Wanneer mag je onder de AVG sollicitanten nog wél googelen?

| AE 10243 | Ondernemingsvrijheid | 21 reacties

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Ondernemingsvrijheid, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op een voor mij wat ergerlijke manier: het is me iets te makkelijk, dat “iedereen kiest voor Facebook dus wat je daar zet is vogelvrij”.

De kern van dit standpunt komt erop neer dat Facebook en andere sociale media inzetten een bewuste keuze is, die weloverwogen wordt gemaakt door een gemiddeld omzichtige consument na zich adequaat geïnformeerd te hebben. Na die keuze is het inderdaad wat raar om ineens te gaan schermen met allerlei privacybezwaren. Wie zijn arts aanklaagt voor een amputatie na middels diverse gesprekken over de beste medische behandeling daar welbewust voor gekozen te hebben, zal ook niet snel gelijk krijgen.

Alleen: dat de gemiddelde burger zo’n omzichtige consument is, klopt natuurlijk van geen kant. Mensen kiezen niet welbewust en na zorgvuldig inlezen voor die diensten, men gebruikt het omdat iedereen het gebruikt, het er netjes en overzichtelijk uitziet en het wel snor lijkt te zitten. Wie zou er immers niet een keurige nette dienst afnemen van een groot beursgenoteerd bedrijf? Betrouwbaarder kan haast niet, zou je denken.

En er zitten ook keurige knopjes in om je privacy mee te bedienen. Alleen, zo makkelijk is dat nog niet. Uit onderzoek blijkt dat slechts een derde van de mensen snapt hoe Facebook-privacyinstellingen werken. De meeste mensen denken te snel dat ze iets privé hebben gemaakt. Je moet er een behoorlijke studie van maken om zeker te weten wat je doet als je dingen dicht wil zetten.

Sterker nog: je kúnt je haast niet adequaat inlezen in wat die diensten doen. De privacyverklaring staat vol wollige taal, en wie dat allemaal door wil spitten is daar 76 werkdagen per jaar mee kwijt. En nog erger, die privacyverklaringen zijn niet volledig dus zelfs als je die 76 dagen er voor gaat zitten, kom je er nog niet uit.

En zelfs als je wél eruit komt, de boel goed dichttimmert en oplet wat je post, dan nog loop je tegen vrienden en kennissen aan die zonder nadenken dingen posten met jouw naam of foto erin. Een fotoverslag van een leuk feestje met als grappig commentaar dat jij weer helemaal teut was “maar je zal je wel ziek gemeld hebben vandaag he” om eens wat te noemen. Of tegen een naamgenoot die het wat minder nauw met de werkethiek neemt.

Natuurlijk zijn er mensen die welbewust hun hele leven delen. Die zullen er ook weinig bezwaar tegen hebben dat hun werkgever dat leest. Maar daar zal ook weinig echt privés te vinden zijn. Deze regels over werknemers googelen zijn natuurlijk niet voor deze groep bedoeld. Het gaat om het gros van de mensen dat niet weet, en eigenlijk ook niet kán weten hoe Facebook en consorten werken, die in een vervelende positie komen als hun socialmediainformatie al te makkelijk gebruikt kan worden.

Die mensen wegzetten als “ze kiezen er welbewust voor” vind ik gewoon wereldvreemd. Hetzelfde geldt voor “je hoeft niet op Facebook te zitten”, waar ik eerder al over tireerde.

(En dat raakt aan een aanverwant punt waar het Netkwesties-stuk overheen scheert: de benodigde zorgvuldigheid om die informatie op waarde te schatten. Weet jij als werkgever of zo’n bericht waar is? Klopt de datum wel? Is het echt je werknemer? En is het opschepperij/stoerdoen naar vrienden of serieus bedoeld?)

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

| AE 6358 | Ondernemingsvrijheid, Privacy | 41 reacties

Voor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in… Lees verder

Mag je sollicitanten googelen?

| AE 5431 | Ondernemingsvrijheid | 46 reacties

In onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij? Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers… Lees verder

Rechters mogen niet zomaar googelen voor hun vonnis

| AE 2702 | Informatiemaatschappij | 20 reacties

Als een rechtbank haar vonnis baseert op gegevens die het heeft ontleend aan een eigen zoektocht op een internetsite, schendt zij het principe van hoor en wederhoor. Dat bepaalde de Hoge Raad afgelopen vrijdag. De HR vernietigt daarmee een arrest van het gerechtshof dat mede gebaseerd was op gegoogelde informatie over een softwarepakket. De gevonden… Lees verder

Googelen door de rechter: geen bewijs van algemene bekendheid

| AE 2387 | Ondernemingsvrijheid, Uitingsvrijheid | 25 reacties

Zijdelings inhakend op de discussie of rechters mogen googelen dan wel wikipediën: het Gerechtshof Den Haag had niet enkel via googelen mogen achterhalen dat de afkorting “A.C.A.B.” naar algemene bekendheid “All Cops Are Bastards” betekende. Dat bepaalde de Hoge Raad gisteren. In februari vorig jaar veroordeelde het Gerechtshof een man die een bomberjack droeg met… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder

Googelen van sollicitanten – de NVP sollicitatiecode

| AE 1802 | Privacy | 22 reacties

Mag je als recruiter je sollicitanten googelen? Dat is een lastige vraag, waar de op woensdag 7 oktober gepresenteerde NVP Sollicitatiecode een antwoord op zou moeten geven. Het doel van de code is een norm te bieden voor een transparante en eerlijke werving en selectieprocedure, zo meldt het document. Daarbij wordt nu voor het eerst… Lees verder

Politie “googelt”, maar niet met Google

| AE 201 | Ondernemingsvrijheid, Regulering | Er zijn nog geen reacties

Intrigerende kop op NU.nl: Het Korps Landelijke Politiediensten en de andere 25 politiekorpsen kunnen binnenkort criminele informatie van andere korpsen ‘googelen’. Het blijkt echter te gaan om een intern informatiesysteem, BlueView geheten, waarmee het makkelijker wordt om gegevens bij elkaar te zoeken over criminelen. De redacteur die besloten heeft om dit met “googelen” te koppen,… Lees verder