Mijn werkgever laat concullega’s op Linkedin ons in de gaten houden

Een lezer vroeg me:

De HR afdeling van mijn werkgever heeft een afspraak met een ander bedrijf om elkaars werknemers te scannen op Linkedin op hun beschikbaarheidsstatus. De HR medewerker die het betreft heeft bij een vorige werkgever op zijn/haar kop gekregen, omdat er werknemers vertrokken zonder dat de werkgever actie hadden kunnen ondernemen, om die werknemers te behouden. Is dat wel toegestaan gezien bijvoorbeeld de AVG? En wat kan ik eraan doen?
Linkedin beschikt inderdaad over zo’n status, die in de vrolijke taal van het sociale netwerk de #OpenToWork status heet. Je kunt dit volledig aanzetten, je krijgt dan een groene krans om je foto maar de hele wereld ziet het dan en dus ook je werkgever.

Niet iedereen wil dat, dus is er ook de beperkte variant waarbij alleen mensen die Linkedin Recruiter afnemen (“een platform voor het vinden, contact leggen met en beheren van kandidaten”). Daarbij worden recruiters tegengehouden die voor je huidige werkgever of daarmee verbonden organisaties werken. De truc die deze werkgever dus heeft gevonden, is een recruiter van de concullega laten kijken en dan een seintje te geven “Wim hengelt naar nieuw werk”.

Mijn niet-juridische vraag is dan meteen, wat wil je doen met die informatie? Want iemand er direct op aanspreken lijkt me nogal kansloos, wat verwacht je te halen uit zo’n gesprek? Indirect het gebruiken, bijvoorbeeld “toevallig” een extra leuke klus toeschuiven of de bonus een week eerder, dat kan maar zou dat genoeg zijn? Iemand verbieden weg te gaan, of iemand verplichten dat vinkje weg te halen lijkt me onmogelijk.

Juridisch gezien: ja, natuurlijk valt zulke informatie onder de AVG. Het is immers informatie over een persoon, in dit geval “werknemer Wim wil mogelijk weg bij bedrijf X”. De vraag is dan waarom bedrijf Y (de concullega) deze informatie mag opvragen en doorgeven aan bedrijf X. Het opvragen zie ik nog wel: bij Y werkt een recruiter, die neemt deze tool af en Wim heeft expliciet het vinkje aangezet dat recruiters het mogen weten. Dus dat zit voor Y wel snor qua grondslag van de verwerking.

Maar het gaat mis bij het doorgeven aan X, precies omdat Wim bij het aanzetten van dat vinkje heeft gekozen voor die beperkte variant. Wim wil niet dat het bij X terecht komt, en zowel X als Y weten dat. Ze maken immers die afspraak om om deze wens heen te komen. En dan gaat het mis op de rechtmatigheid (art. 5 lid 1 AVG) van de verwerking, of zo je wilt op de doelbinding (art. 6 lid 4 AVG) omdat je heel duidelijk iets voor het verkeerde doel inzet.

Je kunt dus je werkgever verbieden om deze informatie aan te nemen laat staan te gebruiken. Ik weet niet hoe je dat op een handige manier doet, eentje waarbij de werkrelatie nog even overeind blijft. De OR of vakbond vragen hier wat van te vinden is denk ik nog de veiligste manier. Blijft hooguit de vraag hoe deze kan onthullen te weten te zijn gekomen dat het bedrijf zo werkt.

Arnoud

Mogen wij een AI onze sollicitanten laten prescreenen?

Een lezer vroeg me:

Ik werk op de HR afdeling van de Nederlandse vestiging van een Amerikaans concern. Vanuit ‘Houston’ is ons nu opgedragen alle sollicitaties eerst door een AI-driven screening te halen. Alleen mensen die door het algoritme worden geselecteerd, mogen op gesprek komen. Mag dat wel van de GDPR?

De inzet van AI, beter gezegd machine learning, is in human resources oftewel personeelsmanagement aan een stevige opmars bezig. Het screenen van kandidaten is namelijk een tijdrovende en lastige klus om consistent en objectief te doen, en laat dat nou precies zijn waar software goed in is. Zoals PW Web het uitlegt:

Handmatig honderden cv’s doornemen kan leiden tot een enorme opeenhoping van werk, waardoor andere taken stil komen te liggen en er veel tijd en geld wordt verspild. Met behulp van AI en ML kan dit proces geautomatiseerd worden door bijvoorbeeld slimme screening software in te zetten die cv’s snel kan scannen op de voorwaarden die in de vacature genoemd worden. Gedurende dit proces leert de software wat er gevraagd wordt van toekomstige kandidaten. Op basis van ervaringen met eerder aangenomen kandidaten kan de software vervolgens bepalen welke eigenschappen een goede kandidaat bezit.

Ook steeds populairder wordt screeningsoftware waarbij je op video vragen van een computerprogramma beantwoordt. Software analyseert dan je ‘microexpressies’ en emoties en concludeert daaruit of jij door mag naar fase 2, waarbij een mens met je in contact treedt.

Dit staat inderdaad enigszins op gespannen voet met de AVG oftewel GDPR, die immers een verbod kent op geautomatiseerde besluitvorming, inclusief profileren. Artikel 22 AVG verbiedt in principe het geautomatiseerd nemen van besluiten, waarmee niet alleen juridisch bindende beslissingen worden bedoeld maar ook andere conclusies en vervolgstappen die de betrokkene in aanzienlijke mate raken. Zoals wanneer je niet door mag naar een volgende sollicitatieronde.

Lid 2 van dit artikel staat profileren en besluitvorming echter weer wel toe wanneer dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, waaronder ook een arbeidscontract kan vallen. Het zou dus mogen, zo’n prescreening, mits de werkgever kan aantonen dat hij echt niet anders kan – de term ‘noodzaak’ is een hoge lat, en je komt er niet door te zeggen dat het beter is dan voorheen of dat dit je werk efficiënter of makkelijker maakt.

Ik vind het moeilijk argumenten te bedenken waarom die noodzaak er zou zijn. Alleen, je komt dan al heel snel uit bij het kulargument “vroegâh kon alles handmatig en persoonlijk dus vernieuwingen zijn nergens voor nodig”. En dat kan ook weer niet de bedoeling zijn van de AVG.

Ik zie daarbij wel iets in het argument dat zo’n screening objectiever is, omdat alle cv’s nu op dezelfde wijze worden bekeken en beoordeeld. Dat voelt eerlijker dan wat je vroeger wel hoorde, dat een cv terzijde werd gelegd omdat het papier te dun was, je de verkeerde school had of omdat je op de foto mooier was dan de HR-dame die je brief openmaakte. Maar algemeen bekend is ook weer dat screeningsoftware bias heeft, en bijvoorbeeld per abuis vrouwen weglaat of alleen mannen die Jared heten en lacrosse spelen doorlaat.

Ik denk dan ook dat dit alleen kan als je hebt uitgewerkt op papier waarom dergelijke bias en selectiefouten bij jullie niet voor gaan komen. En een mooie folder van de leverancier is natuurlijk niet genoeg daarvoor.

Arnoud

Mag je sollicitanten googelen?

google-homepage-patent.pngIn onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

“Social Media accounts geven ons een goed beeld van de sollicitant”

Oké, heel apart – solliciteren als hulpverlener bij Emile.nu. Heel hip natuurlijk, een online sollicitatieformulier waarin je meteen de intake doet (“wat zijn je positieve en negatieve punten” en “waarom wil je bij ons werken”). Maar het is ook een mooi voorbeeld van iets te enthousiast vragen om dingen die je eigenlijk helemaal niet mag vragen.

Zo wordt er op scherm één gevraagd om je BurgerServiceNummer:

emile-bsn.png

Mag dat? Nee, dat mag niet. Op zich is het verplicht om van werknemers het BSN te bewaren, want dat is nodig voor de belastingaangifte bij het salaris en dergelijke. Maar een sollicitant is nog lang geen werknemer.

Op scherm twee, minstens zo leuk: wat is uw Hyves/Facebook/LinkedIN/twitter account?

emile-social.png

Mag dat? Nee, nou ja, misschien, nou ja nee eigenlijk gewoon niet. Niet zomaar, in ieder geval. Je zult om uitdrukkelijke toestemming moeten vragen, én moeten toelichten wat je van plan bent met deze informatie.

Nu zou je kunnen zeggen dat het vrijwillig vragen van deze accounts een manier van toestemming vragen is. Immers, wie dit niet wil, vult het niet in. Maar wat voor gevolgen heeft dat voor je sollicitatie? Word je dan niet meteen terzijde gelegd? En leuk verder dat ze zelf ook student zijn maar wat gaan ze wél doen met je accounts?

Heel formeel mag de vraag niet gesteld worden omdat deze ‘verwerking van persoonsgegevens’ (want dat is het) niet aangemeld is bij het College bescherming persoonsgegevens. Ja, je moet de privacytoezichthouder vertellen dat je sollicitanten googelt. Er is een vrijstelling voor sollicitanten, maar die bevat géén mogelijkheid om een online antecedentenonderzoek uit te voeren.

Oh, het formulier blijkt mogelijk gemaakt door privacystelende perfide Amerikanen:

emile-googledocs.png

En nee dat mag al helemaal niet met een BSN of met medische gegevens (“Heb je allergieën?”). Ja, zo rolt de privacywet.

Wat vinden jullie? Ben ik spijkers op laag water aan het zoeken met een verouderde privacywet? Of was dit gewoon een beetje al te enthousiast van dit bedrijf?

Arnoud

Duitse privacywet wordt aangescherpt, en bij ons?

demonstratie-privacy-not-crime-flickr-sunside-ccbync.jpgIn Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet worden omgegaan.

Zo wordt het verboden om op als privé bedoelde netwerksites (Hyves, Facebook) te kijken wat sollicitanten allemaal uitspoken. Linkedin mag je wel bekijken, en Googelen van sollicitanten mag ook, mits je maar bij de resultaten mee laat wegen hoe oud de informatie is en in hoeverre de sollicitant controle heeft over de informatie zoals daar gepubliceerd. Ook worden er strengere regels over cameratoezicht en monitoren van internetgebruik ingevoerd.

Op zich verbazen de meeste voorgestelde regels niet. Privacy geldt ook op het werk, dat is vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens. En we weten ook in Nederland dat het gebruik van persoonsgegevens aan strenge regels gebonden is, waardoor veel sociale-netwerksites een probleem hebben.

Het is dan weer wel typisch Duits om de regels tot in detail uit te gaan werken in wetgeving, maar goed. In Nederland lijken we meer de voorkeur te geven aan algemene wetten, die dan via richtsnoeren, convenanten en af en toe een rechtszaak ingevuld worden. Op zich lijkt me dat flexibeler, maar het duurt natuurlijk wel een stuk langer voordat je zeker weet of iets mag. Ik ben er nog niet helemaal uit wat ik nu prettiger vind.

Gekke voorbeelden van toezicht of indegatenhouden door werknemers zijn trouwens welkom, ik moet binnenkort weer een lezing geven over privacy op het werk en het verhaal van de camera in de kleedhokjes of in de toiletpot kennen ze al.

Arnoud<br/> Foto: Sunside @ Flickr, Creative Commons By-NC 2.0