Het ATS Workable heeft binnen haar Help omgeving een hele pagina besteed aan de Disposition Sync API van Indeed. En hierin geeft het ATS meer informatie over de Indeed data grab dan ik bij veel andere ATS’en heb gezien. En dat is mooi. Minder mooi is dat Workable onder haar motto “We value data protection and Privacy” juist op dat gebied haar gebruikers een gigantisch oor aannaait. Waarmee haar gebruikers bij een rechtszaak van een boze werkzoekende weleens aan het korte eind zou kunnen trekken.

Workable begint met een stroomschema dat er zeer onschuldig uitziet:

Sharing Disposition Data with Indeed – Workable

Workable doet het hier voorkomen dat de hiring signals (lees: disposition data) door Indeed worden ontvangen met als doel de matching algoritmes te trainen. Dit suggereert dat er geen koppeling plaatsvindt tussen de persoonsprofielen van werkzoekers in Indeed en de disposition data, zoals ook door Workable wordt gesuggereerd:

The disposition data is aggregated and analyzed by the job seeker product team to improve the targeting of job ads and the application experience itself.

Maar klopt dat wel? Niet volgens de privacy verklaring van Indeed:

Privacyverklaring, Statusupdates van kandidaten – Indeed

Volgens Indeed worden de disposition data (statusupdates) aan de persoonsprofielen van werkzoekers in Indeed gekoppeld. Workable zou haar stroomschema dus als volgt moeten aanpassen:

Sharing Disposition Data with Indeed, update – Workable

Dat ziet er, in mijn ogen, al een stuk minder onschuldig uit. Een werkgever die een sollicitatieproces met een kandidaat doorloopt, en tijdens dat proces statusupdates invoert in haar ATS, moet plotseling ervaren dat gegevens die onder zijn/haar (privacy) verantwoordelijkheid vallen plotseling bij een leverancier terechtkomen.

Maar… volgens Workable (lees: Indeed) zijn er vele voordelen als gevolg van het delen van disposition data:

Get more quality applicants for your jobs. The disposition data is aggregated and analyzed by the job seeker product team to improve the targeting of job ads and the application experience itself. That way, candidates better understand how the skills on their resumes meet your requirements […].

Een vage boodschap (data is aggegated and analyzed) zonder enige harde toezegging betekent feitelijk niets.

Earn an Employer Response Badge. This is a “Responsive Employer” icon that shows up on jobs in Indeed search results highlighting you as an employer that is highly responsive to applications from job seekers. It is a valuable insight for job seekers as they decide which jobs to apply to.

Dit is wat ik wil toewijzen aan de categorie ‘spiegeltjes en kraaltjes’. Maar spiegeltjes en kraaltjes kunnen misschien fijn zijn…

Opting out of sharing disposition data means missing out on the benefits that contribute to overall job performance. This information is crucial for optimizing job performance through improved matching. Early data shows that jobs with disposition data enabled perform better, with a possible improvement of 30%. Additionally, employers who do not actively use disposition data won’t be eligible for the “Responsive Employer” flag on their jobs.

Dit is de angstaanjaag opie, plus een beroep op gemeenschapszin en een vage claim die ik al eens eerder heb behandeld.

Workable geeft verder ook nog informatie hoe die uitwisseling in zijn werk gaat:

How doe this work? – Workable

Anonymized application ID heet in het schema Indeed Apply ID Number. En dat laatste klinkt niet echt anoniem. En dat is het ook niet, want dat is de code die door Indeed aan de sollicitant is gehangen op het moment dat de sollicitant op de Snelsollicitatie knop bij een vacature op Indeed heeft geklikt. Maar let op onderstaande argumentatie van Workable/Indeed:

We value data protection and Privacy and no Personally Identifiable Information (PII) is passed from Workable to Indeed. The data sent in Disposition Data cannot be used to identify a candidate in isolation; it only includes a timestamp, an anonymized application ID, and the application status. This approach aligns with GDPR and other advanced data protection codes’ security and data minimization principles.

Dit is humbug van een hogere juridische orde. Het bericht bevat velden waarmee een buitenstaander niets kan. Maar Indeed is geen buitenstaander, en voor Indeed bevat een bericht via de Disposition Sync een unieke identificatie van een Indeed kandidaatprofiel. Alleen in de millisecondes tijdens het versturen van het bericht is er geen probleem, maar vervolgens plakt Indeed vrolijk alle disposition data aan de verschillende persoonsprofielen in Indeed.

En dan is er nog dit:

Is consent from the job seeker required for receiving Disposition Data?

De vraag: Is consent from the job seeker required for receiving Disposition Data? begrijp ik niet. We zitten op een pagina van Workable waarbij Workable de werking en de ‘voordelen’ van Indeed’s Disposition Sync uitlegt. Maar ongeacht wat er met deze vraag wordt bedoeld, in de uitleg van de vraag stelt Workable volgens mij dat de werkgever de kandidaat niet om toestemming hoeft te vragen om disposition data met Indeed te delen. En dat lijkt mij bijzonder dubieus. De werkgever is de controller van alle persoonsgegevens in het ATS, dus ook van de disposition data. In aanvulling daarop eist Indeed ook de controller rol op voor de disposition data, waardoor Indeed deze gegevens vervolgens ook veel langer kan bewaren dan de werkgever… Maar de werkgever is de originele bron van disposition data, niet Indeed. Dus heeft de werkgever ook de plicht om de sollicitant te informeren en dient het mutatis mutandis ook in de privacyverklaring van de werkgever te zijn opgenomen.

En daarmee naait Workable haar eigen klanten een oor aan.