Gisteren was een bijzondere dag. Niet alleen verscheen er een artikel in Werf& van Laurens Waling (Chief Evangelist bij 8vance) over hoe 8vance binnen de AVG blijft, maar ik kreeg ook zomaar een heleboel tweets van Waling op vragen die ik niet heb gesteld. Al met al probeerde 8vance gisteren met een soort charme offensief te laten weten dat ze binnen de lijntjes kleurt. Helaas is ze daarin niet geslaagd. Door de omvang van de informatietsunami moet ik keuzes maken en daarom wijd ik deze blog posting aan de essentie, de AVG. Ik begin daarbij met een alinea uit het artikel in Werf& .
Daarbij is het natuurlijk essentieel om zorgvuldig met persoonsgegevens om te gaan. AVG-compliance heeft bij 8vance daarom ook de hoogste prioriteit. We zijn doorlopend bezig om hieraan te voldoen. Daarom hebben wij alle identificerende data uit de trainingsdata verwijderd. We slaan dus géén persoonsgegevens en potentieel discriminerende informatie (zoals leeftijd en gender) op.
Hieronder een deel van de e-mail die ik op 1 maart van de functionaris gegevensbescherming (FG) van 8vance ontving, naar aanleiding van een (herhaald) informatieverzoek van mijn kant onder art 15 van de AVG/GDPR:
We hereby confirm that 8vance processes your personal data, based on the public link to your LinkedIn profile that you provided in your mail. In order to answer your questions and to satisfy your request under Article 15 GDPR, we kindly inform you as follows.
At 8vance we have 2 sets of data that involves data of individuals that can be searched:
- Indexed public data of talent profiles for our search and match (set 1)
- User data of our platform users for our search and match (set 2)
At 8vance we also have training data, but that does not contain data of individuals anymore. In training data, information like individual names and contact details, company names and detail and more, is deleted and cannot be retrieved anymore to ensure privacy and avoid bias.
Categories of data and processing use (purposes). 8vance has developed a search engine that describes public talent profiles through a list of characteristics in a standardized way within the 8vance platform. This list of characteristics is then used to make a possible match to a profile desired by an 8vance user, such as a company or organization. As input for the search engine, we use both data provided by the candidates themselves (set 2, an account as created in our website) as well as from profiles that are publicly visible on the internet (set 1).
In this context, we confirm that 8vance also processed publicly available data from the LinkedIn profile that corresponds with the public link you provided us, namely your name and last name, your current and previous job details, education details, a limited number of publications that are shared within LinkedIn and your spoken languages.
Dit is ruim voldoende om vast te stellen dat 8vance in overtreding is van de AVG. Op basis van informatie verstrekt door de FG van 8vance zelf. Tegelijkertijd zegt 8vance dit over zichzelf in het artikel van Werf&:
Daarbij is het natuurlijk essentieel om zorgvuldig met persoonsgegevens om te gaan. AVG-compliance heeft bij 8vance daarom ook de hoogste prioriteit. We zijn doorlopend bezig om hieraan te voldoen. Daarom hebben wij alle identificerende data uit de trainingsdata verwijderd. We slaan dus géén persoonsgegevens en potentieel discriminerende informatie (zoals leeftijd en gender) op.
Is hier een tegenstelling tussen twee bronnen binnen hetzelfde bedrijf? Ik zou het wel zeggen. Bij de ene bron worden geen persoonsgegevens verwerkt en bij de andere wordt er een hele batterij aan persoonsgegevens verwerkt. En die laatste bron toont dat ook nog aan met een XML dump van mijn record in de 8vance database. En laat even op je inwerken dat Waling alleen vermeld dat alle identificerende data uit de trainingsdata is verwijderd. Hoe zit het dan met de database voor search en ‘match’ doeleinden? En zijn alle identificerende data er wel uit, of vind 8vance dat ze dat hebben gedaan? Want werkervaringen zijn mogelijk economische persoonsgegevens volgens de AVG want die kunnen eventueel wel gebruikt worden om natuurlijke personen te identificeren.
Maar er is ook nog dit:
In tegenstelling tot de bekende zoekmachines slaan wij niet alle informatie op die we op een profiel kunnen vinden, maar beperken we ons tot de essentiële informatie die nodig is voor het maken van een match op werk (opleiding, werkervaring en skills). We slaan overigens geen contactgegevens op, zelfs niet indien deze openbaar toegankelijk zijn gemaakt op het profiel. Je kunt dus alleen contact opnemen via het platform waarop het profiel oorspronkelijk openbaar is gedeeld. Als recruiters interesse hebben in het profiel, verwijzen wij hen naar de bron.
En hier zit het venijn. Want hoe kan 8vance verwijzen naar een LinkedIn profiel als ze daar de url niet van heeft? Dat kan inderdaad niet. En die url is een contactgegeven/persoonsgegeven… QED
Voor een volledig overzicht van de werkelijk tientallen persoonsgegevens die 8vance WEL opslaat verwijs ik graag naar het volgende artikel. Loop daar eens met aandacht doorheen en vraag je af wat 8vance met al die persoonsgegevens moet. Los van het feit dat ze dit alles zonder instemming (van LinkedIn) en zonder toestemming (van natuurlijke personen wiens persoonsprofielen in de database(s) van 8vance zitten) doet. Het is echt te gek voor woorden.
Ik heb helemaal niets nieuws gelezen in het artikel op Werf& anders dan dat 8vance zich in bochten wringt om maar te voorkomen dat ze toegeeft dat ze al 10 jaar tientallen miljoenen persoonsprofielen van Internet plukken voor eigen gewin. Het is onvoorstelbaar.
Mijn eerdere conclusie ten aanzien van deze praktijken blijft daarom onverkort overeind:
Laat ik de bevindingen van de twee artikelen kort samenvatten:
- 8vance kopieert zonder instemming massaal persoonsprofielen van LinkedIn (en eventueel andere sociale zakelijke netwerken).
- 8vance slaat een ongekende hoeveelheid persoonsgegevens per profiel op.
- 8vance slaat contactgegevens (LinkedIn url) per profiel op.
- 8vance informeert betrokkenen niet hoewel dit volgens art.14 AVG vereist is.
- 8vance gebruikt deze persoonsprofielen om haar klanten mee naar kandidaten te laten zoeken voor recruitmentdoeleinden. Voor Nederland spreekt 8vance over bijna 7 miljoen persoonsprofielen die door haar klanten doorzocht kunnen worden. Dat is een zeer fors deel van de Nederlandse beroepsbevolking. Deze profielen bevatten ook persoonsgegevens als voor- en achternaam.
- Via de eveneens opgeslagen contactgegevens kunnen klanten direct contact zoeken met nietsvermoedende LinkedIn gebruikers.
- 8vance gebruikt een gereduceerde set aan kenmerken van deze persoonsprofielen om AI-model(len) te trainen. Deze AI-model(len) vormen de basis voor haar zoektechnologie die door klanten worden gebruikt om te zoeken in de database onder 4.
- 8vance vraagt op geen enkel moment toestemming aan de natuurlijke personen die achter deze persoonsprofielen zitten.
- 8vance slaat de gekopieerde profielen voor onbeperkte tijd op, met een update per zes maanden.
In principe weten grofweg 85 miljoen mensen niet dat ze in een database van 8vance zitten. Een database die gebruikt worden voor commerciële doeleinden waarbij deze mensen de handelswaar zijn. 8vance biedt geen compensatie aan personen die in haar database zitten. In theorie kunnen deze 85miljoen mensen hun hele werkzame leven in een database van 8vance zitten.
8vance gebruikt een subset van de gegevens van gekopieerde profielen om een trainingsset voor haar AI-model te realiseren. Na training wordt dit model gebruik in de zoektechnologie. 8vance claimt dat de trainingsset geen identificerende gegevens heeft. Hiermee kan een persoon die van zijn/haar/x recht om te worden vergeten gebruik wil maken wel uit de database worden verwijderd maar niet uit de trainingsset! Hiermee kan 8vance niet voldoen aan haar uit de wet voortvloeiende plicht om de persoonsgegevens te verwijderen.
Nabrander
Voor liefhebbers van details nog even het volgende. De titel van het artikel in Werf& is:
Zo laat je de data van miljoenen openbare profielen in jouw voordeel werken
Maar de url van dit artikel is:
Geinig toch?
Laurens Waling
says:Dit is opnieuw een oneerlijk en onjuist artikel. Je haalt zaken klok en klepel door elkaar.
Om kort op je statements in te gaan:
1) Voor onze AI training gebruiken we alleen geanonimiseerde profielen. Onze search engine werkt net als alle andere Internet-zoekmachines en indexeert het openbare profiel.
2) Wij slaan de minimale hoeveelheid gegevens per profiel op. Veel minder dat jij schrijft. Ik heb je gisteren verteld dat je nog opheldering krijgt van onze FG, want de data die jij hebt opgevraagd zijn niet de data die worden opgeslagen. Die krijg je vandaag. Wacht daar alsjeblieft op met conclusies.
3) We slaan geen contactgegevens op, alleen een link naar de bron waar het profiel gevonden is. Net als alle andere zoekmachines.
4) 8vance informeert betrokkenen oa via onze privacybeleid.
5) Zie statement 1. We hebben veel minder informatie dan zoekmachines (zoals Google) over de genoemde profielen; doordat wij ons specifiek focussen op het aanbieden van betere matches met werk dan zij op het huidige platform ontvangen.
9) 8vance verwijdert de profielen (of delen daarvan) uiterlijk binnen 6 maanden nadat ze niet meer openbaar zijn of wanneer ze niet meer nodig zijn voor onze dienstverlening.
Nogmaals, we doen het goed en leggen dat graag uit. Graag gaan we het gesprek met je aan voor verdere uitleg. Verschillende onafhankelijke juristen hebben naar onze werkwijze gekeken en komen tot tegengestelde conclusies dan jij.
Ten slotte: Oprecht Marc, het is fijn dat er mensen zijn zoals jij, die waken over de privacy en het kaf van het koren scheiden van nieuwe aanbieders, maar bij 8vance zijn deze zaken in de basis echt goed. Natuurlijk leren we elke dag en verbeteren we, maar we zijn en doen het niet fundamenteel fout. Geef ons alsjeblieft de gelegenheid om dat te bewijzen, voordat je met je oordelen komt.