Na aanleiding van eerdere discussies over wat wel en niet mag met data in CV databanken heb ik besloten eens een gesprek aan te gaan met Arnoud Engelfriet. Arnoud is partner in het bedrijf ICTrecht, blogger (iusmentis en marketingfacts), secretaris van de Stichting Copyright & Nieuwe Media en auteur van het boek de wet op internet.
Ik heb met Arnoud een interessant gesprek gehad over de wet met betrekking tot het vastleggen van gegevens vanaf het internet in eigen databases. De wet is in deze een stuk ruimer dan ik dacht, maar volgens mij niet zo ruim als veel andere mensen denken.
Vraag: Arnoud, hoe zit het met het vastleggen van data die je op het internet vindt? Mag dat zomaar? Heb je daar toestemming voor nodig?
Antwoord: Voor persoonlijke informatie kun je als vuistregel hanteren dat er altijd toestemming moet zijn van die persoon voor wat je ermee doet. Dat kan expliciet maar hoeft niet. Als jij mij een e-mail stuurt, geef je impliciet toestemming om je e-mailadres in mijn adresboek te zetten. Maar om jou aan mijn mailinglijst toe te voegen, heb ik apart toestemming nodig van jou.
Vraag: Goed, maar stel ik zet mijn CV op monsterboard. Daarmee geef ik bedrijven impliciet toestemming mij te mailen. Maar hebben deze bedrijven dan ook recht om mij op te nemen in hun database? Mijn persoonsgegevens?
Antwoord: Dat is een grensgeval. Als ze je mogen mailen, mogen ze je ook noteren als mogelijke kandidaat om te mailen. Een sollicitant zal het niet zo erg vinden lijkt me dat een werkgever die gegevens kopieert om later te gaan bellen.
Aan de andere kant, op het moment dat je een nieuwe baan vindt, wil je niet meer gebeld worden met aanbiedingen.
Vraag: En hoe zit dat met gegevens van Linkedin? Mag je die dan zomaar vastleggen zonder toestemming?
Antwoord: De vraag is met welk doel de gegevens aangeboden worden. Je mag ze dan voor dat doel inzetten, en dan ook kopiëren en elders opslaan als dat nodig is voor dat doel. Ik mag jouw 06-nummer van je CV bij Monsterboard halen en in mijn mobiel zetten omdat ik je woensdag wil gaan bellen als ik in de trein zit.
Vraag: Maar dat houdt dus in dat je geen Linkedin gegevens mag vastleggen zonder expliciete toestemming. Immers, Linkedin is niet per definitie bedoeld voor recruitment, dus die gegevens mag je pas vastleggen na expliciete toestemming?
Antwoord: Ja, het doel is er niet, dus dat mag niet. Tenzij je bijvoorbeeld aangeeft dat je open staat voor career opportunities. Dan geef je aan dat dat één van de doelen is waarom je daar actief bent en dus een recruiter impliciet toestemming je te benaderen.
Vraag: Dus als dat niet wordt aangegeven en je gegevens worden toch vastgelegd, is die persoon in overtreding van de wet?
Antwoord: Ja.
Vraag: Maar je mag de profielen wel bookmarken? Immers leg je dan geen gegevens vast, enkel een bookmarkt van de site. Een eenvoudige oplossing zou dus zijn om als recruitmentbureau één gezamenlijk del.icio.us account aan te maken en ze daar op te slaan, tot je in gesprek raakt met iemand over een baan. Dan mag je de gegevens vastleggen.
Antwoord: Ja, bookmarken mag wel, daar leg je namelijk geen persoonsgegevens vast. Dus dat zou een mooie oplossing zijn.
Vraag: Maar een recruiter mag dus wel de hele CV overnemen en in zijn eigen database zetten als iemand zijn of haar CV op een jobboard heeft gezet?
Antwoord: Ja dus, als dat nodig is voor het contacteren. Je zult die CV bijvoorbeeld door willen sturen naar de betrokken managers om te weten of contacteren zinvol is.Of naar een extern bureau voor een background check. Dat mag.
Vraag: En mag je iemand zomaar toevoegen aan een nieuwsbrief of mailing, bijvoorbeeld op basis van het feit dat hij zijn CV op jobbord heeft gezet?
Antwoord: Ik ken de ellende. Er zijn bedrijven die zakelijke contacten altijd op een nieuwsbrief zetten, ook als je ze maar 1 keer vraagt om een whitepaper of iets dergelijks. Uit een misplaatst gevoel van service. Echter, het is heel lastig om hard te maken voor een bedrijf dat dit in het verlengde van het doel ligt waarom iemand zijn CV op monsterboard heeft gezet. E-mailadressen uit CV’s trekken om een mailinglijst te maken mag niet, ook niet als de mailing relevant is voor de beroepsgroep van de geselecteerde CV’s.
Je moet toestemming vragen of verzinnen waarom wat jij doet, logischerwijs voortvloeit uit de toestemming die je hebt gekregen. Iemand toevoegen aan een nieuwsbrief (ook al staan daar vacatures in) omdat hij of zij een CV ergens heeft neergezet is geen logisch gevolg van de toestemming om hem met een baan te benaderen.
Vraag: Dus je mag mensen niet benaderen voor iets anders dan een vacature?
Antwoord: In principe dus niet. Ja, iets als freelance klussen misschien wel. Dat ligt in het verlengde van een baan zoeken. Maar voor een seminar uitnodigen is al een grensgeval.
Vraag: Hoe zit het eigenlijk met het uitsluiten van partijen? Ik hoor dat steeds vaker CV’s online worden gezet met bijvoorbeeld de tekst erin: geen werving- en selectiebureaus of geen detacheerders. Uit ervaring van mijzelf en een vriend van me blijkt dat er in beide groepen mensen zitten die totaal niet op een dergelijke tekst letten en toch contact opnemen (en waarschijnlijk ook persoonsgegevens vastleggen). Hoe zit dat?
Antwoord: Als er een expliciet verbod bij staat voor bureaus, is het natuurlijk verboden om als bureau toch contact op te nemen. Los daarvan lijkt het me nogal dom om mensen te gaan bellen van wie je weet dat ze niet door jou gebeld willen worden.
Je kunt als je gebeld wordt door zo’n bureau simpelweg eisen dat ze je gegevens uit hun bestand verwijderen en verwijderd houden. Dat recht heb je op grond van de Wet Bescherming Persoonsgegevens.
Vraag: maar dan is het ‘kwaad dus al geschied’. Een bureau dat je benadert terwijl je dit expliciet op je CV aangeeft niet te willen overtreed dus officieel de wet?
Antwoord: Ja.
Vraag: Zit er trouwens nog een tijdslimiet aan? Ik bedoel, als ik nu mijn CV online zet en ze nemen die gegevens over in hun database. Mogen ze me dan zeg 6 maanden later wederom benaderen voor een baan? Mijn CV staat dan niet meer op een jobboard, alleen nog in hun database. Hoe zit dat?
Antwoord: Je mag gegevens bewaren zolang als je ze nodig hebt voor het doel. De wet noemt geen harde datums. Ik zou zeggen dat zes maanden wel zo’n beetje het maximum is. Op zijn minst zou je dan de gegevens eens moeten verversen.
Vraag: Over tijdslimieten gesproken. Stel dat ik me inschrijf bij een bureau en hen dus expliciet toestemming geef mij te benaderen. Vervolgens hoor je bijvoorbeeld twee jaar niets meer van ze. Hoe zit dat dan? Geef je die permissie oneindig? Of zitten ook daar grenzen aan?
Antwoord: Als je toestemming geeft, is die in principe oneindig. Je kunt hem wel op elk moment intrekken, en daar moet het bedrijf dan gehoor aan geven. Tenzij ze een goede reden hebben om de gegevens toch te mogen bewaren. Als ik een webwinkel vraag mijn klantgegevens weg te gooien, moeten ze dat doen, tenzij er nog een rekening van mij open staat natuurlijk.
Vraag: Resumerend zou je dus kunnen stellen dat je gegevens uit CV databanken wel mag vastleggen, voor zover dat nodig is voor een sollicitatie. Maar dat je niet zomaar gegevens uit bijvoorbeeld Linkedin mag overzetten zonder explicite toestemming? En dat je die gegevens alleen mag gebruiken voor de sollicitatie en dus nooit iemand dan ook zomaar mag toevoegen voor een nieuwsbrief.
Antwoord: correct.
Vraag: En qua tijdslimieten, die zijn er wettelijk gezien niet. Toch heb je ook zoiets als logica, waardoor je eigenlijk regelmatig in ieder geval om een update zou moeten vragen. Dat zou best interessant kunnen zijn, als een kandidaat niet eens weet dat zijn gegevens zijn overgenomen uit Monsterboard.
Antwoord: Dat klopt, het kan tot hogere uitschrijvingen leiden, maar je moet je dan toch afvragen of die persoon in je database waarde heeft als hij niet weet dat hij erin zit en niet open staat voor een nieuwe baan.
Vraag: Wil je zelf nog iets toevoegen?
Antwoord: Nee, behalve dat mijn boek: de wet op het internet over een paar weken uitkomt. En wie zich voor donderdag inschrijft het voor maar 19,95 inclusief verzendkosten krijgt.
paul van oosterhout
says:Leuk interview en vooral duidelijk voor de lezers die er niet dagelijks mee te maken hebben maar wel een duidelijk kader willen.
Ik denk wel dat voorkomen beter is dan genezen. het is voor bijvoorbeeld een w&s bureau veel efficienter om bestanden up to date te houden. Dat scheelt ontzettend veel werk voor consultants en recruiters. Aantallen zijn 1, dat verkoopt lekker, conversie, daar verdien je het mee.
Cees
says:Zo klopt ie dan weer helemaal. 😉
Arnoud Engelfriet
says:Klopt Cees, dat was even iets te snel van mij. Hoewel je wel zou kunnen vragen om opheffing van je account en verwijdering van de verzendlijst van de nieuwsbrief en andere reclamemails.
Cees
says:“Als ik een webwinkel vraag mijn klantgegevens weg te gooien, moeten ze dat doen, tenzij er nog een rekening van mij open staat natuurlijk.”
Ik ben dan wel geen jurist, maar ik ben er toch vrij zeker van dat een webwinkel (of elke ander bedrijf) verplicht is om zijn administratie 7 jaar te bewaren. Een gefactureerde debiteur mag je derhalve pas na 7 jaar verwijderen.
Bas van de Haterd
says:@Frans: jammer dat het zo overkomt, dat laatste was mijn idee, niet het zijne. Ik wist niet van het boek tot ik hem gisteren sprak. Vond het het minste wat ik kon doen als een jurist bereid is zonder vergoeding zoveel tijd beschikbaar te stellen om zoveel vragen te beantwoorden. Maar volgens mij doet het niets van de inhoud af.
Frans Vrolijk
says:mooie verkapte vorm van reclame! Gefeliciteerd!