Hoe leg je uit dat je algoritme een sollicitant afwijst?

| AE 11301 | Privacy | 7 reacties

Via Twitter las ik:

In de US is er voor ‘hiring algoritmes’ een verplichte ‘explain’ regel. Het mag geen black box zijn en de keuzes moeten onderbouwd kunnen worden met de werkzaamheden. Lijkt me goede stap.

Waarop diverse reacties kwamen met de strekking dat de AVG deze regel al heeft. Een hiring algoritme bepaalt of iemand aangenomen wordt (of op zijn minst op sollicitatiegesprek), en zo’n besluit mag een algoritme niet zomaar nemen van de AVG.

Iets preciezer, in artikel 15 AVG staat dat je recht hebt op uitleg wanneer een geautomatiseerd besluit wordt genomen, althans op “nuttige informatie over de onderliggende logica” van het besluit. Het gehele algoritme hoeft niet te worden gepubliceerd, wat ook wat ver zou gaan gezien daar dan weer bedrijfsgeheimen in de knoop komen. Maar enkel “de computer zei nee” voldoet niet aan dit artikel.

Belangrijker is echter dat artikel 22 zegt dat zulke besluiten niet (zomaar) mogen. Als het noodzakelijk is bij je hiring-process dan is daar een uitzondering op mogelijk, maar dan moet je wel aan de bak want

3. In [deze gevallen] treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

Er moet dus ruimte zijn voor mensen om erachter te komen wat er is gebeurd en om een menselijke aanvulling te horen te krijgen. Ook moet je tegen het besluit in beroep kunnen op een of andere manier. En dat is wel een interessante, want bij sollicitaties is dat natuurlijk niet bepaald de praktijk. Kom je niet door de eerste ronde, dan krijg je een standaardbrief over niet in het team passen of andere, geschiktere kandidaten die beter aansluiten bij het profiel, en dat is het dan.

Ik twijfel of dit betekent dat de AVG een gemotiveerde afwijzing eist. Ik denk het wel, maar alleen wanneer je als HR-manager het besluit in overwegende mate af laat hangen van je algoritme. Is het een van de tien factoren waarop je handmatig beslist, dan kun je blijven werken zoals je deed.

Arnoud

Wanneer mag je onder de AVG sollicitanten nog wél googelen?

| AE 10243 | Ondernemingsvrijheid | 21 reacties

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Een vacature in een Facebookadvertentie, mag dat?

| AE 6026 | Ondernemingsvrijheid | 37 reacties

Hoe zet je Facebook-advertenties optimaal in om de juiste kandidaat te vinden, las ik op Marketingfacts. Het sociale netwerk biedt mogelijkheden voor zéér specifieke targeting, en dat is natuurlijk ook voor vacatures interessant. Staat je bedrijf in Rotterdam, dan is het niet zinnig de advertentie aan Assenaren of Groningers te vertonen, bijvoorbeeld. Maar je kunt… Lees verder

Mag je sollicitanten googelen?

| AE 5431 | Ondernemingsvrijheid | 46 reacties

In onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij? Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers… Lees verder

“Social Media accounts geven ons een goed beeld van de sollicitant”

| AE 4513 | Ondernemingsvrijheid, Privacy | 46 reacties

Oké, heel apart – solliciteren als hulpverlener bij Emile.nu. Heel hip natuurlijk, een online sollicitatieformulier waarin je meteen de intake doet (“wat zijn je positieve en negatieve punten” en “waarom wil je bij ons werken”). Maar het is ook een mooi voorbeeld van iets te enthousiast vragen om dingen die je eigenlijk helemaal niet mag… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder