Marc Drees Arbeidsplatform heeft, met het virtuele schaamrood op de kaken, in alle haast een privacyverklaring op haar site gezet:
Arbeidsmatchplatform footer
Marc Drees 
Vorige week, 27 november, is de Arbeidsmatchplatform site feestelijk gelanceerd door:
Zeven bedrijven die actief zijn in de energietransitie hebben zich verenigd in het Arbeidsmatchplatform. Een maatschappelijke start-up waarmee Alliander, Enexis, Stedin, TenneT, KPN en de aannemers Van Gelder en Van Voskuilen ook andere bedrijven in de energietransitie enthousiast willen maken om ‘skills-based’ personeel te werven.
Marc Drees 
Op basis van onjuiste, onvolledige en gedateerde data kan je geen betrouwbare conclusies trekken of suggesties doen. Deze waarheid als een koe lijkt volledig te worden genegeerd tijdens de hyperdehype van LLM AI’s. Maar of het nou LLM AI’s of non-LLM AI’s zijn, data is allesbepalend. En bij recruitment (LLM) AI’s geldt dat dubbelop. Er is namelijk heel veel (kandidaatprofiel en vacature) data van onberispelijke kwaliteit nodig om een AI-model te kunnen trainen, en de (kandidaatprofiel en vacature) data die je vervolgens invoert om te kunnen zoeken of matchen moet ook van topkwaliteit zijn. En dan is er met een recruitment (LLM) AI’s nog een cruciaal aspect, namelijk privacy. Privacy is in dit geval dubbel uitgevoerd, want privacy geldt voor de trainingsdata en voor de door gebruikers (intercedenten, jobcoaches, recruiters, werkzoekenden, etc.) ingevoerde data, waar het althans van personen afkomstige data betreft. En bij (LLM) AI’s binnen het recruitment domein is er ook nog eens de strikte variant van de AI Act die binnenkort van toepassing gaat zijn.
Voor AI-leveranciers binnen het recruitment domein geldt op basis van bovenstaande alinea dus een groot aantal voorwaarden waaraan (controleerbaar) moet worden voldaan. Maar bestaat er ergens een register van AI-leveranciers en hun compliance aan deze voorwaarden, zodat je als afnemer een verantwoorde keuze kan maken? En ben je als afnemer van een recruitment AI-model niet mede-verantwoordelijk als door jouw gebruik er onjuiste of ongepaste resultaten worden gebruikt die mogelijk nadelig kunnen uitpakken voor (bepaalde groepen) werkzoekenden?
Dirk Goossens 
Het is mal om te denken dat anonimiseren met de technieken van vandaag opgewassen is tegen ontmaskeren met de technieken van morgen. Vooral als je gegevens gaat combineren.
UWV gaat gebruik maken van een AI-boer en een stuwmeer van gecombineerde gegevens aanleggen. Hoog tijd dus om in de huid te kruipen van een UWV privacy baas en een intern memo te schrijven voor het management.
(meer…)
Marc Drees Ik kwam dit voorbeeld tegen op Twitter waaruit blijkt dat accessibillity geen volledig onderdeel uitmaakte van het pakket van eisen voor de bouw van dit contactformulier:
Dirk Goossens 
Een privacy informant van RecruitmentMatters wees mij op startupjobs.techleap.nl.
(meer…)Techleap empowers Dutch leaders in tech. We’re a team dedicated to breaking down the barriers for startup success in the Netherlands. Our focus is helping scaleup entrepreneurs, building communities and a thriving startup ecosystem in the Netherlands. We do so with support from the Dutch Ministry of Economic Affairs, we are a non-profit organization.
Dirk Goossens 
Vandaag kreeg RecruitmentMatters bericht van Hallmark. Hallmark vroeg aandacht voor de services die zij bieden voor het uitluiden van 2020. Zo hintten zij op een feestelijke kaartenregen, die het recruitment landschap een fraai aanzien zou kunnen verschaffen.
Wat Hallmark niet wist is dat ik e-mails als deze meestal direct onder de loep neem, letterlijk. Mijn devies is namelijk: afmelden. Dat kan meestal via een link in de e-mail. Maar die vind je niet zonder vergrootglas. Bij Hallmark viel dit gelukkig nog mee. Hiervoor riskeert Hallmark, als het aan mij ligt, geen biljoen euro boete. Maar waarvoor dan wel?
(meer…)
Dirk Goossens 
Negen jaar geleden, midden in de gloriedagen van RecruitmentMatters, schreef Wilbert Geijtenbeek, in een dappere poging de kwaliteit van dit fringeblog te verhogen, blogs over de grote spelers in het recruitment landschap.
Zijn blogs vochten een ongelijk strijd tegen de nevelen der vergetelheid, totdat Google een paar dagen geleden onderstaande e-mail stuurde:
Dirk Goossens 
Wat is er aan de hand?“De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen. Aleid Wolfsen, voorzitter van de AP: “Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat””.
Dirk Goossens 
Constantine Karbaliotis schreef, jaren geleden al, een brief. Om de gevolgen van de AVG te verzachten heeft recruitmentmatters deze brief vertaald in het Nederlands. Vanaf 25 mei kan elke recruiter deze brief toegestuurd krijgen. Gelukkig hebben de meesten van hen hun zaakjes goed op orde. De rest kan zich vast met met dit schrijven voorbereiden. AVG, geen probleem, toch?
Beste recruiter,
Ik schrijf u in uw hoedanigheid als gegevensbeschermingsfunctionaris voor uw bedrijf.
Ik ben een klant van u en in het licht van recente gebeurtenissen, doe ik dit verzoek om toegang tot persoonlijke gegevens overeenkomstig artikel 15 van de algemene verordening gegevensbescherming. Ik ben bang dat de informatiepraktijken van uw bedrijf mogelijk leiden tot het blootstellen van mijn persoonlijke gegevens aan een buitensporig risico om te worden blootgesteld of dat het in feite zijn verplichting om mijn persoonlijke gegevens te beschermen op grond van [laatste vervelende cyberbeveiligingsevenement of iets in het nieuws] heeft geschonden.
Ik voeg een kopie van de documentatie bij die nodig is om mijn identiteit te verifiëren. Als u meer informatie wenst, kunt u contact met mij opnemen op bovenstaand adres.
Ik zou graag willen dat u van meet af aan weet dat ik binnen een maand antwoord verwacht op mijn verzoek, zoals vereist krachtens artikel 12, bij gebreke waarvan ik mijn verzoek zal doorzenden met een klachtbrief aan de bevoegde autoriteiten.
Gelieve het volgende te adviseren:
1. Bevestig mij of mijn persoonlijke gegevens worden verwerkt. Als dit het geval is, geef me dan de categorieën persoonlijke gegevens die u over mij hebt in uw bestanden en databases.
a. Vertel me in het bijzonder wat u over mij weet in uw informatiesystemen, al dan niet in databases, inclusief e-mail, documenten op uw netwerken of spraak of andere media die u opslaat.
b. Deel me alstublieft mee in welke landen mijn persoonlijke gegevens worden opgeslagen of toegankelijk zijn. Als u gebruik maakt van cloudservices om mijn gegevens op te slaan of te verwerken, moet u de landen vermelden waar de servers zich bevinden waar mijn gegevens zich bevinden of (in de afgelopen 12 maanden) zijn opgeslagen.
c. Geef me een kopie van of toegang tot mijn persoonlijke gegevens die u hebt of verwerkt.
2. Geef me een gedetailleerde boekhouding van het specifieke gebruik dat u hebt gemaakt, maakt of zal maken van mijn persoonlijke gegevens.
3. Geef een lijst met alle derde partijen met wie u mijn persoonlijke gegevens deelt (of hebt gedeeld).
a. Als u niet met zekerheid kunt vaststellen aan welke specifieke derde partijen u mijn persoonlijke gegevens hebt verstrekt, geef dan een lijst met derde partijen aan wie u mogelijk mijn persoonlijke gegevens hebt bekendgemaakt.
b. Benoem de jurisdicties betreffende de in 1b genoemde landen waarin derden met wie u mijn persoonlijke gegevens deelt of mogelijk hebt gedeeld, waarin derden mijn gegevens hebben opgeslagen of zich mogelijk toegang tot mijn persoonlijke gegevens kunnen of konden verschaffen. Geef ook inzicht in de juridische grondslag voor het overzetten van mijn persoonlijke gegevens naar deze rechtsgebieden. Wanneer u dit hebt gedaan of doet, op basis van passende voorzorgsmaatregelen, geef daarvan dan een afschrift.
c. Daarnaast zou ik graag willen weten welke waarborgen zijn ingesteld met betrekking tot deze derden die u hebt geïdentificeerd met betrekking tot de overdracht van mijn persoonlijke gegevens.
4. Geef aan hoe lang u mijn persoonlijke gegevens bewaart en of retentie is gebaseerd op de categorie persoonlijke gegevens, geef aan hoe lang elke categorie wordt bewaard.
5. Als u bovendien persoonlijke gegevens over mij verzamelt uit een andere bron dan mijzelf, geef me dan alle informatie over deze bron, zoals bedoeld in artikel 14 van de AVG.
6. Als u geautomatiseerde beslissingen over mij neemt, inclusief profilering, al dan niet op basis van artikel 22 van de AVG, geef mij dan informatie over de basis voor de logica bij het nemen van dergelijke geautomatiseerde beslissingen, en de betekenis en de gevolgen van dergelijke verwerking.
7. Ik zou graag willen weten of mijn persoonlijke gegevens in het verleden onopzettelijk door uw bedrijf zijn bekendgemaakt of als gevolg van een inbreuk op de beveiliging of privacy.
a. Zo ja, geef dan de volgende informatie over elke en elke dergelijke schending:
ik. een algemene beschrijving van wat er gebeurde;
ii. de datum en het tijdstip van de inbreuk (of de best mogelijke schatting);
iii. de datum en tijd waarop de inbreuk werd ontdekt;
iv. de bron van de inbreuk (uw eigen organisatie of een derde aan wie u mijn persoonlijke gegevens hebt overgedragen);
v. details van mijn persoonlijke gegevens die zijn vrijgegeven;
vi. de inschatting door uw bedrijf van het risico van schade aan mijzelf als gevolg van de schending;
vii. een beschrijving van de genomen of genomen maatregelen om verdere ongeautoriseerde toegang tot mijn persoonlijke gegevens te voorkomen;
viii. contactinformatie zodat ik meer informatie en hulp kan krijgen met betrekking tot een dergelijke overtreding, en
ix. informatie en advies over wat ik kan doen om mezelf te beschermen tegen eventuele schade, waaronder identiteitsdiefstal en fraude.
b. Als u niet met zekerheid kunt zeggen of een dergelijke blootstelling heeft plaatsgevonden, moet u, door het gebruik van geschikte technologieën, aangeven welke mitigerende maatregelen u heeft genomen, zoals
ik. Versleuteling van mijn persoonlijke gegevens;
ii. Strategieën voor gegevensminimalisatie; of,
iii. Anonimisering of pseudonimisering;
iv. Elk ander middel
8. Ik zou graag willen weten wat uw informatiebeleid en normen zijn die u volgt met betrekking tot het beschermen van mijn persoonlijke gegevens, zoals of u zich houdt aan ISO27001 voor informatiebeveiliging, en meer in het bijzonder, uw praktijken met betrekking tot het volgende:
a. Laat me weten of u een back-up hebt gemaakt van mijn persoonlijke gegevens op tape, schijf of andere media en waar deze zijn opgeslagen en hoe deze zijn beveiligd, inclusief welke stappen u hebt ondernomen om mijn persoonlijke gegevens tegen verlies of diefstal te beschermen en of dit ook inhoudt encryptie.
b. Geef ook aan of u beschikt over technologie waarmee u met redelijke zekerheid weet of mijn persoonlijke gegevens zijn vrijgegeven, inclusief maar niet beperkt tot het volgende:
ik. Inbraakdetectiesystemen;
ii. Firewall-technologieën;
iii. Toegangs- en identiteitsbeheertechnologieën;
iv. Database-audit en / of beveiligingshulpmiddelen; of,
v. tools voor gedragsanalyse, analyseprogramma’s voor logboeken of audithulpmiddelen;
9. Gelieve ons met betrekking tot werknemers en aannemers te adviseren over het volgende:
a. Welke technologieën of bedrijfsprocedures hebt u om ervoor te zorgen dat personen binnen uw organisatie worden gemonitord om er zeker van te zijn dat zij niet opzettelijk of per ongeluk persoonlijke gegevens openbaar maken buiten uw bedrijf, via e-mail, webmail of instant messaging, of anderszins?
b. Hebt u omstandigheden gehad waarin werknemers of aannemers zijn ontslagen en / of strafrechtelijk zijn vervolgd voor het ongeoorloofd toegang krijgen tot mijn persoonlijke gegevens, of als u dit in de afgelopen twaalf maanden niet heeft kunnen vaststellen, van welke klant dan ook?
c. Gelieve aan te geven welke opleidings- en bewustmakingsmaatregelen u heeft genomen om ervoor te zorgen dat werknemers en contractanten toegang hebben tot mijn persoonsgegevens en deze verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming.
Alvast bedankt,
Petra R. de Vries
