8vance en de AVG, geen match made in heaven. Deel 1

Logo en logotype 8vanceHierbij het eerste inhoudelijke artikel van de korte reeks “8vance en de AVG, geen match made in heaven”. Waarbij vandaag in detail wordt ingegaan op de privacyverklaring van 8vance om te onderzoeken of het bedrijf zich aan de Algemene verordening gegevensbescherming (AVG) houdt. In een tweede artikel wordt ingegaan op het recht op inzage in de eigen gegevens (art. 15 AVG).

In haar privacyverklaring (dd. 26 februari 2024) stelt 8vance het volgende:

Privacyverklaring 8vance, 1
Privacyverklaring 8vance, 1

Wacht even… meteen in de eerste regel geeft 8vance volmondig toe dat het bedrijf persoonsgegevens verwerkt!:

Voor het aanbieden van onze diensten en het uitvoeren van onze overeenkomsten verwerkt 8vance op een aantal manieren persoonsgegevens

Maar, maar, hoe kan het dan dat UWV op 27 oktober 2023 stellig beweerde dat 8vance geen persoonsgegevens verwerkt?:

In de vraag wordt gesteld dat er sprake is van verwerking van persoonsgegevens voor 8vance. 8vance geeft aan dat hier geen sprake van is.

Persoonsgegevens
Maar laten we even bij het begin beginnen. Wat zijn persoonsgegevens precies binnen de context van de AVG? Nou, dit:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. (AVG, art.4, lid 1).

De AVG stelt ook wat er niet mag worden gedaan met persoonsgegevens. Er zijn maar liefst 9 verbodsbepalingen:

  1. Verwerken zonder toestemming: Persoonsgegevens mogen niet zonder de uitdrukkelijke toestemming van de betrokkene worden verwerkt, tenzij er een andere wettelijke grondslag is voor de verwerking.

  2. Overtreden van de verwerkingsbeginselen: De AVG vereist dat gegevensverwerking rechtmatig, eerlijk, en transparant is. Het overtreden van deze beginselen, zoals het verwerken van gegevens op een wijze die misleidend of oneerlijk is, is niet toegestaan.

  3. Doelbinding overtreden: Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden.

  4. Minimale gegevensverwerking: Meer gegevens verzamelen dan noodzakelijk is voor het doel van de verwerking is niet toegestaan.

  5. Inaccurate gegevens bewaren: Het bewaren van onjuiste of verouderde persoonsgegevens is niet toegestaan. Gegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt.

  6. Bewaren van gegevens langer dan nodig: Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.

  7. Onvoldoende beveiligen van gegevens: Organisaties moeten passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking, verlies, vernietiging of schade.

  8. Gegevens zonder toestemming doorgeven aan derden: Persoonsgegevens mogen niet zonder toestemming aan derden worden doorgegeven, tenzij er een wettelijke basis is die dit toelaat.

  9. Niet voldoen aan de rechten van betrokkenen: De AVG geeft betrokkenen verschillende rechten, zoals het recht op inzage, correctie en verwijdering van hun gegevens. Het niet respecteren van deze rechten is niet toegestaan.

Van de in het grijs weergegeven vereisten is niet door RecruitmentMatters onderzocht of 8vance hieraan voldoet.

Van de in rood weergegeven vereisten is het (zeer) ernstige vermoeden dat 8vance hier niet aan voldoet.

Ad. 1. Verwerken zonder toestemming

Het is noodzakelijk om eerst wat dieper in te gaan op het eerste verbod; het verwerken van persoonsgegevens zonder toestemming. Binnen het kader van de AVG is een wettelijke grondslag voor de verwerking van persoonsgegevens een vereiste om deze verwerking te rechtvaardigen. De AVG stelt zes wettelijke grondslagen vast waarop de verwerking van persoonsgegevens kan worden gebaseerd:

  1. Toestemming van de betrokkene: De persoon heeft expliciete toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden. Dit is mogelijk van toepassing op personen die zich vrijwillig registreren, dit is echter niet het geval voor personen waarvan de persoonsgegevens van het publieke Internet worden gekopieerd zonder vraag of mededeling.

  2. Noodzakelijkheid voor de uitvoering van een overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór het aangaan van een overeenkomst maatregelen te nemen. Ook dit is alleen van toepassing op personen die zich vrijwillig registreren.

  3. Wettelijke verplichting: De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Hiervan is geen sprake in het geval van 8vance. Het bedrijf heeft er zelf voor gekozen.

  4. Bescherming van vitale belangen: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Ook hiervan is geen sprake in het geval van 8vance.

  5. Taak van algemeen belang of uitoefening van openbaar gezag: De verwerking is noodzakelijk voor het vervullen van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Ook hiervan is geen sprake in het geval van 8vance.

  6. Gerechtvaardigd belang: De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de fundamentele rechten en vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen. Zie hieronder.

In de eigen privacyverklaring zegt 8vance over gerechtvaardigde belangen het volgende:

Voor het verzamelen en gebruiken van trainingsdata en openbare matchingdata baseert 8vance zich op haar gerechtvaardigde belangen. Een goede werking van de 8vance matchingtechnologie is noodzakelijk voor bruikbare en economische exploitatie daarvan. Daarbij dienen we ook een maatschappelijk belang. Gebruik van het 8vance platform kan bijdragen aan een betere doorstroming op de arbeidsmarkt en vermindering van discriminatie, nu naam, afkomst, leeftijd en geslacht niet worden meegenomen in de matching. Daarnaast kunnen er wettelijke (administratie) verplichtingen zijn op grond waarvan wij persoonsgegevens verwerken.

Te allen tijde worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk is voor de door ons te bereiken doelen.

Laat ik de eerste zin uit bovenstaand statement eens even parafraseren:

“Voor het zonder instemming grootschalig kopieren van een enorme hoeveelheid persoonsgegevens zonder expliciete en vrijwillige toestemming van de betreffende personen baseert 8vance zich op haar commerciële belangen.”

Dat is een stuk eerlijker en vooral ook duidelijker.

Daarnaast claimt 8vance een maatschappelijk belang te dienen (betere doorstroming op de arbeidsmarkt, vermindering discriminatie). Los van de vraag of 8vance überhaupt objectief zou kunnen aantonen dat haar software invulling geeft aan deze claims, is het nog steeds schieten met een kanon op een mug. Waarbij het kanon de meer dan 85 miljoen profielen in de 8vance database zijn, en de mug is het aantal aanvullende plaatsingen op basis van haar software. Het lijkt me dat de Autoriteit Persoonsgegevens (AP) hier op zeer korte termijn maar eens haar tanden in moet gaan zetten. Tenslotte zegt de AP over gerechtvaardigd belang onder meer het volgende:

Wat niet als een gerechtvaardigd belang kwalificeert, is een algemeen belang van ‘de samenleving’ of iets dergelijks. Hierbij gaat het namelijk niet om een echt, concreet en rechtstreeks gerechtvaardigd belang van de verwerkingsverantwoordelijke of derde.

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.

En dan nog de laatste zin: Te allen tijde worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk is voor de door ons te bereiken doelen. Dit slaat overigens ook op de vierde verbodsbepaling (Ad.4. Minimale gegevensverwerking). In de volgende aflevering loop ik door alle velden heen die 8vance van mijn LinkedIn profiel heeft gekopieerd. En daaruit blijkt dat er zeer veel gegevens worden gekopieerd die helemaal niets met een betere doorstroming op de arbeidsmarkt te maken hebben. Sterker nog, de meeste door 8vance verzamelde gegevens hebben daar niets mee te maken… Nog zo’n dingetje waar de AP op zeer korte termijn eens haar tanden in moet gaan zetten.

Ad.2. Overtreden van de verwerkingsbeginselen

De AVG vereist dat gegevensverwerking rechtmatig, eerlijk, en transparant is. Ten aanzien van de rechtmatigheid schiet 8vance hier tekort omdat het zonder instemming persoonsgegevens kopieert van LinkedIn (en mogelijk andere sociale zakelijke netwerken). Het transparantiebeginse houdt in dat de betrokkene op de hoogte moet zijn van de verwerking en begrijpt welke persoonsgegevens worden verwerkt en om wat voor redenen.

Het is duidelijk dat 8vance bij het massaal kopieren van persoonsprofielen op LinkedIn niet aan het transparantiebeginsel voldoet.

Ad.3. Doelbinding overtreden

Ik verwijs hiervoor naar hetgeen onder Ad.1. (Verwerken zonder toestemming) is gezegd mbt. gerechtvaardigd belang

Ad.4. Minimale gegevensverwerking

Meer gegevens verzamelen dan noodzakelijk is voor het doel van de verwerking is niet toegestaan. Even terug naar het doel (Ad.3):

Het hoofddoel van 8vance is om vraag naar en aanbod van werk zo goed en eerlijk mogelijk te laten matchen. Om vrager en aanbieder in staat te stellen elkaar ook daadwerkelijk te vinden en contact te kunnen leggen, is het nodig om bepaalde persoonsgegevens te verwerken. Voor het ontwikkelen van de technologie die dat mogelijk maakt heeft 8vance trainingsdata moeten inzetten.

Voor het laten matchen van vraag en aanbod is maar een zeer beperkt aantal gegevens nodig, en daar horen gegevens als naam (voor- en achternaam), een profielfoto, een bio, en een ongekend hoeveelheid andere gegevens niet bij (zie artikel 2 in deze reeks). Het zijn echter wel gegevens die 8vance verzameld.

En laat ik even stilstaan bij de term ‘vrager’ die door 8vance wordt gebruikt in bovenstaande quote. Er zijn geen ‘vragers’ in de database van 8vance, want 8vance heeft ongevraagd profielen gekopieerd. 8vance bezigt hier een volstrekt onjuiste terminologie die een compleet verkeerde weergave van de werkelijkheid is.

Als ‘vrager’ en aanbieder met elkaar contact kunnen leggen, dan is er niet alleen sprake van persoonsinformatie maar zelfs contactinformatie (in ieder geval de LinkedIn url van de ‘kandidaat’). 8vance zegt in haar privacyverklaring daar het volgende over:

De openbare data die wij verwerken bevat geen contactgegevens maar wel een link naar het originele bronprofiel. 8vance gebruikers die geïnteresseerd zijn in de betreffende kandidaat, kunnen dan via de originele openbare bron contact opnemen.

Is dit een gevalletje semantiek? Een LinkedIn url naar een persoonsprofiel in LinkedIn zorgt ervoor dat de gebruiker direct contact kan maken met de betreffende persoon. Hoe dit anders is dan een telefoonnummer, email adres of fysiek adres is mij volstrekt onduidelijk. Een LinkdIn url is een contactgegeven.

Ook voor het gebruiken van trainingsdata is geen enkele rechtvaardiging te vinden in de omvangrijke kopieslag die 8vance van ieder persoonsprofiel maakt.

Met andere woorden, 8vance verzamelt veel meer gegevens dan noodzakelijk voor de doelen van de verwerking.

En dan nog iets. 8vance heeft het er over dat de 8vance gebruiker via de originele bron (lees: LinkedIn) contact kan opnemen. Los van het feit dat 8vance hier dus feitelijk toegeeft dat het toch om contactinformatie gaat, is er nog iets anders aan de hand. Want als ik me niet vergis zegt 8vance hier dat zij met de van LinkedIn gekopieerde persoonsgegevens een cv database heeft opgebouwd die door de gebruikers van 8vance kan worden doorzocht! Weliswaar via een AI-zoekfunctie, maar dat maakt natuurlijk niets uit. 8vance heeft hiermee een vrijwel identieke dienst opgezet als LinkedIn, met de data van LinkedIn maar dan ook nog eens tegen betaling. Of ben ik nou gek?

Ad.6. Bewaren van gegevens langer dan nodig

Over het bewaren van gegevens zegt 8vance het volgende:

8vance bewaart data, waaronder persoonsgegevens, voor zo lang als dat noodzakelijk is om haar dienstverlening goed te laten functioneren. De bewaartermijnen zijn afhankelijk van het doel waarvoor wij de gegevens hebben ontvangen of verzameld en van wettelijke verplichtingen. Openbaar gepubliceerde matchingdata wordt iedere zes maanden ververst. Openbare profielen die dan niet meer beschikbaar zijn worden volledig uit 8vance verwijderd.

Oftewel, een nietsvermoedende LinkedIn gebruiker met een openbaar profiel (= vrijwel iedereen) kan zijn/haar/x gehele werkzame leven in de 8vance cv-database en AI-trainingsdatabase bivakkeren. Gedurende deze periode kan 8vance gratis en voor niets profiteren van dit profiel en de tientallen miljoenen andere profielen die zij zonder toestemming van LinkedIn en mogelijk andere sociale zakelijke netwerken heeft gekopieerd en waarbij per profiel tientallen tot honderden datapunten die als persoonsgegevens kunnen worden aangemerkt worden opgeslagen zonder toestemming van de achterliggende eigenaar.

Informeren van betrokken
En dan is er nog het punt van het al dan niet informeren van betrokkenen, oftewel de personen waarvan 8vance ongevraagd persoonsprofielen heeft gekopieerd. Hier gaat art. 14 van de A.

Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;

b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;

c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d) de betrokken categorieën van persoonsgegevens;

e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

f) n.v.t.

Op basis van mijn eigen gegevens kan ik ondubbelzinnig stellen dat ik deze informatie nooit heb ontvangen.

Er zijn natuurlijk uitzonderingen op deze informatieplicht, en dat wordt in artikel 5 nader gedetailleerd:

De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:

a) de betrokkene reeds over de informatie beschikt;

b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen.

c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of

d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht.

Geen van deze bepalingen zijn van toepassing in het geval van 8vance. Zij heeft dus nagelaten de wet te volgen.

Gerelateerde berichten:

  1. Arbeidsmatchplatform.nl: ik skill, jij skillt, wij skillen. Deel 3
  2. 8vance: een gemankeerde match-engine van Nederlandse bodem
  3. 8vance en de AVG, geen match made in heaven. Proloog
  4. Heeft UWV de wet overtreden? En zo ja, wanneer gaat UWV dit corrigeren? Een nieuw perspectief – 2
Geef een reactie

4 Comments
  • Patrick Boonstra
    says:

    Beste Han,

    “bij 8vance is geen persoonsdata meer omdat alle naar personen of bedrijven verwijzende informatie is verwijderd. ” 1) bevestig je hiermee dat alle 85 miljoen profielen door 8vance zijn verwijderd? Wanneer zijn deze profielen verwijderd? 2) En dat 8vance voortaan ook niet meer ongevraagd/zonder toestemming persoonsgegevens verwerkt?

    Beantwoorden
  • Han Stoffels
    says:

    Geachte heer Drees,

    Even een persoonlijke boodschap.

    Na een lange hetze van negatieve berichtgeving tegen 8vance gaat dit artikel over alle grenzen van het betamelijke heen. De hetze is waarschijnlijk ingegeven omdat 8vance, volledig volgens alle spelregels een openbare aanbesteding heeft gewonnen, ten koste van uw voormalige werkgever, maar misschien zijn er ook nog andere motieven.
    Hoe dan ook dit is geen fact-finding meer, maar dit lijkt meer op een laster campagne van een slechte verliezer. 8vance heeft uitgebreid op uw vragen binnen de gestelde termijn geantwoord, voor zover 8vance dat wettelijk kan en mag. Het zou u goed staan als u de volledige communicatie weergeeft in dit artikel en niet selectief knipt en plakt en met tendentieus woordgebruik 8vance probeert te beschadigen. Uit het antwoord van 8vance blijkt namelijk hoe zorgvuldig 8vance omgaat met data van haar gebruikers met trainingsdata en met de AVG. Trainingsdata (de 85 miljoen) bij 8vance is geen persoonsdata meer omdat alle naar personen of bedrijven verwijzende informatie is verwijderd. Hierover bent u geïnformeerd maar u blijft het maar keer op keer persoonsdata noemen. Dit kan alleen maar betekenen dat uw ter kwader trouw bent. Een andere aanwijzing hiervoor is het tendentieus en onjuist parafraseren van een 8vance antwoord. Dit is m.i. alleen bedoeld om de indruk te wekken dat 8vance niet aan alle eisen voldoet, zonder dat ook echt hard te maken en dit terwijl u beter weet of had kunnen weten. Dit is volledig verwerpelijke journalistiek en niet acceptabel. U heeft na een maanden negatieve berichtgeving eindelijk een verzoek gedaan om met mij te spreken. Juist omdat wij ons nu al enige tijd mogen verheugen op veel (negatieve) aandacht van U heb ik dit toegezegd, onder de voorwaarde dat ik de vragen krijg en dat dit gesprek zou worden opgenomen. Na deze informatie heeft u het gesprek weer afgezegd.

    Ik wil u bij deze oproepen om te stoppen met de onterechte tendentieuze verdachtmakingen, selectief citeren, verkeert parafraseren enz, richting 8vance. U kunt helemaal niets hiervan hard maken. Ik ben voor maar vrijheid van meningsuiting, maar blijf bij de feiten, pleeg hoor en wederhoor en zeg dan openlijk wat je agenda is, uit welk kamp je komt en waarom je 8vance wil raken. Dan kunnen de lezers zelf beoordelen wat ze willen geloven

    Met vriendelijke groet,

    Han Stoffels CEO

    Beantwoorden