Wanneer mag je onder de AVG sollicitanten nog wél googelen?

| AE 10243 | Arbeidsrecht | 21 reacties

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Een vacature in een Facebookadvertentie, mag dat?

| AE 6026 | Arbeidsrecht | 37 reacties

facebook-leeftijd-kiezen-keuze-advertentie-discriminatieHoe zet je Facebook-advertenties optimaal in om de juiste kandidaat te vinden, las ik op Marketingfacts. Het sociale netwerk biedt mogelijkheden voor zéér specifieke targeting, en dat is natuurlijk ook voor vacatures interessant. Staat je bedrijf in Rotterdam, dan is het niet zinnig de advertentie aan Assenaren of Groningers te vertonen, bijvoorbeeld. Maar je kunt óók alleen targeten op mannen dan wel vrouwen en een leeftijdscategorie instellen. En dát is juridisch toch even ietsiepietsie dubieuzer. Geslachts- en leeftijdsdiscriminatie zijn namelijk verboden bij werving en selectie.

De Algemene Wet gelijke behandeling (Awgb) bepaalt dat je geen onderscheid op een verboden grond mag maken bij “de aanbieding van een betrekking” of de sollicitatieprocedure die daaruit voortvloeit. De verboden gronden zijn

godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat

De Wet gelijke behandeling op grond van leeftijd (Wgbl) doet hetzelfde maar dan specifiek voor leeftijden (en nee ik weet ook niet waarom dat niet een hoofdstuk in de Awgb kon zijn).

Onderscheid kan direct en indirect zijn. “Gezocht: vrouwelijke secretaresse” maakt direct onderscheid op geslacht, en “Gezocht: salesmedewerker die elke dag een plakje varkensvlees lust” maakt indirect onderscheid op godsdienst. En oké die was niet echt subtiel maar de bedoeling is om ook wél subtiele trucs om bepaalde groepen uit te sluiten tegen te gaan. “Gezocht: student” is bijvoorbeeld ook indirect onderscheid op leeftijd, omdat studenten grosso modo vijfentwintigminners zijn.

Het verbod geldt niet bij bepaalde vormen van positieve discriminatie. Zo mag je bij gelijke geschiktheid vrouwen bevoordelen, omdat vrouwen nog steeds ondervertegenwoordigd zijn. En ter “bevordering van arbeidsparticipatie van bepaalde leeftijdscategorieën” mag je leeftijdsdiscriminatie toepassen. Wel moet er dan overheidsbeleid zijn om die categorieën aan het werk te krijgen, en daar mag je als werkgever dan op inhaken.

Meer algemeen is er nog een uitzondering voor situaties waarin het onderscheid

objectief gerechtvaardigd is door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

Wie een Sinterklaas zoekt, mag dus specifiek vragen naar een oudere man hoewel dat eigenlijk dus direct onderscheid op leeftijd én geslacht is (en indirect op ras want “Sinterklaas” impliceert een witte meneer.)

In het voorbeeld van de M!-blog hanteerde men deze criteria:

    <li>    leeftijd tussen 22-30 jaar;</li>
    <li>    woonachtig in Rotterdam of steden rondom Rotterdam en 30 kilometer daarbuiten;</li>
    <li>    interesse in pr-georiënteerde zaken en/of pagina’s.</li></ul>
    

    Hier wordt dus direct op leeftijd geselecteerd. En ik kan bij die leeftijd werkelijk geen objectieve rechtvaardiging verzinnen. En oké, er is ook beleid tegen jeugdwerkloosheid (“deze vacature is in het kader van het Actieplan jeugdwerkloosheid en bedoeld voor jongeren tot 27 jaar”) maar ook dat lijkt me niet echt van toepassing hier. Dus juridisch gezien zeg ik dan, nee, dit mag niet.

    Maar is dit nu werkelijk een probleem? De vacature staat ook gewoon op de site van het bedrijf, dus wie daar wil werken maar 30+ is kan de vacature nog steeds vinden. En zolang men niet volautomatisch de sollicitatie aflegt wegens “te oud”, valt het dan wel mee. Toch?

    Arnoud

Mag je sollicitanten googelen?

| AE 5431 | Arbeidsrecht | 46 reacties

In onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij? Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers… Lees verder

“Social Media accounts geven ons een goed beeld van de sollicitant”

| AE 4513 | Aansprakelijkheid, Arbeidsrecht, Privacy | 46 reacties

Oké, heel apart – solliciteren als hulpverlener bij Emile.nu. Heel hip natuurlijk, een online sollicitatieformulier waarin je meteen de intake doet (“wat zijn je positieve en negatieve punten” en “waarom wil je bij ons werken”). Maar het is ook een mooi voorbeeld van iets te enthousiast vragen om dingen die je eigenlijk helemaal niet mag… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder