Online sollicitatieplatforms houden zich niet altijd goed aan de privacyregels, zoals die gesteld zijn in de Algemene verordening gegevensbescherming (AVG). Persoonlijke data zou wettelijk maximaal 4 weken bewaard mogen worden, bij toestemming van de sollicitant is de termijn een jaar. Na een hack bij sollicitatieplatform Homerun bleek een aantal weken geleden dat gegevens die al lang verwijderd hadden moeten zijn, waren buitgemaakt door de hacker. Het gaat onder andere om CV’s, sollicitatiebrieven en andere privé-informatie. Nu blijkt dat het vaker misgaat.
Mediastages
Na onderzoek van Pointer bleek dat ook stagebureau Mediastages gegevens van hun stagiaires te lang heeft bewaard. Het gaat om CV’s, pasfoto’s, motivaties en sollicitatiebrieven. De gegevens waren in te zien door de stagiaires zelf en in sommige gevallen ook door de bedrijven waar de studenten stage liepen. Na contact met Mediastages heeft het bedrijf bij de bekende gevallen ervoor gezorgd dat deze gegevens niet meer toegankelijk zijn.
Directeur Monique Amse geeft in de radio-uitzending aan dat het bedrijf zich ervan bewust is dat de gegevens te lang bewaard zijn: “Het stukje bewaartermijn is heel complex. We hebben naar aanleiding van berichten van stagiaires de afgelopen week er zelf voor gezorgd dat de stagebegeleiders niet meer bij de gegevens kunnen.” Ook geeft het bedrijf aan met juristen bezig te zijn om te kijken naar een systeem voor in de toekomst om alleen de nodige gegevens te selecteren en te bewaren. Er is geen reden om aan te nemen dat Mediastages slachtoffer is geworden van een hack of dat bij dit bedrijf gegevens zijn gelekt.
Luister naar onze radio-uitzending:
Datalek
Onlangs was sollicitatieplatform Homerun dus slachtoffer van een groot datalek waarbij honderdduizenden persoonsgegevens zijn buitgemaakt. Klanten van Homerun zijn onder andere Blende, Decathlon, KRO-NCRV, Dopper en RTL. In de database stonden ook gegevens van sollicitanten die jaren geleden hebben gesolliciteerd en waarbij de maximale bewaartermijn niet goed is gehandhaafd. “De combinatie van gegevens die in je CV staan, leveren op de zwarte markt zeer veel geld op. Dat maakt het een aantrekkelijk doel voor hackers. Je hebt als crimineel soms al genoeg aan een geboortedatum, postcode en IBAN om bankfraude te kunnen plegen.”
Privacy-expert Frank van Vonderen stelt in Pointer dat deze platforms er strenger op moeten toezien dat ze deze data op tijd verwijderen. “Je weet als werkgever nooit van tevoren wat mensen in hun sollicitatiebrief zetten. Dat kan gaan om hobby’s, een burgerservicenummer of hun IBAN-rekeningnummer. Daarom is het netjes om deze documenten zo snel mogelijk te verwijderen.”
Belastingdienst
Werkgevers zijn verplicht om voor de Belastingdienst sommige gegevens een aantal jaar te bewaren. Het gaat hierbij bijvoorbeeld om een loonbelastingverklaring of een kopie van een identiteitsbewijs. De Belastingdienst stelt voor deze gegevens een fiscale bewaarplicht van 5 of 7 jaar. Onder deze gegevens vallen CV’s en sollicitatiebrieven niet. “Sommige bedrijven bewaren deze documenten wel, omdat er gegevens in kunnen staan die ze moeten bewaren. Het is netter om selectief de gegevens uit deze documenten te halen en de stukken die de Belastingdienst niet nodig heeft, te verwijderen”, aldus Van Vonderen.