Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Een vacature in een Facebookadvertentie, mag dat?

| AE 6026 | Arbeidsrecht | 37 reacties

facebook-leeftijd-kiezen-keuze-advertentie-discriminatieHoe zet je Facebook-advertenties optimaal in om de juiste kandidaat te vinden, las ik op Marketingfacts. Het sociale netwerk biedt mogelijkheden voor zéér specifieke targeting, en dat is natuurlijk ook voor vacatures interessant. Staat je bedrijf in Rotterdam, dan is het niet zinnig de advertentie aan Assenaren of Groningers te vertonen, bijvoorbeeld. Maar je kunt óók alleen targeten op mannen dan wel vrouwen en een leeftijdscategorie instellen. En dát is juridisch toch even ietsiepietsie dubieuzer. Geslachts- en leeftijdsdiscriminatie zijn namelijk verboden bij werving en selectie.

De Algemene Wet gelijke behandeling (Awgb) bepaalt dat je geen onderscheid op een verboden grond mag maken bij “de aanbieding van een betrekking” of de sollicitatieprocedure die daaruit voortvloeit. De verboden gronden zijn

godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat

De Wet gelijke behandeling op grond van leeftijd (Wgbl) doet hetzelfde maar dan specifiek voor leeftijden (en nee ik weet ook niet waarom dat niet een hoofdstuk in de Awgb kon zijn).

Onderscheid kan direct en indirect zijn. “Gezocht: vrouwelijke secretaresse” maakt direct onderscheid op geslacht, en “Gezocht: salesmedewerker die elke dag een plakje varkensvlees lust” maakt indirect onderscheid op godsdienst. En oké die was niet echt subtiel maar de bedoeling is om ook wél subtiele trucs om bepaalde groepen uit te sluiten tegen te gaan. “Gezocht: student” is bijvoorbeeld ook indirect onderscheid op leeftijd, omdat studenten grosso modo vijfentwintigminners zijn.

Het verbod geldt niet bij bepaalde vormen van positieve discriminatie. Zo mag je bij gelijke geschiktheid vrouwen bevoordelen, omdat vrouwen nog steeds ondervertegenwoordigd zijn. En ter “bevordering van arbeidsparticipatie van bepaalde leeftijdscategorieën” mag je leeftijdsdiscriminatie toepassen. Wel moet er dan overheidsbeleid zijn om die categorieën aan het werk te krijgen, en daar mag je als werkgever dan op inhaken.

Meer algemeen is er nog een uitzondering voor situaties waarin het onderscheid

objectief gerechtvaardigd is door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

Wie een Sinterklaas zoekt, mag dus specifiek vragen naar een oudere man hoewel dat eigenlijk dus direct onderscheid op leeftijd én geslacht is (en indirect op ras want “Sinterklaas” impliceert een witte meneer.)

In het voorbeeld van de M!-blog hanteerde men deze criteria:

    <li>    leeftijd tussen 22-30 jaar;</li>
    <li>    woonachtig in Rotterdam of steden rondom Rotterdam en 30 kilometer daarbuiten;</li>
    <li>    interesse in pr-georiënteerde zaken en/of pagina’s.</li></ul>
    

    Hier wordt dus direct op leeftijd geselecteerd. En ik kan bij die leeftijd werkelijk geen objectieve rechtvaardiging verzinnen. En oké, er is ook beleid tegen jeugdwerkloosheid (“deze vacature is in het kader van het Actieplan jeugdwerkloosheid en bedoeld voor jongeren tot 27 jaar”) maar ook dat lijkt me niet echt van toepassing hier. Dus juridisch gezien zeg ik dan, nee, dit mag niet.

    Maar is dit nu werkelijk een probleem? De vacature staat ook gewoon op de site van het bedrijf, dus wie daar wil werken maar 30+ is kan de vacature nog steeds vinden. En zolang men niet volautomatisch de sollicitatie aflegt wegens “te oud”, valt het dan wel mee. Toch?

    Arnoud

Mag je sollicitanten googelen?

| AE 5431 | Arbeidsrecht | 46 reacties

google-homepage-patent.pngIn onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

“Social Media accounts geven ons een goed beeld van de sollicitant”

| AE 4513 | Aansprakelijkheid, Arbeidsrecht, Privacy | 46 reacties

Oké, heel apart – solliciteren als hulpverlener bij Emile.nu. Heel hip natuurlijk, een online sollicitatieformulier waarin je meteen de intake doet (“wat zijn je positieve en negatieve punten” en “waarom wil je bij ons werken”). Maar het is ook een mooi voorbeeld van iets te enthousiast vragen om dingen die je eigenlijk helemaal niet mag… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder