVWarehouse FAQ

Is CVWarehouse GDPR-conform?

CVWarehouse is geauditeerd rond GDPR sinds 8 mei 2017 en alle maatregelen zijn ingesteld om ervoor te zorgen dat CVWarehouse volledig GDPR-conform is tegen 25 mei 2018.

Welke maatregelen worden genomen om CVWarehouse GDPR-conform te maken?
  • Een juridische en technische audit;
  • Herschrijven van alle juridische verklaringen en overeenkomsten;
  • Ondertekenen van verwerkingsovereenkomsten met zowel ontvangers als sub-verwerkers;
  • Een intern overzicht bijhouden;

Organisatorische maatregels ter ondertekening van geheimhoudingsovereenkomsten, geheimhouding in arbeidscontracten voorzien, een procedure voor datalekken implementeren, …

Wie is the DPO of CVWarehouse?

Lieve Van de Loo

Lieve.VandeLoo@cvwarehouse.com

+32 3 202 42 20

Is CVWarehouse verwerkingsverantwoordelijke of verwerker?

CVWarehouse kan beide zijn:

CVWarehouse is Verwerkingsverantwoordelijke: (1) in geval van een “vrije registratie” op de CVWarehouse website, waarbij de kandidaat zijn persoonlijke gegevens doorgeeft, maar niet solliciteert voor een vacature van een klant op de CVWarehouse website, of (2) wanneer een kandidaat solliciteert voor een vacature van CVWarehouse zelf (als organisatie) (niet voor onze klanten)

  1. CVWarehouse is Verwerker: wanneer een kandidaat online solliciteert voor een specifieke vacature van een klant (een potentiële werkgever), op de CVWarehouse website of op de eigen website van een klant. Dit wil zeggen dat klanten het initiatief nemen om kandidaten te zoeken, en bovenal hun persoonlijke gegevens te verwerken zoals zij het wensen (en niet CVWarehouse, dat enkel een technisch platform biedt voor klanten om dit te kunnen doen)
Hebben klanten een eigen privacy-en cookiebeleid nodig?

Ja, in alle situaties waar de klant optreedt als Verwerkingsverantwoordelijke, dienen kandidaten zowel het privacybeleid van CVWarehouse als dat van het bedrijf waarvoor zij solliciteren te accepteren. Klanten dienen hun privacybeleid te delen met CVWarehouse zodat dit kan geïntegreerd worden in het sollicitatieformulier.

Wat gebeurt met de informatie die een bedrijf aan een kandidaatdossier hangt?

Dit kan gebeuren wanneer de kandidaat zijn gegevens aan het bedrijf geeft of als resultaat van een test. Het bedrijf is hiervoor verantwoordelijk (als Verwerkingsverantwoordelijke) en dient de kandidaat om toestemming te vragen alvorens de informatie aan het kandidaatdossier wordt toegevoegd. Met uitzondering van de situatie waarbij een bedrijf gevoelige informatie van een kandidaat bewaart, e.g. religieuze of filosofische geloofsovertuigingen, seksuele voorkeur, gegevens rond lidmaatschap van een vakbond, ras of etnische afkomst, politieke voorkeuren, genetische of biometrische informatie. Dit is verboden door CVWarehouse (zie Algemene Voorwaarden)

Wat gebeurt er met documenten van een kandidaat die toegevoegd zijn door het bedrijf, wanneer een kandidaat zichzelf verwijderen door het bedrijf?

Alle informatie over de kandidaat zal worden verwijderd, zo ook in het bedrijfsprofiel 48 uur na ontvangst van dit verzoek. Dit proces dat nu wordt toegepast op vraag van CVWarehouse, zal in de nabije toekomt worden geautomatiseerd. Dit geldt zowel voor kandidaten als voor bedrijven.

Kan een bedrijf een kandidaat toevoegen aan het ATS die niet gesolliciteerd heeft via CVWarehouse en geen login heeft?

In dit geval heeft de kandidaat zijn CV met het bedrijf gedeeld. Om deze reden kan het bedrijf de CV aan de database toevoegen. Het bedrijf is hiervoor verantwoordelijk (als Verwerkingsverantwoordelijke) en dient kandidaten om toestemming te vragen. Het bedrijf moet een procedure instellen wanneer een kandidaat zijn profiel verwijderd wil zien. Als de kandidaat toegang wil tot zijn gegevens of deze wil aanpassen, dient het bedrijf verplicht in een procedure te voorzien, om de kandidaat zijn rechten te laten uitoefenen. Het bedrijf is immers de Verwerkingsverantwoordelijke van dergelijke data.

Als een bestand van een kandidaat verwijderd dient te worden (Wanneer het bedrijf de verwerkingsverantwordelijke is) kunnen we de info dan, weliswaar anoniem, in de database bewaren?

Ja, er is geen link naar een specifiek persoon na het verwijderen. De data kan echter wel bewaard worden in de database. (bijvoorbeeld voor statistieken.)

Wat gebeurt er wanneer bedrijven met interimkantoren werken in CVWarehouse?

Dan dient (1) het interimkantoor GDPR-conform te zijn en (2) het bedrijf hierover een dataverwerkingsovereenkomst af te sluiten met het interimkantoor

Wat Gebeurt er met alle rapporten met kandidaatgegevens?

Alle rapporten zullen automatisch verwijderd worden na 4 maanden, beginnende van de aanmaakdatum.

Hebben CVWarehouse of haar klanten een Overeenkomst Betreffende Gegevensverwerking met jobplatformen zoals Indeed.com, Mitula, Glassdoor, etc.?

Voor alle partners waarmee CVWarehouse samenwerkt die ook gegevens verwerken van kandidaten (zoals onze datacenterpartner), heeft CVWarehouse subprocessorsovereenkomsten ondertekend.

Voor jobboard-partners zoals Indeed, Mitula, etc. is dit niet van toepassing omdat CVWarehouse alleen informatie over vacatures stuurt. Kandidaten die solliciteren nadat ze via een dergelijk platform een ​​vacature hebben gevonden, doen dit altijd via een CVWarehouse-sollicitatieformulier. Op deze manier vallen CVWarehouse-klanten onder de verwerkingsovereenkomst die ze hebben met CVWarehouse. Daarom worden er geen persoonlijke gegevens verwerkt door de vacaturesites, dus is er geen extra overeenkomst voor gegevensverwerking nodig.

Wat is het verschil tussen een "open database systeem" en een "gesloten database systeem" en waarom is dit belangrijk voor GDPR?

In een open databasesysteem kunnen betrokkenen hun persoonlijke gegevens toevoegen, beheren en/ of verwijderen, bijvoorbeeld door middel van een persoonlijk login- of profielaccount.

In een gesloten databasesysteem vullen betrokkenen een formulier in met informatie, maar hebben achteraf geen opties om hun persoonlijke gegevens te wijzigen of te verwijderen.

De CVWarehouse-tool kan tegelijkertijd een gesloten en een open systeem zijn. Voor alle kandidaten die een CVWarehouse-profiel maken (en gebruiken om het toe te passen), is de tool een open databasesysteem. Voor kandidaat-informatie die bijvoorbeeld door een recruiter handmatig aan de tool is toegevoegd of wanneer het toepassen zonder een profiel gebeurt, maar door een registratieformulier in te vullen, is de tool een gesloten databasesysteem.

Het open deel van de tool is volledig transparant voor betrokkenen, omdat zij altijd hun profiel kunnen raadplegen om te zien welke gegevens zij delen met een bedrijf en voor welke vacature.

Ze kunnen de gegevens zelf aanpassen of een verzoek indienen om hun profiel te verwijderen.

Als gevolg van deze transparantie resulteert het werken met een open systeem in minder GDPR-administratie voor organisaties, omdat de profielopties voor kandidaten de meeste vragen of verzoeken van kandidaten zullen oplossen.

Wat is dataretentie en wanneer is het nodig? 

Dataretentie is hoe lang iemand informatie gebruikt, bezit of beheert. In een rekruteringscontext schrijft GDPR voor dat organisaties een beleid voor gegevensbewaring (als onderdeel van een privacybeleid) moeten aannemen om aan datasubjecten / kandidaten aan te geven waarom zij de informatie verzamelen en hoe lang ze deze gegevens bewaren.

Als gevolg hiervan is het niet toegestaan ​​om persoonlijke gegevens gedurende een langere periode te bewaren dan is vastgelegd in uw beleid voor het bewaren van gegevens.

Bij het opstellen van uw privacybeleid ten aanzien van kandidaten, is het daarom van het grootste belang om duidelijk te omschrijven waarom u hun informatie verzamelt en voor hoelang.

Als u de scope definieert als verzamelinformatie voor het invullen van openstaande vacatures, beperkt u uw opties meer dan wanneer u de scope definieert als verzamelinformatie voor het invullen van vacatures en het opbouwen van een talentenpool voor toekomstige wervingsbehoeften.

In het licht van deze tweede scope is het veel meer aannemelijk om persoonlijke informatie van kandidaten voor een langere periode vast te houden dan alleen de duur van het rekruteringsproces van de vacature waarvoor ze solliciteerden. Het is aan u om een ​​van deze perioden te definiëren, afhankelijk van de optie die u kiest.

Hoe kan CVWarehouse mijn bedrijf helpen bij het opzetten van een Retentieperiode?

Indien uw bedrijf een retentiebeleid heeft gedefinieerd in jullie privacybeleid, kan u via een functionaliteit van CVWarehouse uw eigen retentiebeleid instellen.

Afhankelijk van de ATS-instellingen van dit retentiebeleid, zal CVWarehouse kandidaatgegevens verwijderen uit jullie databank.

Kandidaten zullen een e-mail ontvangen en de optie krijgen om hun gegevens te blijven delen met jullie bedrijf, opdat de retentieperiode hernieuwd wordt bij goedkeuring.

Het CVWarehouse-platform verzekert een duidelijke en transparante communicatie tussen bedrijven en kandidaten.

Met deze functionaliteit helpt CVWarehouse u om het bewind van jullie Retentieperiode door te zetten, op die manier GDPR-conform te zijn, en jullie te verzekeren van een transparant, geautomatiseerd en traceerbaar proces.

Welke informatie moet worden opgenomen in een privacybeleid ten aanzien van kandidaten? 

Uw privacybeleid ten opzichte van kandidaten moet kort zijn, gemakkelijk te vinden en te beschrijven op een manier dat het gemakkelijk te begrijpen is voor iedereen die het wil lezen.

Idealiter bevat uw privacyverklaring informatie over: 

  • wie u bent als organisatie
  • welke gegevens u verzamelt
  • waarom u persoonlijke gegevens verzamelt
  • met wie u deze gegevens deelt en waarom
  • hoe lang u deze gegevens opslaat 
  • welke rechten betrokkenen/kandidaten hebben en hoe zij hun rechten kunnen uitoefenen
  • of gegevens worden verzonden of doorgestuurd buiten de EU
  • wie kandidaten 
Welke template kan gebruikt worden om een privacy policy op te stellen? 

Klanten van CVWarehouse zijn vrij om de privacyverklaring van CVWarehouse naar kandidaten te gebruiken als inspiratie of als uitgangspunt voor het opstellen van hun eigen privacybeleid ten aanzien van kandidaten. Houd er echter rekening mee dat uw eigen privacybeleid anders zal zijn dan dat van CVWarehouse, omdat bepaalde aspecten heel anders zullen zijn.

Heeft een kandidaat het recht alle interne informatie op te vragen die we in hun profiel hebben bijgehouden?
Kandidaten hebben het recht om meer details te vragen over welke persoonlijke gegevens door u worden verwerkt, inclusief een kopie van die informatie, maar het uitoefenen van dit recht is beperkt omdat dit niet kan leiden tot nadelige gevolgen voor de rechten en vrijheden van anderen. Daarom zou u zich op dit principe kunnen baseren om niet alle zuiver interne documenten aan een kandidaat te onthullen.
Wat is het privacybeleid van CVWarehouse naar kandidaten toe?

Klik hier om het privacybeleid te lezen.