Waarom de AVG direct van toepassing is op recruitment

De Algemene Verordening Gegevensbescherming (AVG) — in Europa ook bekend als de GDPR — geldt voor elke organisatie die persoonsgegevens verwerkt van mensen in de EU. Als recruitmentbureau ben jij de verwerkingsverantwoordelijke: jij bepaalt het doel en de middelen van de verwerking.

De Autoriteit Persoonsgegevens (AP) heeft specifieke richtlijnen voor werving en selectie gepubliceerd én treedt actief handhavend op in de HR-sector. Boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet.

Welke gegevens vallen onder de AVG bij recruitment?

Alles waarmee een persoon direct of indirect identificeerbaar is. In recruitment gaat het om:

  • Naam, adres, telefoonnummer en e-mailadres
  • CV-inhoud: werkervaring, opleiding, vaardigheden, referenties
  • Audio- of video-opnames van intake- of sollicitatiegesprekken
  • Salarisindicaties en financiële informatie
  • Bijzondere categorieën: gezondheid, nationaliteit, religie — extra beschermd

Bijzondere categorieën mogen alleen worden verwerkt met uitdrukkelijke toestemming of een andere wettelijke rechtsgrond.

Op welke AVG-grondslag werk jij?

Elke verwerking moet steunen op één van de zes grondslagen. Meest relevant voor recruiters:

  1. Toestemming — vrij, specifiek en geïnformeerd gegeven door de kandidaat.
  2. Uitvoering van een overeenkomst — noodzakelijk voor de opdracht, bijv. bij detachering.
  3. Gerechtvaardigd belang — verwerking is noodzakelijk voor jouw belang, mits dit zwaarder weegt dan het belang van de kandidaat.

Let op: toestemming van een sollicitant die afhankelijk is van jouw bureau is niet altijd "vrij gegeven". Overweeg of een andere grondslag robuuster is.

Bewaarplicht: hoe lang mag je CV's bewaren?

De AVG vereist dat gegevens niet langer worden bewaard dan noodzakelijk. Richtlijnen van de NBBU en ABU:

  • Afgewezen kandidaten: max. 4 weken na afronding procedure
  • Talentpool met toestemming: max. 1 jaar, daarna opnieuw toestemming vragen
  • Geplaatste kandidaten/medewerkers: conform wettelijke bewaarplicht personeelsadministratie

AI CV-tools en de AVG: 4 aandachtspunten

Steeds meer bureaus gebruiken AI-tools voor CV-verwerking en transcriptie. Dat brengt extra verplichtingen:

  1. Verwerkersovereenkomst — verplicht met elke leverancier die kandidaatdata verwerkt, inclusief AI-tools en ATS-systemen.
  2. Datalocatie — slaat de tool data op buiten de EU? Dan gelden extra vereisten voor internationale doorgifte (Standard Contractual Clauses of adequaatheidsbesluit).
  3. Modeltraining — kandidaatgegevens mogen niet worden gebruikt voor het trainen van AI-modellen zonder expliciete toestemming.
  4. Transparantie — informeer kandidaten als AI wordt ingezet bij de verwerking van hun gegevens.
TalentPrompt en de AVG: alle kandidaatdata wordt opgeslagen op servers in Nederland, er worden geen gegevens gebruikt voor modeltraining, en elke klant ontvangt een verwerkersovereenkomst. Meer over onze privacyaanpak: lees ons privacybeleid.

Praktische AVG-checklist voor recruitmentbureaus

  • Privacybeleid opgesteld dat ingaat op kandidaatgegevens?
  • Verwerkingsgrondslag vastgelegd per type verwerking?
  • Kandidaten geïnformeerd bij eerste contact?
  • Verwerkersovereenkomsten met alle externe leveranciers gesloten?
  • Data opgeslagen binnen de EU?
  • Bewaartermijnen ingericht en geborgd in het ATS?
  • Procedure voor inzage-, correctie- en verwijderverzoeken van kandidaten?

Officiële bronnen

AVG-compliant werken met AI?

TalentPrompt helpt recruiters sneller te werken zonder concessies te doen aan AVG-compliance. Data in Nederland, geen modeltraining met kandidaatgegevens, verwerkersovereenkomst standaard inbegrepen.

Demo aanvragen