Hoe leg je uit dat je algoritme een sollicitant afwijst?

Via Twitter las ik:

In de US is er voor ‘hiring algoritmes’ een verplichte ‘explain’ regel. Het mag geen black box zijn en de keuzes moeten onderbouwd kunnen worden met de werkzaamheden. Lijkt me goede stap.

Waarop diverse reacties kwamen met de strekking dat de AVG deze regel al heeft. Een hiring algoritme bepaalt of iemand aangenomen wordt (of op zijn minst op sollicitatiegesprek), en zo’n besluit mag een algoritme niet zomaar nemen van de AVG.

Iets preciezer, in artikel 15 AVG staat dat je recht hebt op uitleg wanneer een geautomatiseerd besluit wordt genomen, althans op “nuttige informatie over de onderliggende logica” van het besluit. Het gehele algoritme hoeft niet te worden gepubliceerd, wat ook wat ver zou gaan gezien daar dan weer bedrijfsgeheimen in de knoop komen. Maar enkel “de computer zei nee” voldoet niet aan dit artikel.

Belangrijker is echter dat artikel 22 zegt dat zulke besluiten niet (zomaar) mogen. Als het noodzakelijk is bij je hiring-process dan is daar een uitzondering op mogelijk, maar dan moet je wel aan de bak want

3. In [deze gevallen] treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

Er moet dus ruimte zijn voor mensen om erachter te komen wat er is gebeurd en om een menselijke aanvulling te horen te krijgen. Ook moet je tegen het besluit in beroep kunnen op een of andere manier. En dat is wel een interessante, want bij sollicitaties is dat natuurlijk niet bepaald de praktijk. Kom je niet door de eerste ronde, dan krijg je een standaardbrief over niet in het team passen of andere, geschiktere kandidaten die beter aansluiten bij het profiel, en dat is het dan.

Ik twijfel of dit betekent dat de AVG een gemotiveerde afwijzing eist. Ik denk het wel, maar alleen wanneer je als HR-manager het besluit in overwegende mate af laat hangen van je algoritme. Is het een van de tien factoren waarop je handmatig beslist, dan kun je blijven werken zoals je deed.

Arnoud

Wanneer mag je onder de AVG sollicitanten nog wél googelen?

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Een vacature in een Facebookadvertentie, mag dat?

facebook-leeftijd-kiezen-keuze-advertentie-discriminatieHoe zet je Facebook-advertenties optimaal in om de juiste kandidaat te vinden, las ik op Marketingfacts. Het sociale netwerk biedt mogelijkheden voor zéér specifieke targeting, en dat is natuurlijk ook voor vacatures interessant. Staat je bedrijf in Rotterdam, dan is het niet zinnig de advertentie aan Assenaren of Groningers te vertonen, bijvoorbeeld. Maar je kunt óók alleen targeten op mannen dan wel vrouwen en een leeftijdscategorie instellen. En dát is juridisch toch even ietsiepietsie dubieuzer. Geslachts- en leeftijdsdiscriminatie zijn namelijk verboden bij werving en selectie.

De Algemene Wet gelijke behandeling (Awgb) bepaalt dat je geen onderscheid op een verboden grond mag maken bij “de aanbieding van een betrekking” of de sollicitatieprocedure die daaruit voortvloeit. De verboden gronden zijn

godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat

De Wet gelijke behandeling op grond van leeftijd (Wgbl) doet hetzelfde maar dan specifiek voor leeftijden (en nee ik weet ook niet waarom dat niet een hoofdstuk in de Awgb kon zijn).

Onderscheid kan direct en indirect zijn. “Gezocht: vrouwelijke secretaresse” maakt direct onderscheid op geslacht, en “Gezocht: salesmedewerker die elke dag een plakje varkensvlees lust” maakt indirect onderscheid op godsdienst. En oké die was niet echt subtiel maar de bedoeling is om ook wél subtiele trucs om bepaalde groepen uit te sluiten tegen te gaan. “Gezocht: student” is bijvoorbeeld ook indirect onderscheid op leeftijd, omdat studenten grosso modo vijfentwintigminners zijn.

Het verbod geldt niet bij bepaalde vormen van positieve discriminatie. Zo mag je bij gelijke geschiktheid vrouwen bevoordelen, omdat vrouwen nog steeds ondervertegenwoordigd zijn. En ter “bevordering van arbeidsparticipatie van bepaalde leeftijdscategorieën” mag je leeftijdsdiscriminatie toepassen. Wel moet er dan overheidsbeleid zijn om die categorieën aan het werk te krijgen, en daar mag je als werkgever dan op inhaken.

Meer algemeen is er nog een uitzondering voor situaties waarin het onderscheid

objectief gerechtvaardigd is door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

Wie een Sinterklaas zoekt, mag dus specifiek vragen naar een oudere man hoewel dat eigenlijk dus direct onderscheid op leeftijd én geslacht is (en indirect op ras want “Sinterklaas” impliceert een witte meneer.)

In het voorbeeld van de M!-blog hanteerde men deze criteria:

    <li>    leeftijd tussen 22-30 jaar;</li>
    <li>    woonachtig in Rotterdam of steden rondom Rotterdam en 30 kilometer daarbuiten;</li>
    <li>    interesse in pr-georiënteerde zaken en/of pagina’s.</li></ul>
    

    Hier wordt dus direct op leeftijd geselecteerd. En ik kan bij die leeftijd werkelijk geen objectieve rechtvaardiging verzinnen. En oké, er is ook beleid tegen jeugdwerkloosheid (“deze vacature is in het kader van het Actieplan jeugdwerkloosheid en bedoeld voor jongeren tot 27 jaar”) maar ook dat lijkt me niet echt van toepassing hier. Dus juridisch gezien zeg ik dan, nee, dit mag niet.

    Maar is dit nu werkelijk een probleem? De vacature staat ook gewoon op de site van het bedrijf, dus wie daar wil werken maar 30+ is kan de vacature nog steeds vinden. En zolang men niet volautomatisch de sollicitatie aflegt wegens “te oud”, valt het dan wel mee. Toch?

    Arnoud

Mag je sollicitanten googelen?

google-homepage-patent.pngIn onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

“Social Media accounts geven ons een goed beeld van de sollicitant”

Oké, heel apart – solliciteren als hulpverlener bij Emile.nu. Heel hip natuurlijk, een online sollicitatieformulier waarin je meteen de intake doet (“wat zijn je positieve en negatieve punten” en “waarom wil je bij ons werken”). Maar het is ook een mooi voorbeeld van iets te enthousiast vragen om dingen die je eigenlijk helemaal niet mag vragen.

Zo wordt er op scherm één gevraagd om je BurgerServiceNummer:

emile-bsn.png

Mag dat? Nee, dat mag niet. Op zich is het verplicht om van werknemers het BSN te bewaren, want dat is nodig voor de belastingaangifte bij het salaris en dergelijke. Maar een sollicitant is nog lang geen werknemer.

Op scherm twee, minstens zo leuk: wat is uw Hyves/Facebook/LinkedIN/twitter account?

emile-social.png

Mag dat? Nee, nou ja, misschien, nou ja nee eigenlijk gewoon niet. Niet zomaar, in ieder geval. Je zult om uitdrukkelijke toestemming moeten vragen, én moeten toelichten wat je van plan bent met deze informatie.

Nu zou je kunnen zeggen dat het vrijwillig vragen van deze accounts een manier van toestemming vragen is. Immers, wie dit niet wil, vult het niet in. Maar wat voor gevolgen heeft dat voor je sollicitatie? Word je dan niet meteen terzijde gelegd? En leuk verder dat ze zelf ook student zijn maar wat gaan ze wél doen met je accounts?

Heel formeel mag de vraag niet gesteld worden omdat deze ‘verwerking van persoonsgegevens’ (want dat is het) niet aangemeld is bij het College bescherming persoonsgegevens. Ja, je moet de privacytoezichthouder vertellen dat je sollicitanten googelt. Er is een vrijstelling voor sollicitanten, maar die bevat géén mogelijkheid om een online antecedentenonderzoek uit te voeren.

Oh, het formulier blijkt mogelijk gemaakt door privacystelende perfide Amerikanen:

emile-googledocs.png

En nee dat mag al helemaal niet met een BSN of met medische gegevens (“Heb je allergieën?”). Ja, zo rolt de privacywet.

Wat vinden jullie? Ben ik spijkers op laag water aan het zoeken met een verouderde privacywet? Of was dit gewoon een beetje al te enthousiast van dit bedrijf?

Arnoud

Duitse privacywet wordt aangescherpt, en bij ons?

demonstratie-privacy-not-crime-flickr-sunside-ccbync.jpgIn Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet worden omgegaan.

Zo wordt het verboden om op als privé bedoelde netwerksites (Hyves, Facebook) te kijken wat sollicitanten allemaal uitspoken. Linkedin mag je wel bekijken, en Googelen van sollicitanten mag ook, mits je maar bij de resultaten mee laat wegen hoe oud de informatie is en in hoeverre de sollicitant controle heeft over de informatie zoals daar gepubliceerd. Ook worden er strengere regels over cameratoezicht en monitoren van internetgebruik ingevoerd.

Op zich verbazen de meeste voorgestelde regels niet. Privacy geldt ook op het werk, dat is vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens. En we weten ook in Nederland dat het gebruik van persoonsgegevens aan strenge regels gebonden is, waardoor veel sociale-netwerksites een probleem hebben.

Het is dan weer wel typisch Duits om de regels tot in detail uit te gaan werken in wetgeving, maar goed. In Nederland lijken we meer de voorkeur te geven aan algemene wetten, die dan via richtsnoeren, convenanten en af en toe een rechtszaak ingevuld worden. Op zich lijkt me dat flexibeler, maar het duurt natuurlijk wel een stuk langer voordat je zeker weet of iets mag. Ik ben er nog niet helemaal uit wat ik nu prettiger vind.

Gekke voorbeelden van toezicht of indegatenhouden door werknemers zijn trouwens welkom, ik moet binnenkort weer een lezing geven over privacy op het werk en het verhaal van de camera in de kleedhokjes of in de toiletpot kennen ze al.

Arnoud<br/> Foto: Sunside @ Flickr, Creative Commons By-NC 2.0