Executive search bureaus moeten zich aan strenge privacyregels houden bij het werven van toptalent. De AVG (GDPR) vormt het juridische kader voor het verwerken van kandidaatsgegevens, met specifieke eisen voor toestemming, transparantie en bewaartermijnen. Daarnaast gelden er branche specifieke verplichtingen die recruitment professionals moeten naleven om kandidaten optimaal te beschermen tijdens het selectieproces.
Welke privacywetgeving is van toepassing op executive search activiteiten?
De Algemene Verordening Gegevensbescherming (AVG/GDPR) is de belangrijkste privacywet die van toepassing is op executive search activiteiten in Nederland. Deze Europese verordening regelt hoe recruitment bureaus persoonlijke gegevens van kandidaten mogen verzamelen, verwerken en bewaren. Daarnaast geldt de Nederlandse Uitvoeringswet AVG voor specifieke nationale bepalingen.
De AVG definieert persoonlijke gegevens zeer breed. Dit omvat niet alleen voor de hand liggende informatie zoals namen en contactgegevens, maar ook cv’s, motivatiebrieven, referenties, assessmentresultaten en gespreksnotities. Zelfs informatie over werkervaring, opleidingsachtergrond en competenties valt onder deze definitie wanneer deze aan een identificeerbare persoon gekoppeld kan worden.
Executive search bureaus worden beschouwd als verwerkingsverantwoordelijken onder de AVG. Dit betekent dat zij bepalen waarom en hoe kandidaatsgegevens worden verwerkt. Bij samenwerking met externe partijen zoals assessment bureaus of referentiecontroleurs moeten duidelijke verwerkersovereenkomsten worden afgesloten om te voldoen aan de wettelijke vereisten.
Wat zijn de belangrijkste verplichtingen voor executive search bureaus onder de AVG?
Executive search bureaus moeten een rechtmatige grondslag hebben voor elke verwerking van kandidaatsgegevens. Voor sollicitatieprocedures is dit meestal het gerechtvaardigd belang van de organisatie om een vacature te vervullen. Voor gevoelige gegevens zoals gezondheidsinformatie is expliciete toestemming vereist.
Transparantie staat centraal in de AVG-verplichtingen. Je moet kandidaten duidelijk informeren over welke gegevens je verzamelt, waarom je deze gebruikt, hoe lang je deze bewaart en met wie je deze deelt. Deze informatie verstrek je bij het eerste contact, bijvoorbeeld via een privacyverklaring op je website of in je eerste communicatie.
Geïnformeerde toestemming betekent dat kandidaten bewust en vrijwillig akkoord gaan met de verwerking van hun gegevens. Dit geldt vooral voor het delen van gegevens met opdrachtgevers of het bewaren van gegevens voor toekomstige vacatures. Zorg ervoor dat kandidaten kunnen weigeren zonder dat dit hun sollicitatie beïnvloedt.
Beveiliging van kandidaatsgegevens is een absolute vereiste. Implementeer technische en organisatorische maatregelen zoals encryptie, toegangscontroles en beveiligde systemen. Train je medewerkers in privacybewustzijn en stel duidelijke procedures op voor het omgaan met datalekken.
Hoe lang mogen executive search bureaus kandidaatsgegevens bewaren?
Executive search bureaus mogen kandidaatsgegevens bewaren zolang dit noodzakelijk is voor het doel waarvoor ze zijn verzameld. Voor actieve sollicitatieprocedures betekent dit meestal tot het moment dat de vacature is vervuld en eventuele bezwaarprocedures zijn afgerond.
Voor niet-geselecteerde kandidaten geldt een bewaartermijn van maximaal vier weken na afronding van de selectieprocedure, tenzij er sprake is van expliciete toestemming voor langer bewaren. Wanneer kandidaten toestemming geven om hun gegevens te bewaren voor toekomstige vacatures, kun je deze maximaal twee jaar bewaren.
Verschillende soorten gegevens vereisen verschillende bewaartermijnen. Basiscontactgegevens en cv’s mogen langer bewaard worden dan gevoelige informatie zoals assessmentresultaten of referentieverslagen. Gespreksnotities en evaluaties moeten meestal binnen enkele maanden na afronding van het proces worden verwijderd.
Een effectief dataretentiebeleid helpt je om systematisch gegevens te beheren. Stel automatische herinneringen in voor het reviewen van kandidaatsdatabases, documenteer je bewaartermijnen per gegevenstype en zorg voor veilige vernietiging van gegevens wanneer de bewaartermijn verloopt. Dit voorkomt dat je onnodig lange tijd gegevens bewaart.
Welke rechten hebben kandidaten bij executive search processen?
Kandidaten hebben uitgebreide privacyrechten onder de AVG die executive search bureaus moeten respecteren. Het recht op inzage betekent dat kandidaten kunnen vragen welke gegevens je over hen hebt verzameld, hoe je deze gebruikt en met wie je deze hebt gedeeld.
Het recht op rectificatie stelt kandidaten in staat om onjuiste of verouderde gegevens te laten corrigeren. Dit is vooral relevant voor cv-informatie, contactgegevens en gespreksnotities die mogelijk verkeerd zijn geïnterpreteerd of genoteerd. Reageer binnen één maand op dergelijke verzoeken.
Het recht op verwijdering, ook bekend als het “recht om vergeten te worden”, geeft kandidaten de mogelijkheid om hun gegevens te laten wissen. Dit geldt vooral wanneer gegevens niet langer nodig zijn voor het oorspronkelijke doel of wanneer kandidaten hun toestemming intrekken voor toekomstig contact.
Het recht van bezwaar stelt kandidaten in staat om te protesteren tegen bepaalde verwerkingen van hun gegevens. Bij executive search komt dit vaak voor bij het delen van gegevens met opdrachtgevers of het gebruik van gegevens voor marketingdoeleinden. Implementeer duidelijke procedures om snel en adequaat op kandidaatsverzoeken te kunnen reageren, en train je team in het correct afhandelen van deze rechten.
Privacycompliance in executive search vereist een proactieve aanpak waarbij je kandidaatsrechten respecteert en transparant communiceert over gegevensverwerking. Door de AVG-regels correct toe te passen, bouw je vertrouwen op met zowel kandidaten als opdrachtgevers, vooral in gespecialiseerde sectoren zoals IT recruitment. Voor vragen over privacybeleid kun je altijd contact opnemen met specialisten. Dit vormt de basis voor succesvolle, langdurige relaties in de recruitmentsector.
Veelgestelde vragen
Hoe kan ik als executive search bureau snel reageren op een datalek met kandidaatsgegevens?
Bij een datalek moet je binnen 72 uur de Autoriteit Persoonsgegevens informeren. Stel direct een crisisteam samen, isoleer het lek, documenteer wat er gebeurd is en informeer getroffen kandidaten binnen 72 uur als er een hoog risico is voor hun rechten en vrijheden. Houd een register bij van alle datalekken voor toekomstige audits.
Mag ik kandidaatsgegevens delen met internationale opdrachtgevers buiten de EU?
Ja, maar alleen als het land een adequaat beschermingsniveau heeft volgens de Europese Commissie, of als je passende waarborgen implementeert zoals standaardcontractbepalingen. Voor landen zoals de VS moet je extra voorzorgsmaatregelen treffen. Informeer kandidaten altijd vooraf over internationale doorgifte van hun gegevens.
Hoe implementeer ik 'privacy by design' in mijn executive search processen?
Begin elke nieuwe procedure met een privacy impact assessment. Gebruik systemen die standaard minimale gegevens verzamelen, implementeer automatische verwijdering na bewaartermijnen en geef kandidaten vanaf het begin controle over hun gegevens. Kies software leveranciers die AVG-compliant zijn en documenteer al je privacybeslissingen.
Wat moet ik doen als een kandidaat toestemming intrekt voor het bewaren van zijn gegevens?
Verwijder de gegevens binnen één maand, tenzij je een andere rechtmatige grondslag hebt zoals wettelijke bewaarplicht. Controleer of de gegevens ook bij externe partners zijn opgeslagen en zorg dat deze ook worden verwijderd. Documenteer de intrekking en bevestig schriftelijk aan de kandidaat dat zijn gegevens zijn gewist.
Hoe kan ik bewijzen dat mijn bureau AVG-compliant werkt tijdens een audit?
Houd een verwerkingsregister bij van alle kandidaatsgegevens, documenteer je rechtmatige grondslagen, bewaar kopieën van toestemmingsverklaringen en privacyverklaringen. Zorg voor training logs van medewerkers, beveiligingsmaatregelen documentatie en een duidelijk dataretentiebeleid. Voer regelmatig interne privacy audits uit.
Welke specifieke voorzorgsmaatregelen moet ik nemen bij het werken met gevoelige kandidaatsgegevens?
Voor bijzondere categorieën gegevens zoals gezondheidsinfo heb je altijd expliciete toestemming nodig. Gebruik extra encryptie, beperk toegang tot alleen noodzakelijke medewerkers en bewaar deze gegevens gescheiden van andere kandidaatsgegevens. Implementeer extra logging om te kunnen aantonen wie wanneer toegang heeft gehad tot gevoelige informatie.