Terwijl ik druk bezig ben met de website audits van onze klanten in het kader van de AVG en GDPR, stuit ik op een interessant vraagstuk met betrekking tot de verwerking van persoonsgegevens.

Sollicitatiegegevens bewaren?

In het verleden hebben we eens een sollicitatieformulier gebouwd voor een klant. Los van allerlei privacygevoelige informatie verstuurt een sollicitant ook allerlei fysieke documenten naar de server, denk hierbij aan een cv en diploma’s. Wat gebeurt er met deze documenten? Voor de server is een protocol, maar wat gebeurt er vervolgens met deze gegevens?

De medewerker P&O ontvangt na een sollicitatie een mail op haar computer en mailt vervolgens de cv’s door aan de leidinggevende van de afdeling. Nu ontstaat er een lastige vraag. Enerzijds moeten persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk en anderzijds moeten we e-mails tenminste 7 jaar bewaren.

De AVG/GDPR geeft geen concrete bewaartermijn voor persoonsgegevens maar stelt in het algemeen dat gegevens bewaard mogen worden zolang als het nodig is voor het doel waarvoor het verzameld is.

Rechten sollicitant

Wat eigenlijk een interessanter vraagstuk is, is hoe we omgaan met het verzoek van een sollicitant om zijn/haar persoonsgegevens te wissen. Aan dit verzoek moet je gehoor geven als er geen wettelijke eis is dat gegevens niet verwijderd mogen worden.

Hier conflicteert de ene wet met de andere en dan niet zozeer in de duidelijkheid maar wel in het nut van de wet persoonsgegevens. Het is namelijk zo dat vrijwel elk contactformulier op één of andere manier een bericht stuurt naar een e-mailadres.

Onze oplossing

Voor een sollicitatieformulier zijn veel oplossingen waarmee je waarschijnlijk wel aan de AVG/GDPR voldoet en niet de persoonsgegevens ook nog op je eigen systemen hoeft te bewaren. Wij gebruiken bijvoorbeeld Homerun. We zien dat Homerun al druk bezig is met de invulling van de AVG/GDPR, maar dat ook zij op dit moment nog niet alle zaken heeft geborgd.

Nog een tip

Het blijft een lastig vraagstuk, want je moet in principe voor heel 2018, dus niet pas vanaf 28 mei, kunnen verantwoorden wat je doet en hebt gedaan met privacygevoelige informatie.

Een tip is dan ook om op je website uit te leggen wat je doet met de informatie die je vraagt. En dan niet weggestopt in een hoekje, maar duidelijk bij het contactformulier. Je hebt de bezoeker dan in ieder geval duidelijk gemaakt dat je de gegevens wel van de website kan verwijderen maar niet uit je mailbox mag verwijderen.

Bekijk ook mijn blog over Goolge Analytisc en de AVG/GDPR

Deel dit artikel via