Dirk Goossens 
Een privacy informant van RecruitmentMatters wees mij op startupjobs.techleap.nl.
(meer…)Techleap empowers Dutch leaders in tech. We’re a team dedicated to breaking down the barriers for startup success in the Netherlands. Our focus is helping scaleup entrepreneurs, building communities and a thriving startup ecosystem in the Netherlands. We do so with support from the Dutch Ministry of Economic Affairs, we are a non-profit organization.
Dirk Goossens 
Vandaag kreeg RecruitmentMatters bericht van Hallmark. Hallmark vroeg aandacht voor de services die zij bieden voor het uitluiden van 2020. Zo hintten zij op een feestelijke kaartenregen, die het recruitment landschap een fraai aanzien zou kunnen verschaffen.
Wat Hallmark niet wist is dat ik e-mails als deze meestal direct onder de loep neem, letterlijk. Mijn devies is namelijk: afmelden. Dat kan meestal via een link in de e-mail. Maar die vind je niet zonder vergrootglas. Bij Hallmark viel dit gelukkig nog mee. Hiervoor riskeert Hallmark, als het aan mij ligt, geen biljoen euro boete. Maar waarvoor dan wel?
(meer…)
Dirk Goossens 
Negen jaar geleden, midden in de gloriedagen van RecruitmentMatters, schreef Wilbert Geijtenbeek, in een dappere poging de kwaliteit van dit fringeblog te verhogen, blogs over de grote spelers in het recruitment landschap.
Zijn blogs vochten een ongelijk strijd tegen de nevelen der vergetelheid, totdat Google een paar dagen geleden onderstaande e-mail stuurde:
Dirk Goossens 
Wat is er aan de hand?“De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen. Aleid Wolfsen, voorzitter van de AP: “Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat””.
Dirk Goossens 
Constantine Karbaliotis schreef, jaren geleden al, een brief. Om de gevolgen van de AVG te verzachten heeft recruitmentmatters deze brief vertaald in het Nederlands. Vanaf 25 mei kan elke recruiter deze brief toegestuurd krijgen. Gelukkig hebben de meesten van hen hun zaakjes goed op orde. De rest kan zich vast met met dit schrijven voorbereiden. AVG, geen probleem, toch?
Beste recruiter,
Ik schrijf u in uw hoedanigheid als gegevensbeschermingsfunctionaris voor uw bedrijf.
Ik ben een klant van u en in het licht van recente gebeurtenissen, doe ik dit verzoek om toegang tot persoonlijke gegevens overeenkomstig artikel 15 van de algemene verordening gegevensbescherming. Ik ben bang dat de informatiepraktijken van uw bedrijf mogelijk leiden tot het blootstellen van mijn persoonlijke gegevens aan een buitensporig risico om te worden blootgesteld of dat het in feite zijn verplichting om mijn persoonlijke gegevens te beschermen op grond van [laatste vervelende cyberbeveiligingsevenement of iets in het nieuws] heeft geschonden.
Ik voeg een kopie van de documentatie bij die nodig is om mijn identiteit te verifiëren. Als u meer informatie wenst, kunt u contact met mij opnemen op bovenstaand adres.
Ik zou graag willen dat u van meet af aan weet dat ik binnen een maand antwoord verwacht op mijn verzoek, zoals vereist krachtens artikel 12, bij gebreke waarvan ik mijn verzoek zal doorzenden met een klachtbrief aan de bevoegde autoriteiten.
Gelieve het volgende te adviseren:
1. Bevestig mij of mijn persoonlijke gegevens worden verwerkt. Als dit het geval is, geef me dan de categorieën persoonlijke gegevens die u over mij hebt in uw bestanden en databases.
a. Vertel me in het bijzonder wat u over mij weet in uw informatiesystemen, al dan niet in databases, inclusief e-mail, documenten op uw netwerken of spraak of andere media die u opslaat.
b. Deel me alstublieft mee in welke landen mijn persoonlijke gegevens worden opgeslagen of toegankelijk zijn. Als u gebruik maakt van cloudservices om mijn gegevens op te slaan of te verwerken, moet u de landen vermelden waar de servers zich bevinden waar mijn gegevens zich bevinden of (in de afgelopen 12 maanden) zijn opgeslagen.
c. Geef me een kopie van of toegang tot mijn persoonlijke gegevens die u hebt of verwerkt.
2. Geef me een gedetailleerde boekhouding van het specifieke gebruik dat u hebt gemaakt, maakt of zal maken van mijn persoonlijke gegevens.
3. Geef een lijst met alle derde partijen met wie u mijn persoonlijke gegevens deelt (of hebt gedeeld).
a. Als u niet met zekerheid kunt vaststellen aan welke specifieke derde partijen u mijn persoonlijke gegevens hebt verstrekt, geef dan een lijst met derde partijen aan wie u mogelijk mijn persoonlijke gegevens hebt bekendgemaakt.
b. Benoem de jurisdicties betreffende de in 1b genoemde landen waarin derden met wie u mijn persoonlijke gegevens deelt of mogelijk hebt gedeeld, waarin derden mijn gegevens hebben opgeslagen of zich mogelijk toegang tot mijn persoonlijke gegevens kunnen of konden verschaffen. Geef ook inzicht in de juridische grondslag voor het overzetten van mijn persoonlijke gegevens naar deze rechtsgebieden. Wanneer u dit hebt gedaan of doet, op basis van passende voorzorgsmaatregelen, geef daarvan dan een afschrift.
c. Daarnaast zou ik graag willen weten welke waarborgen zijn ingesteld met betrekking tot deze derden die u hebt geïdentificeerd met betrekking tot de overdracht van mijn persoonlijke gegevens.
4. Geef aan hoe lang u mijn persoonlijke gegevens bewaart en of retentie is gebaseerd op de categorie persoonlijke gegevens, geef aan hoe lang elke categorie wordt bewaard.
5. Als u bovendien persoonlijke gegevens over mij verzamelt uit een andere bron dan mijzelf, geef me dan alle informatie over deze bron, zoals bedoeld in artikel 14 van de AVG.
6. Als u geautomatiseerde beslissingen over mij neemt, inclusief profilering, al dan niet op basis van artikel 22 van de AVG, geef mij dan informatie over de basis voor de logica bij het nemen van dergelijke geautomatiseerde beslissingen, en de betekenis en de gevolgen van dergelijke verwerking.
7. Ik zou graag willen weten of mijn persoonlijke gegevens in het verleden onopzettelijk door uw bedrijf zijn bekendgemaakt of als gevolg van een inbreuk op de beveiliging of privacy.
a. Zo ja, geef dan de volgende informatie over elke en elke dergelijke schending:
ik. een algemene beschrijving van wat er gebeurde;
ii. de datum en het tijdstip van de inbreuk (of de best mogelijke schatting);
iii. de datum en tijd waarop de inbreuk werd ontdekt;
iv. de bron van de inbreuk (uw eigen organisatie of een derde aan wie u mijn persoonlijke gegevens hebt overgedragen);
v. details van mijn persoonlijke gegevens die zijn vrijgegeven;
vi. de inschatting door uw bedrijf van het risico van schade aan mijzelf als gevolg van de schending;
vii. een beschrijving van de genomen of genomen maatregelen om verdere ongeautoriseerde toegang tot mijn persoonlijke gegevens te voorkomen;
viii. contactinformatie zodat ik meer informatie en hulp kan krijgen met betrekking tot een dergelijke overtreding, en
ix. informatie en advies over wat ik kan doen om mezelf te beschermen tegen eventuele schade, waaronder identiteitsdiefstal en fraude.
b. Als u niet met zekerheid kunt zeggen of een dergelijke blootstelling heeft plaatsgevonden, moet u, door het gebruik van geschikte technologieën, aangeven welke mitigerende maatregelen u heeft genomen, zoals
ik. Versleuteling van mijn persoonlijke gegevens;
ii. Strategieën voor gegevensminimalisatie; of,
iii. Anonimisering of pseudonimisering;
iv. Elk ander middel
8. Ik zou graag willen weten wat uw informatiebeleid en normen zijn die u volgt met betrekking tot het beschermen van mijn persoonlijke gegevens, zoals of u zich houdt aan ISO27001 voor informatiebeveiliging, en meer in het bijzonder, uw praktijken met betrekking tot het volgende:
a. Laat me weten of u een back-up hebt gemaakt van mijn persoonlijke gegevens op tape, schijf of andere media en waar deze zijn opgeslagen en hoe deze zijn beveiligd, inclusief welke stappen u hebt ondernomen om mijn persoonlijke gegevens tegen verlies of diefstal te beschermen en of dit ook inhoudt encryptie.
b. Geef ook aan of u beschikt over technologie waarmee u met redelijke zekerheid weet of mijn persoonlijke gegevens zijn vrijgegeven, inclusief maar niet beperkt tot het volgende:
ik. Inbraakdetectiesystemen;
ii. Firewall-technologieën;
iii. Toegangs- en identiteitsbeheertechnologieën;
iv. Database-audit en / of beveiligingshulpmiddelen; of,
v. tools voor gedragsanalyse, analyseprogramma’s voor logboeken of audithulpmiddelen;
9. Gelieve ons met betrekking tot werknemers en aannemers te adviseren over het volgende:
a. Welke technologieën of bedrijfsprocedures hebt u om ervoor te zorgen dat personen binnen uw organisatie worden gemonitord om er zeker van te zijn dat zij niet opzettelijk of per ongeluk persoonlijke gegevens openbaar maken buiten uw bedrijf, via e-mail, webmail of instant messaging, of anderszins?
b. Hebt u omstandigheden gehad waarin werknemers of aannemers zijn ontslagen en / of strafrechtelijk zijn vervolgd voor het ongeoorloofd toegang krijgen tot mijn persoonlijke gegevens, of als u dit in de afgelopen twaalf maanden niet heeft kunnen vaststellen, van welke klant dan ook?
c. Gelieve aan te geven welke opleidings- en bewustmakingsmaatregelen u heeft genomen om ervoor te zorgen dat werknemers en contractanten toegang hebben tot mijn persoonsgegevens en deze verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming.
Alvast bedankt,
Petra R. de Vries
Dirk Goossens
Praktijk
De politie vraagt sollicitanten om een burgerservicenummer. Als je dat niet invult kun je niet solliciteren. Dit is wettelijk niet toegestaan.
Regels
Persoonsgegevens moeten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt worden. Ze mogen alleen voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld worden.
Voor bijzondere persoonsgegevens, zoals burgerservicenummer, geldt dit a fortiori. De autoriteit persoonsgegevens is er duidelijk over. De politie is een werkgever. Als werkgever mag de politie het burgerservicenummer vragen op het moment dat een sollicitant in dienst treedt. Niet eerder.
De wet bescherming persoonsgegevens is weliswaar niet van toepassing op uitvoering van de politietaak, maar die taak betreft handhaving van de rechtsorde en het verlenen van hulp.
Oplossing
Het is lastig om sollicitanten uit elkaar te houden als je geen burgerservicenummer vraagt. Dit kan resulteren in nare situaties (een tweeling met identieke inititalen zorgt al snel voor dossierverwarring).
Maar de politie moet zich aan de wet houden en moet, als het even kan, het goede voorbeeld geven aan andere werkgevers. Schrappen dus, dat veld.
Marc Drees Ik kreeg gisteren een e-mail van YER met daarin onder meer het verzoek om mijn gegevens te controleren en eventueel bij te werken. Op zich niets bijzonders, tot ik de datum zag waarop ik volgens YER de laatste update van mijn cv had gedaan: 25 juni 2007… Mag YER mijn gegevens bijna 6 jaar bewaren zonder mij hierover regelmatig te informeren en mij de keuze bieden of ik al dan niet ingeschreven wil blijven?
Thomas Waldman Iedereen die wel eens sales mensen op niveau werft kent ze, de discussie over de non-compete of het concurrentie-beding. In sommige landen (zoals Nederland) een tandeloze tijger, in andere landen (zoals de US) een vanzelfsprekendheid. In Nederlandse contracten vind je vaak softe multi-interpretabele zinnen in de trant van “Het is medewerker gedurende een jaar na uitdiensttreding niet toegestaan bij voor werkgever concurrerende bedrijven te werken in een soortgelijke functie”. De rechter zal in 9 van de 10 gevallen echter zwaarder tillen aan arbeidspotentieel of veranderde functieinhoud dan de werkgever gelijk geven.
Internationaal gezien zie ik een verschuiving van het concurrentie- naar het relatiebeding. Steeds meer sollicitanten voor senior sales posities krijgen een lijst van actieve klanten en relaties mee waar ze niet mee mogen praten in hun nieuwe rol. Vanaf een bepaald niveau is er absoluut een casus voor te maken. Zoals je weet ben ik de laatste die zal beweren dat recruitment sales is, maar waarom hebben recruiters eigenlijk geen relatiebeding? (meer…)
Thomas Waldman Jazeker, u leest het goed! Waar we/Marc in Nederland al uit ons dak gaan als Linkedin je naam en foto in een advertentie wil gebruiken gaat het er in de US een stuk harder aan toe. Een wet die het werkgevers uitdrukkelijk verbiedt om log-in gegevens te vragen aan sollicitanten heeft het NIET gehaald in het Senaat. Eén staat (Maryland) heeft nu locale wetgeving aangenomen. Wat gebeurde er?
Marc Drees 
Ruim een maand geleden verscheen PlaatsmijnCV.nl plotseling; een resumeblaster (een site die CV’s naar een groot aantal sites kan versturen) naar grote vacaturesites. Althans, dat claimde de site te zijn,maar daar klopte niets van. De site had alle kenmerken van een phishing site. Achteraf bleek het een bijzonder domme actie van een sitebouwer; de site is ook niet langer actief.
En gisteren ontving ik een tip over opensolliciteren.nl, een resumeblaster naar uitzendbureaus. Met andere woorden, het lijkt besmettelijk te zijn. En net als PlaatsmijnCV heeft ook deze site alle kenmerken van een phishing site. Het zal toch niet dezelfde bouwer zijn…
