GDPR-conform

CVWarehouse & de General Data Privacy Regulation (GDPR)

CVWarehouse biedt u de juiste tools aan om veilig en GDPR-conform aan te werven.

Wat is GDPR?

GDPR staat voor de General Data Protection Regulation. Deze Europese wet is ingegaan op 25 mei 2018 en reguleert hoe wij persoonlijke data (informatie over een identificeerbaar, levende individu) mogen gebruiken, verwerken en opslaan.

Vanaf dag 1 heeft CVWarehouse, door middel van onze bottom-up aanpak voor volledige conformiteit, ervoor gezorgd dat kandidaten zelf hun persoonlijke data en informatie correct kunnen beheren.

Waarom is het belangrijk om GDPR-conform te zijn?

GDPR is ontworpen om de manier waarop bedrijven en organisaties omgaan met hun database te veranderen.

CVWarehouse is altijd al conform geweest

  • Kandidaten weten precies welke data en documenten ze delen met uw bedrijf en voor welke job ze dat doen. Ze beheren al hun data in real-time.

  • Bedrijven kunnen automatische retentie periodes instellen, wat het vereenvoudigt voor kandidaten om zelf te beslissen wat er met hun data gebeurd.

  • Wanneer kandidaten wensen "vergeten te worden" regelt CVWarehouse dit door middel van geautomatiseerde processen.

GDPR Communicatie

CVWarehouse stuurt regelmatig updates, periodiek of wanneer nodig, om klanten te informeren over relevante GDPR informatie.

 
 
 

CVWarehouse & GDPR veelgestelde vragen

Wat betekent het om GDPR-compliant te zijn?

In essentie komt GDPR-compliance neer op het identificeren welke persoonlijk identificeerbare gegevens door een organisatie worden verzameld over verschillende betrokkenen waarmee de organisatie in contact komt en met welk doel, en ervoor zorgen dat alle GDPR-gerelateerde principes en verplichtingen worden toegepast op de verwerkte persoonlijke gegevens (en ervoor zorgen dat dit het geval blijft in een voortdurend veranderend landschap).

Vooral de transparantieverplichting om een betrokkene te kunnen informeren over welke gegevens u voor welk doel verzamelt, om de betrokkene in staat te stellen deze gegevens te wijzigen en te corrigeren en om al dan niet toestemming te geven voor het gebruik van bepaalde gegevens kan een behoorlijke technologische uitdaging vormen als u de betrokkene een dergelijke controle wilt geven. Wij bij CVWarehouse hebben ervoor gekozen om de nodige technische middelen te implementeren om dit te doen. U kunt hier meer over lezen in onze privacyverklaring.

Is CVWarehouse GDPR-conform?

Hoewel compliant zijn een continu proces is, streeft CVWarehouse ernaar om al voor mei 2018 (de inwerkingtreding van GDPR) GDPR-compliant te zijn en volgt CVWarehouse alle GDPR-gerelateerde zaken op de voet om de nodige veranderingen zo snel mogelijk door te voeren.

Welke maatregelen worden genomen om CVWarehouse GDPR-conform te maken?

  • Er werd een juridische en technische audit uitgevoerd vóór de GDPR;
  • herschrijven van alle juridische verklaringen en overeenkomsten;
  • Het opnieuw beoordelen van operationele werkstromen en het screenen van leveranciers;
  • Het ondertekenen van verwerkingsovereenkomsten met zowel verwerkingsverantwoordelijken als subverwerkers;
  • Aanstellen van een DPO;
  • Bijhouden van een intern register;
  • Organisatorische maatregelen zoals het ondertekenen van NDA's, het opnemen van vertrouwelijkheid in arbeidscontracten, het implementeren van intern beleid zoals een datalekbeleid, ...
  • Bijhouden waar gegevens worden verwerkt en waar ze zich bevinden en ervoor zorgen dat de nodige beveiligingen aanwezig zijn;
  • Technische en organisatorische maatregelen implementeren en voortdurend bijwerken.

Wie is de DPO van CVWarehouse?

Nico Mookhoek
dpo@cvwarehouse.com
+32 3 202 42 20

Is CVWarehouse verwerkingsverantwoordelijke of verwerker?

CVWarehouse kan beide zijn:

  1. CVWarehouse is een verantwoordelijke voor de verwerking : (1) in het geval van het aanmaken van een profiel op de CVWarehouse website, waarbij de kandidaat zijn persoonsgegevens verstrekt maar niet solliciteert voor een vacature van een klant op de CVWarehouse site (dit is later mogelijk met het aangemaakte profiel), of (2) wanneer een kandidaat solliciteert voor een vacature voor CVWarehouse als organisatie zelf (niet één van onze klanten).
  2. CVWarehouse is een verwerker: wanneer een kandidaat solliciteert voor een specifieke online vacature van een klant (potentiële werkgever) op de CVWarehouse website of op de eigen website van een klant (die ondersteund wordt door CVWarehouse) . Dit betekent dat de klanten de persoonlijke gegevens van de kandidaat verwerken zoals zij dat zelf wensen (en niet CVWarehouse, die enkel een technische oplossing/platform biedt aan klanten om dit te kunnen doen).

Hebben klanten een eigen privacy-en cookiebeleid nodig?

Ja, in alle gevallen waar de klant de verantwoordelijke voor de verwerking is, d.w.z. voor alle verwerkingen van persoonlijke gegevens van de sollicitatie van een kandidaat. Kandidaten moeten het privacybeleid van het bedrijf waar ze solliciteren accepteren (en het privacybeleid van CVWarehouse wanneer ze een profiel aanmaken) Klanten moeten hun privacybeleid aan CVWarehouse bezorgen om dit te kunnen integreren in het sollicitatieformulier. Hetzelfde geldt voor de cookies die een klant wenst te implementeren op de jobsite: een cookie policy moet worden aangeleverd aan CVWarehouse om de cookies te kunnen implementeren.

Wat gebeurt met de informatie die een bedrijf aan een kandidaatdossier hangt?

Dit kan gebeuren wanneer deze informatie door de kandidaat aan het bedrijf wordt gegeven tijdens een sollicitatiegesprek of als resultaat van een test. Het bedrijf is hiervoor verantwoordelijk (als verwerkingsverantwoordelijke) omdat het sollicitatiegegevens betreft en zal een kandidaat om toestemming vragen voordat dergelijke informatie aan een kandidaatdossier wordt toegevoegd. Het is niet toegestaan voor bedrijven om gevoelige informatie over een kandidaat bij te houden zoals religieuze of filosofische overtuigingen, seksuele geaardheid, informatie over vakbondslidmaatschap, ras of etnische afkomst, politieke opvattingen, genetische of biometrische gegevens, ... wat verboden is door CVWarehouse (zie onze algemene voorwaarden voor klanten).

Wat gebeurt er met documenten die een bedrijf heeft bijgevoegd als een kandidaat zichzelf wil verwijderen of wordt verwijderd door het bedrijf?

Alle informatie over de kandidaat wordt 14 dagen na een dergelijk verzoek verwijderd, ook in het bedrijfsprofiel. Er wordt een kennisgeving naar de klant gestuurd na een verzoek tot verwijdering. De klant is, als afzonderlijke verantwoordelijke voor de verwerking, verantwoordelijk voor het verwijderen van alle kopieën en back-ups van documenten aan zijn kant.

Kan een bedrijf een kandidaat toevoegen aan het ATS die niet gesolliciteerd heeft via CVWarehouse en geen login heeft?

In dit geval heeft de kandidaat zijn CV aan het bedrijf verstrekt, zodat het bedrijf deze gegevens in het platform kan invoeren. Het bedrijf is hiervoor verantwoordelijk (als verwerkingsverantwoordelijke) en zal een kandidaat eerst om toestemming vragen. Het bedrijf moet een procedure instellen om deze gegevens te verwijderen wanneer een kandidaat hierom vraagt (of andere rechten wil uitoefenen, zoals het rectificeren van gegevens), aangezien dergelijke verzoeken, in tegenstelling tot een kandidaat met een profiel, geen deel uitmaken van een geautomatiseerd proces.

Als een bestand van een kandidaat verwijderd dient te worden (Wanneer het bedrijf de verwerkingsverantwordelijke is) kunnen we de info dan, weliswaar anoniem, in de database bewaren?

Ja, er is geen link naar een specifiek persoon na het verwijderen. De anonieme data kunnen echter wel bewaard worden in de database (bijvoorbeeld voor statistieken).

Wat gebeurt er met alle rapporten met kandidaatgegevens?

Alle rapporten zullen automatisch verwijderd worden na 4 maanden, beginnende van de aanmaakdatum.

Wat is het verschil tussen een "open database systeem" en een "gesloten database systeem" en waarom is dit belangrijk voor GDPR?

In een open databasesysteem kunnen betrokkenen hun persoonlijke gegevens toevoegen, beheren en/ of verwijderen, bijvoorbeeld door middel van een persoonlijk login- of profielaccount.

In een gesloten databasesysteem vullen betrokkenen een formulier in met informatie, maar hebben achteraf geen opties om hun persoonlijke gegevens te wijzigen of te verwijderen.

De CVWarehouse tool kan - tegelijkertijd - zowel een gesloten als een open systeem zijn. Voor alle kandidaten die een CVWarehouse-profiel aanmaken (en gebruiken om te solliciteren), is de tool een open databasesysteem.

De CVWarehouse tool gedraagt zich als een gesloten databasesysteem wanneer:

  • Bedrijven handmatig informatie over kandidaten toevoegen
  • Kandidaten solliciteren zonder een profiel aan te maken of te gebruiken (door alleen een registratieformulier in te vullen)
  • Bedrijven met HR Partners werken die hen kandidaatinformatie leveren.

Het open gedeelte van de tool is volledig transparant voor de betrokkenen, omdat ze altijd hun profiel kunnen raadplegen om te zien welke gegevens ze delen met een bedrijf en voor welke vacature.

Ze kunnen de gegevens ook zelf aanpassen of een verzoek indienen om hun profiel te verwijderen.

Het gesloten deel van de tool stelt vast dat het beheer van de gegevens en het beantwoorden van verzoeken van kandidaten rechtstreeks door de bedrijven zelf moet worden afgehandeld.

Als gevolg van deze transparantie resulteert het werken met een open systeem in minder GDPR-administratie voor bedrijven, aangezien de profielopties voor kandidaten de meeste vragen of verzoeken van kandidaten zullen oplossen, volgens het privacy-by-design principe van GDPR.

Wat als bedrijven werken met HR Partners of Temp Agencies (wervingsbureaus)?

Bedrijven (CVWarehouse klanten) kunnen werken met HR Partners of uitzendbureaus ("rekruteringsbureaus"). Het doel van rekruteringsbureaus is om geschikte kandidaten en profielen aan te bieden voor functies die bedrijven willen invullen.

Recruitmentbureaus kunnen kandidaten voorstellen aan bedrijven via middelen buiten het CVWarehouse platform. De gegevens van de kandidaten kunnen dan handmatig door de bedrijven worden toegevoegd aan de CVWarehouse-omgeving van het bedrijf.

Als alternatief biedt CVWarehouse bedrijven een beveiligde manier voor rekruteringsbureaus om kandidaten voor te stellen en hun gegevens rechtstreeks in het platform in te dienen, als een extra optionele functie. Deze functie (genaamd HR Partner Portal) valt onder de gebruiksvoorwaarden tussen CVWarehouse en de rekruteringsbureaus.

Bedrijven geven aan met welke rekruteringsbureaus ze samenwerken en CVWarehouse geeft toegang tot de HR Partner Portal maar is niet betrokken bij een bestaande overeenkomst, of het gebrek daaraan, tussen de bedrijven en de rekruteringsbureaus.

In beide situaties, wanneer de HR Partner Portal wordt gebruikt of wanneer rekruteringsbureaus kandidaten naar bedrijven sturen op een andere manier die buiten het bereik van CVWarehouse valt, gedraagt het CVWarehouse platform zich als een gesloten database (zie vorige vraag om te leren wat een gesloten database betekent).

Aangezien kandidaten hun gegevens delen met rekruteringsbureaus, vallen alle verzoeken en overeenkomsten met betrekking tot kandidaatgegevens onder de verantwoordelijkheid van de rekruteringsbureaus en worden ze rechtstreeks afgehandeld tussen kandidaten en rekruteringsbureaus.

Hebben CVWarehouse of haar klanten een overeenkomst nodig betreffende gegevensverwerking met jobplatformen zoals Indeed.com, Mitula, Glassdoor, etc.?

Voor alle partners waarmee CVWarehouse samenwerkt die ook gegevens verwerken van kandidaten (zoals onze datacenterpartner), heeft CVWarehouse subprocessorsovereenkomsten ondertekend.

Voor job board partners zoals Indeed, Mitula, etc. is dit niet van toepassing aangezien CVWarehouse enkel informatie over vacatures doorstuurt en job boards zichzelf als aparte controllers beschouwen. Kandidaten die solliciteren nadat ze een vacature hebben gevonden via zo'n platform, doen dit altijd via een CVWarehouse sollicitatieformulier, tenzij een job board zou eisen dat dit anders gebeurt op de job board zelf.

Wat is dataretentie en wanneer is het nodig?

Dataretentie is hoe lang iemand informatie gebruikt, bezit of beheert. In een rekruteringscontext schrijft GDPR voor dat organisaties een beleid voor gegevensbewaring (als onderdeel van een privacybeleid) moeten aannemen om aan datasubjecten / kandidaten aan te geven waarom zij de informatie verzamelen en hoe lang ze deze gegevens bewaren.

Als gevolg hiervan is het niet toegestaan ​​om persoonlijke gegevens gedurende een langere periode te bewaren dan is vastgelegd in uw beleid voor het bewaren van gegevens.

Bij het opstellen van uw privacybeleid ten aanzien van kandidaten, is het daarom van het grootste belang om duidelijk te omschrijven waarom u hun informatie verzamelt en voor hoelang.

Als u de scope definieert als verzamelinformatie voor het invullen van openstaande vacatures, beperkt u uw opties meer dan wanneer u de scope definieert als verzamelinformatie voor het invullen van vacatures en het opbouwen van een talentenpool voor toekomstige wervingsbehoeften.

In het licht van deze tweede mogelijkheid is het veel aannemelijker om persoonlijke gegevens van kandidaten langer te bewaren dan alleen de duur van het wervingsproces van de vacature waarop ze gesolliciteerd hebben, aangezien je de persoonlijke gegevens ook voor toekomstige vacatures zult gebruiken. Het is aan jou om een van deze periodes te definiëren, afhankelijk van de optie die je kiest en ook afhankelijk van het feit of je een officiële talentpool moet bijhouden (wat als optie voorzien is in de instellingen van Retentieperiode ATS).

Hoe kan CVWarehouse mijn bedrijf helpen bij het opzetten van een retentieperiode?

Indien uw bedrijf een retentiebeleid heeft gedefinieerd in jullie privacybeleid, kan u via een functionaliteit van CVWarehouse uw eigen retentiebeleid instellen.

Op basis van deze instellingen voor de Bewaarperiode ATS zal CVWarehouse de gegevens van kandidaten uit uw database verwijderen wanneer de vooraf bepaalde bewaarperiode afloopt.

Kandidaten ontvangen een e-mail en krijgen de optie om hun gegevens te blijven delen met uw bedrijf voor een langere bewaarperiode.

Het CVWarehouse platform zorgt voor een duidelijke en transparante communicatie tussen bedrijven en kandidaten.

Met deze functie helpt CVWarehouse u om uw eigen regels voor bewaartermijnen af te dwingen, GDPR Compliant te zijn en verzekert u zich van een transparant, geautomatiseerd en traceerbaar proces voor het bewaren van gegevens.

Welke informatie moet worden opgenomen in een privacybeleid ten aanzien van kandidaten?

Uw privacybeleid ten opzichte van kandidaten moet kort zijn, gemakkelijk te vinden en te beschrijven op een manier dat het gemakkelijk te begrijpen is voor iedereen die het wil lezen.

Idealiter bevat uw privacyverklaring informatie over:

  • - wie u bent als organisatie.
  • - welke gegevens u verzamelt.
  • - waarom u persoonlijke gegevens verzamelt.
  • - met wie u deze gegevens deelt en waarom.
  • - hoe lang u deze gegevens opslaat.
  • - welke rechten betrokkenen/kandidaten hebben en hoe zij hun rechten kunnen uitoefenen.
  • - of gegevens worden verzonden of doorgestuurd buiten de EU, zo ja, met welke mechanismen de gegevens worden beveiligd
  • - bij wie kandidaten terecht kunnen bij vragen of klachten.

Welk sjabloon kan gebruikt worden om een privacy policy op te stellen?

Klanten van CVWarehouse zijn vrij om de privacyverklaring van CVWarehouse naar kandidaten te gebruiken als inspiratie of als uitgangspunt voor het opstellen van hun eigen privacybeleid ten aanzien van kandidaten. Houd er echter rekening mee dat uw eigen privacybeleid anders zal zijn dan dat van CVWarehouse, omdat bepaalde aspecten heel anders zullen zijn.

Heeft een kandidaat het recht alle interne informatie op te vragen die we in hun profiel hebben bijgehouden?

Kandidaten hebben het recht om meer details te vragen over welke persoonlijke gegevens door u worden verwerkt, inclusief een kopie van die informatie, maar het uitoefenen van dit recht is beperkt omdat dit niet kan leiden tot nadelige gevolgen voor de rechten en vrijheden van anderen. Daarom zou u zich op dit principe kunnen baseren om niet alle zuiver interne documenten aan een kandidaat te onthullen.

Wat is het privacybeleid van CVWarehouse naar kandidaten toe?

Klik hier om het privacybeleid te lezen.