AP beboet recruitmentbedrijf voor negeren verwijderverzoeken - update

Recruitmentbedrijf Ambitious People Group, of APG, heeft een boete van 6000 euro gekregen van de Autoriteit Persoonsgegevens. Volgens de toezichthouder negeerde de APG verwijderverzoeken van drie verschillende mensen.

APG, tegenwoordig bekend als The Ambitious Group, doet bemiddeling voor werkzoekenden. Geïnteresseerden kunnen zich daarvoor inschrijven, maar ook verzoeken om hun persoonsgegevens te verwijderen als ze geen bemiddeling meer wensen. Dat laatste ging bij meerdere mensen niet goed, meldt de AP. De namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en cv's van drie verschillende mensen bleven in de database van APG staan, ook nadat zij om verwijdering hadden gevraagd. Ook werden deze mensen nog door APG benaderd over vacatures.

Organisaties zijn onder de privacywetgeving AVG in veel gevallen verplicht om iemands gegevens te verwijderen als daarom gevraagd wordt. Ook moeten ze hun best doen om niet meer persoonsgegevens te verzamelen en te bewaren dan nodig is. Als er dus geen goede reden is om persoonsgegevens nog te bewaren, dan moeten deze gewist worden.

Uit onderzoek van de AP blijkt dat APG wel een werkwijze had om gegevens te verwijderen als hier een verzoek voor binnenkwam, maar in de praktijk ging het toch een aantal keer mis. Daarom kreeg APG in 2020 een boete. "De AP mag dit besluit nu openbaar maken, nadat APG procedures had aangespannen over de boete en de openbaarmaking daarvan." De Raad van State heeft dit onlangs besloten.

APG heeft inmiddels het interne beleid tegen het licht gehouden en op een aantal punten aangepast. De AP heeft daar bij het vaststellen van het boetebedrag rekening mee gehouden.

Update, 17.00 uur: Info over de uitspraak van de Raad van State is aan het artikel toegevoegd.

Door Eveline Meijer

Nieuwsredacteur

06-06-2024 • 14:07

44

Submitter: Chocoball

Reacties (44)

Sorteer op:

Weergave:

Met boetes van dit caliber gaat de markt nooit veranderen. €6000,- kan elk bedrijf met 2 vingers in zijn neus dragen. Zelfs met een 0 extra maak je bureau's niet aan het bewegen.

Als er boetes staan van 50% van je jaarlijkse omzet, dan zal geen enkel bedrijf dit willen riskeren en zorgt ie er voor dat het op orde is.

Het zelfde voor iemand die een snelheidsboete krijgt van €100,- terwijl die een ton per jaar verdient. Je denkt dan toch werkelijk waar niet dat die €100,- euro indruk maakt?
Opzich is dat niet erg onredelijk. Het is niet alsof ze altijd de verzoeken weigerden. Er was een speciaal loket ingericht om de verzoeken af te handelen maar deze drie betrokkenen hebben hun verzoeken neergelegd bij een recruiter zonder AVG expertise en deze recruiters zijn niet ingegaan op het verzoek. Nog steeds onrechtmatig, maar het is ook niet duidelijk dat het bedrijf bewust niet voldeed. Ook helpt het dat het bedrijf direct leek mee te werken en verbetermaatregelen doorvoerde. Ik heb in situatie die ik ernstiger en meer verwijtbaar vind een reprimande opgelegd zien worden. Dit lijkt me een zaak waar meer handhaving organisaties helpt om bewust te blijven op dit soort fouten en waar hard straffen misschien niet de beste benadering is.
€ 60.000 vind ik dan weer niet verkeerd als boete, dat voelt een bureau nog wel.

Een reden om de boete niet heel laag te houden is ook dat het juist iets is waar mensen op gaan letten en consultants e.d. op hameren, juist omdat het niet niets is; het herhalingsgevaar wordt een stuk kleiner omdat men het wel degelijk gaat meenemen in trainingen.

Het is een beetje als wanneer een roodlichtboete 25 euro is, dan probeer je misschien om niet door rood te rijden omdat het zonder is van het geld, maar als het 250 euro is dan doe je toch wel wat meer moeite.
Ik ben de uitspraak van de Raad van Staate nog even aan het nalezen (@jochemd bedankt voor de link hierboven) en ik denk dat ik een beetje moet terugkomen op mijn reactie. Ik had gemist dat de AP al twee waarschuwingsbrieven had gestuurd voordat dit onderzoek begon.
"Als er dus geen goede reden is om persoonsgegevens nog te bewaren, dan moeten deze gewist worden." Dat vind ik een lastige. Ik ben deze week gebeld door een recruitmentbedrijf op mijn nummer omdat ik die jaren geleden had gegeven. Ik ben toen niet verder gegaan met ze. Ik vraag mij dan ook af of dit gewist had moeten worden.
Dat alleen is geen AVG verzoek om jouw gegevens te verwijderen, dus nee, die hoeven ze niet te wissen.
Nee dat mag niet. Er zijn uiterlijke bewaartermijnen.

Na het afronden van een sollicitatieprocedure, dient het bedrijf je gegevens zo snel mogelijk te anonimiseren/verwijderen.

Het staat het bedrijf vrij om toestemming te vragen om je gegevens langer te bewaren (max een jaar dacht ik) om je in de toekomst te kunnen benaderen voor andere banen.

Als een recruiter een talentpool gaat opbouwen met mensen die hij/zij wil gaan benaderen voor relevante banen, is er zoiets als "legitiem belang" waardoor je dus niet per direct die persoon op de hoogte hoeft te brengen dat je zijn of haar gegevens zojuist hebt opgeslagen, again, wel is het weer van belang om dan zo snel als mogelijk de persoon aan te schrijven voor de baan die je in de aanbieding hebt.

Hoe lang je die talentpool mensen bewaart, dat is wat grijs gebied, de een doet dat 3 maanden, de ander 6 maanden maar meer dan een jaar is niet de bedoeling.

Bedrijven die moderne recruitment software gebruiken, kunnen ook automatisering instellen waarbij iemand in de database bijvoorbeeld na 11 maanden keurig een mailtje krijgt met de vraag of ze er nog ok mee zijn dat hun gegevens langer bewaard worden.
Ik schrijf nog wel "Dat alleen is geen reden". Moonraven is gebeld en geeft aan op dit moment geen interesse te hebben in het aanbod. Aangenomen dat de bewaargrond (consent/dienstverlening) daarvoor aanwezig is, dan blijft die grond ook na dat telefoontje aanwezig.

Dat er los van het telefoontje nog andere redenen denkbaar zijn waarom de bewaargrond eindigt is waar, maar theoretisch. We hebben geen feiten om aan te nemen dat dat nu speelt.
Moonraven is gebeld en geeft aan op dit moment geen interesse te hebben in het aanbod.
Nee, @MoonRaven geeft aan destijds niet met hen in zee te zijn gegaan.
Ik ben toen niet verder gegaan met ze
Hij geeft bovendien aan dat hij jaren geleden met hen te maken had maar heeft daarna, zo impliceert de gequote zin, geen contact meer met hen nadat hij niet met hen doorging. M.a.w.: die gegevens hadden gewoon verwijderd moeten zijn.

/edit: zinsconstructie aangepast

[Reactie gewijzigd door CamelKnight op 22 juli 2024 13:17]

Niet verder gegaan zijn kan zoveel betekenen. Maar niet perse gestopt zijn mee of gevraagd alles te verbreken.

Ik heb ook contact gehad met veel recruitment bureaus, als ik tegen hen had gezegd dat ik momenteel niet geïnteresseerd ben dan kunnen zij mijn gegevens bewaren. Want die zin straalt uit momenteel en niet een verbreking van alles.
Er zijn natuurlijk nogsteeds bewaartermijnen van toepassing, en de hebben verplichtingen.

Maar keihard zeggen vanuit deze ene zin dat ze onterecht gegevens hebben bewaard is onterecht.
We hebben noch communicatie, noch de data, noch de tijdspanne waarover dit gebeurt.
De tijdspanne hebben we wel: jaren.
Zolang mogen die gegevens niet bewaard worden zonder toestemming van de eigenaar. Uit het bericht wordt niet expliciet duidelijk dat er wel of niet om toestemming is gevraagd, maar gezien de bewoording in het bericht is aannemelijk dat er geen toestemming is gevraagd om de gegevens langer te bewaren.
Zo word ik ook regelmatig gebeld door een recruiter. En ookal geef ik in dat gesprek aan dat ze mijn gegevens moeten verwijderen en niet meer moeten bellen, dat gebeurd niet.
Volgens hun is "onze klanten (werkgevers) zoeken mensen en wij willen die mogelijk aan jou koppelen" een goede grond om die data te bewaren. Nee, alleen wanneer ik aangeef zelf (ook) op zoek te zijn. Anders moeten ze mijn gegevens gewoon verwijderen.

Ik heb nu via het moederbedrijf mijn gegevens laten verwijderen, dus ik ben benieuwd of ze zich eraan houden. Anders kan het AP weer een recruiter een boete geven. :Y)
De beller blokkeren - werkt prima.
Daarmee worden jouw gegevens niet uit hun systeem verwijderd. En kan ook een andere recruiter, met een ander nummer, jou alsnog bellen.
Niet helemaal.
Je krijgt toch later een melding van een "gemist gesprek". Nou had ik op dat moment wachtdienst en niets gehoord, dus begon ik een beetje in paniek te raken dat ik een cruciaal belletje had gemist. Gelukkig was dat niet het geval, maar voelde even niet lekker.
En de laatste keren was zoals @KoffieAnanas ook al zegt: een collega met een ander nummer komt dan wel door.
Het staat het bedrijf vrij om toestemming te vragen om je gegevens langer te bewaren (max een jaar dacht ik) om je in de toekomst te kunnen benaderen voor andere banen.
Maximaal zo lang als er toestemming is gegeven. Dat is het hele idee van toestemming.
Als een recruiter een talentpool gaat opbouwen met mensen die hij/zij wil gaan benaderen voor relevante banen, is er zoiets als "legitiem belang" waardoor je dus niet per direct die persoon op de hoogte hoeft te brengen dat je zijn of haar gegevens zojuist hebt opgeslagen,
Legitiem belang zegt alleen dat het toegestaan is, niet of iemand op de hoogte gesteld moet worden. Het op de hoogte stellen is (indien de gegevens afkomstig zijn van een ander dan de betrokkene zelf) geregeld in AVG artikel 14.3:
3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
Dus inderdaad niet direct, maar bij eerste contact of uiterlijk binnen 1 maand.
Dus inderdaad niet direct, maar bij eerste contact of uiterlijk binnen 1 maand.
Behalve als de verwerkingsverantwoordelijke gegevens die eerder voor een bepaald doeleinde zijn verkregen wil gaan verwerken voor een ander doeleinde. Dan zijn zij verplicht om de betrokkene in te lichten voordat ze overgaan tot die verwerking. (Art 14.4)

Dus als een recruiter reeds over jouw gegevens beschikt omdat jij hen voor één bepaald geval gecontacteerd hebt, mogen ze die niet zomaar langere termijn bewaren om je later nog eens te kunnen benaderen voor andere banen. Ook niet als ze je daar over een maand later nog informeren. Ze zijn verplicht je meteen over die hangende verwerking te informeren, zodra jouw contact inzake het eerste geval sluit en ze voornemens zouden zijn jouw gegevens voor lange termijn te gaan bewaren.
Uit hun privacy policy:
WHAT IS THE TAG RETENTION POLICY?

Our business is recruiting. If you found your job through TAG at one point in your career, you may want to do so again at a later stage; even if you are not actively seeking a new job. Functioning as a career coach, TAG considers it unpractical to delete your Personal Data from the database of a Brand after a given amount of time without you having asked us to do so. The next vacancy TAG sends you may very well be your dream job! However, as removing your Personal Data from our database may not always be on the top of your mind, TAG will periodically send you a reminder about your Personal Data and the option of it being removed. In any case, TAG will remove your Personal Data from its database once you have reached the age of sixty-eight (68).
Je gegevens blijven dus bewaard, totdat je 68 bent, of je vraagt of ze verwijderd mogen worden. Of het zolang bewaard mag blijven, geen idee.

https://www.theambitiousgroup.com/privacy-policy/
In principe hoort het bedrijf dan aan te geven wat ze zelf een redelijke termijn vinden, zodat daar geen misverstand over kan bestaan. Die termijn kan ook afhangen van bewust opzettelijk na een aantal maanden navraag bij de personen doen of ze nog opgenomen willen blijven. Zomaar lange tijd bewaren omdat het misschien handig kan zijn is namelijk juist niet de bedoeling, dat is waarom je als ondernemer vooraf duidelijke grenzen aan de verwerking hoort te stellen.
In dit geval ging het nog eens om te lang blijven verwerken zelfs na expliciete opdrachten te verwijderen. Ondernemers maken het dus lastig als ze niets duidelijk geregeld hebben.
Wat is jaren geleden?
Met wie ben je niet verder gegaan; wie is ze? Hoe heb je hún duidelijkheid gegeven dat je niet verder wilt gaan?
Wanneer is toen?

Dit is nu nog vaag; alle antwoorden hieronder zijn aannames.
7 jaar geleden
Het recruitmentbedrijf, ik heb aangegeven niet verder met ze te gaan.
2017
Nice. Ik hoop dat dit veel vaker gaat gebeuren. Wat doen mensen hier trouwens bij bedrijven die zomaar in de inbox van je werk komen? Ik vraag (als ik duidelijk het idee heb of zie dat het geen phishing is) waar ze mijn e-mailadres vandaan hebben en of ik uit hun lijsten verwijderd kan worden. Gek genoeg krijg je dan nooit antwoord meer. :+

Het is een beetje pedant gedrag, maar ik heb niet voor niks ook "Geen acquisitie via mijn profiel graag, alleen als je een baan voor me hebt bij droombedrijf X." bovenaan mijn LinkedIn gezet in 2023.
Als het in mijn werkmail, telefoon komt. Geef ik het door aan mijn werkgever.
Het is een beetje pedant gedrag, maar ik heb niet voor niks ook "Geen acquisitie via mijn profiel graag, alleen als je een baan voor me hebt bij droombedrijf X." bovenaan mijn LinkedIn gezet in 2023.
Als of recruiters je profile lezen. Ze komen te vaak bij mij voor Microsoft, terwijl ik enkel opensource in mijn profile heb.
Nice. Ik hoop dat dit veel vaker gaat gebeuren. Wat doen mensen hier trouwens bij bedrijven die zomaar in de inbox van je werk komen?
Handhavingsverzoek indienen bij de AP. Bezwaar aantekenen bij de AP als de AP geen boete wil opleggen. Beroep aantekenen bij de rechter als de AP in BOB nog steeds geen boete wil opleggen. Hoger beroep doen we niet, dan heb je een advocaat nodig.
6000 euro is echt niks. Er moet veel meer en strenger gehandhaafd worden. Ik heb zelf ook een recruitment bureau aan m'n broek gehad waar ik tot 3x mijn gegevens heb laten verwijderen. Maar elke keer belde er wel weer een andere flapdrol (zelfs de 'manager' een keer) die het zogenaamd overnam van het vorige persoon. Ze beweerden altijd van niks te weten. Heb nu al weer een tijdje niks gehoord, maar dat was hun tactiek, want ze belden soms maanden niet en dan ineens weer alsof ik nog steeds wekelijks met ze praatte. Heb elke keer hun telefoonnummers geblokkeerd maar misschien toch maar eens een indienen bij het AP.

[Reactie gewijzigd door TomONeill op 22 juli 2024 13:17]

Waarom denk je dat een problemen maar weg zijn door slechts een nummer van een bedrijf te blokkeren dat wettelijk haar taken herhaaldelijk niet op orde blijkt te hebben? Het probleem is immers niet alleen het gebeld worden, maar ook dat een datalek voor behoorlijke problemen voor jou (en anderen) kan zorgen. En om er nu vanuit te gaan dat ze toevallig wel op dat gebied zorgvuldig met je persoonlijke gegevens om gaan maar niet met verwijderverzoeken lijkt me niet heel realistisch. En dat is precies waarom je bij de eerste tekenen van slechte verwerking al bij de toezichthouder mag aankloppen. Je hebt vooral jezelf en anderen er mee als je dat blijft uitstellen.
Ik heb een keer bij een grote telefoonwinkel een verwijder verzoek ingediend
Kreeg te horen dat het mogelijk was, maar dan was ik wel mijn garantie op mijn toestel kwijt.
Ik gaf toen aan dat ik het bonnetje heb en dat een bonnetje voldoende was, maar dat was niet zo werd mij verteld.
Heb toen gezegd dat ik APG ga mailen, paar dagen later was van alles wel mogelijk.
Ambitios People Group ?
Of bedoelde je Autoriteit Persoonsgegevens

[Reactie gewijzigd door Neus op 22 juli 2024 13:17]

In mijn ervaring zijn er amper recruiters (van wervingsbureaus of voor 'interne klant') die zich wat aantrekken van avg. De keren dat ik om de vereiste toestemming voor verwerking van mijn gegevens gevraagd werd, zijn een ruime minderheid.
Anderzijds heb ik al allerlei fratsen meegemaakt. Onder meer het opslaan van m'n persoonlijke emailadres, adres en geboortedatum (gebruikt tijdens de werving) in m'n AD account (=leesbaar voor het hele bedrijf), wervingsbureus die me bij elke nieuwe opportuniteit blijven contacteren - ondanks de vraag ermee te stoppen, m'n CV hersamenstellen van m'n linkedinprofiel en daarmee langs 'klanten' gaan leuren (zonder dat ik er iets van weet), GSM nummers die van hand tot hand gaan,...
Het gros van de kandidaten staat dan nog eens realtief zwak: uiteindelijk willen ze wel een (betere) job, dus direct gaan klagen over de consequenties van AVG is niet de eerste optie.
In alle eerlijkheid ben ikzelf maar een paar keer 'in protest' gegaan. Laten blijken dat ik weet wat m'n rechten zijn, was telkens afdoende. Alleen na de AD vol persoonlijke gegevens is er zover ik weet iets officieels van gekomen nadat de DPO nav mijn melding in actie kwam.
Goed dat een toezichthouder tegen zulke praktijken in kan gaan, zodat individuelen hun nek niet teveel moeten uitsteken!
Heel goed, ik hoop dat er meerdere gaan volgen, en bedrijven in gaan zien actief bezig te zijn met dergelijke zaken.

Ik krijg regelmatig nog berichten van bedrijven waar ik al jaren geen interactie mee heb gehad. Laatst een partij opgezocht online om de privacy statement even vlug door te nemen, hierin was opgenomen dat alle gegevens van "U" verwijderd worden als er langer dan 1 jaar geen gebruik van is gemaakt. Ik heb inmiddels al langer dan 4 jaar geen gebruik gemaakt van de service, een grote leugen dus. Een verzoek om vergetelheid is er inmiddels uit, nu zien of ze er wat mee gaan doen.
Boete/situatie is uit 2020, best wel wat jaartjes geleden. Het procederen van APG heeft toch wat uitstel voor hen geboden (waarschijnlijk lang genoeg voor een naamsverandering/rebranding om toch wat afstand proberen te verkrijgen).

Lijkt me niet dat dit het enige bureau is dat problemen heeft gekregen met het AP. Mogelijk dat er nog een aantal rechtszaken lopen en dat we hopelijk binnenkort wat bekendere/beruchtere partijen voorbij zien komen met hopelijk wat hogere boetes/sancties.
6000 euro? Dat is toch totaal geen aansporing om te veranderen in gedrag voor zo'n bedrijf? Kom op AP, laat eens wat tanden zien. Dit schrikt totaal niet af.
Het bedrijf is zelf van mening dat het feit dat het besluit openbaar gemaakt is zonder anonimisering hun een repatatieschade van zon 300000 euro heeft opgeleverd. Dat is waarom het bedrijf openbaarmaking tot bij de Raad van State heeft aangevochten.

De AP heeft zelf ook al geconstateerd dat bedrijven het helemaal niet erg te vinden als de AP hun bestraft, zolang de straf maar niet openbaar gemaakt wordt. Dus heeft de AP 2 jaar geleden stilletjes haar beleid aangepast en werden berispingen niet meer gepubliceerd. Pas na herhaalde Woo verzoeken heeft de AP haar nieuwe beleid gepubliceerd (lang nadat het al was doorgevoerd) en zelfs nu lopen er nog rechtzaken over Woo verzoeken omdat de AP uitspraken niet openbaar wil maken.
Ik heb de AP via de Woo gevraagd om een paar besluiten openbaar te maken. Het resultaat is dat ik positieve besluiten krijg (meestal vrij netjes en redelijk vlot), maar dat de AP de documenten waarvan is besloten om ze openbaar te maken niet openbaar maakt. Ik krijg wel een kopie, maar ze worden niet op de website geplaatst. Ik heb ook gezien dat iemand anders vervolgens een Woo-verzoek indient om zo'n besluit op te vragen. Daar heeft de AP gevraagd of ze het buiten de Woo konden afhandelen en het openbare besluit direct opgestuurd.

Een deel van de openbaarheid wordt gehinderd door externe factoren. Maar een belangrijk deel is echt een keuze van de AP.
De AP heeft in 2022 32 woo-verzoeken gekregen en maar één besluit gepubliceerd.
De AP heeft in 2021 23 Wob-verzoeken gekregen en twee op de website gepubliceerd.
Maar dit is toch tegenstrijdig? Boetes vindt men niet erg, openbaarmaking wel, maar AP gaat het juist niet meer openbaar maken?
Jij gaat er van uit dat de doelstelling van de AP is meer afschikking: dan is het inderdaad onlogisch. Het is echter hardstikke logisch als de doelstelling is om minder vervelende rechtzaken te krijgen.
Da's echt heel raar, want waar ben je dan mee bezig als handhaver?
Stel je voor dat het OM geen mensen meer vervolgt uit angst voor rechtszaken?
2000 per niet opgevolgd verwijderverzoek. Denk niet dat ze veel aan die drie mensen hebben verdiend.
Ze gaan de volgende keer denk ik wel beter opletten.
Aan 1 succesvolle plaatsing verdienen ze echt wel een veelvoud van dat bedrag hoor.
Het gaat niet om die mensen maar omdat dit soort laksheid (of opzettelijke acties) toch geen grote gevolgen hebben.

Zie ook reactie @markjanssen: één plaatsing is een veelvoud van het bedrag, om het in perspectief te plaatsen.
Nou lijkt dit een recruiter waar mensen zichzelf bewust voor moeten inschrijven. Ik hoop echt dat we binnenkort ook soortgelijke berichten gaan lezen over recruiters die allerlei vage scraping sites gebruiken om mensen te benaderen, liefst met een paar extra nulletjes.

Op dit item kan niet meer gereageerd worden.