LeadGrid

Hoe lang mag je een kandidaat in je talent pool bewaren? De AVG-regels uitgelegd

Afgewezen kandidaten, bijna-matches, toekomstige fits: hoe lang mag je hun data legaal bewaren in een talent pool onder de AVG? Hier is het exacte antwoord.

recruitmentguidesDoor Ralf Klein · 3 min lezen
Recruiter die een professioneel sollicitatiegesprek voert in een modern kantoor
Foto door Resume Genius op Pexels

Een kandidaat heeft gesolliciteerd, haalde de laatste ronde, maar kreeg de baan niet. Je wilt ze bewaren voor de volgende vacature. Dat instinct klopt. De uitvoering moet bewust zijn, want onder de AVG is "iemand op de lijst houden" een verwerkingsactiviteit met een wettelijke grondslag en een bewaartermijn.

Dit zeggen de regels.

De standaard: vier weken na afwijzing

Wanneer een kandidaat solliciteert op een specifieke functie en je ze afwijst, mag je hun data bewaren voor vier weken na de afwijzing. Dit dekt de periode waarin de kandidaat mogelijk bezwaar maakt of inzage vraagt in hun dossier.

Na die vier weken moet je de data verwijderen als je geen andere wettelijke grondslag hebt.

Geen toestemming, geen actieve pipeline, geen openstaande vacature: verwijderen.

Uitbreiden naar een talent pool: je hebt expliciete toestemming nodig

Een kandidaat langer bewaren, in een talent pool, vereist expliciete, geïnformeerde toestemming. Geen impliciete toestemming. Geen vooraf aangevinkt vakje. Geen algemene zin weggestopt in je privacybeleid.

De kandidaat moet actief instemmen met:

  • opname in een talent pool
  • voor een specifieke bewaartermijn die je vooraf noemt
  • voor een doel dat je duidelijk omschrijft (toekomstige functies, niet algemene marketing)

Gangbare praktijk in Nederland en door de hele EU is een maximum van één jaar met één toestemming. Na een jaar vraag je opnieuw toestemming of verwijder je het dossier. Sommige organisaties hanteren twee jaar, wat verdedigbaar is bij functies met een langzame aanwervingscyclus, maar één jaar is de veiligste standaard.

Wat het toestemmingsverzoek moet bevatten

Een AVG-conforme talent pool opt-in heeft drie onderdelen:

  1. Wat je bewaart. CV, contactgegevens, gespreksnotities, beoordelingsscores. Wees specifiek.
  2. Waarom. Toekomstige vacatures bij jouw organisatie die passen bij hun profiel.
  3. Hoe lang. Één jaar vanaf de datum van toestemming. Niet "voor de nabije toekomst."

Voeg een duidelijk opt-out-mechanisme toe. De kandidaat kan de toestemming op elk moment intrekken, en intrekken moet even gemakkelijk zijn als toestemming geven.

Controleer bij een recruitment tool of ATS of het toestemmingstijdstempels logt en automatische verwijderherinneringen verstuurt wanneer de bewaartermijn afloopt. Handmatig bijhouden in een spreadsheet is een compliance-risico op elke schaal.

Bijna-matches en talent pools in de praktijk

De talent pool-regel geldt gelijkelijk voor:

  • Kandidaten die direct zijn afgewezen
  • Kandidaten die goed pasten maar verloren van een sterkere kandidaat
  • Kandidaten die hun sollicitatie halverwege het proces hebben ingetrokken

De wettelijke grondslag verandert niet op basis van hoe dicht ze in de buurt kwamen. Als ze niet meer in een actief proces zitten, heb je toestemming nodig of verwijder je.

Eén nuance: als de kandidaat een open sollicitatie heeft gestuurd zonder specifieke functie, is de impliciete verwachting dat je die bewaart voor toekomstige overweging. Dat alleen vormt geen geldige AVG-toestemming, maar maakt het opt-in gesprek wel gemakkelijker.

Het standpunt van de Autoriteit Persoonsgegevens

De Nederlandse toezichthouder (AP) heeft richtsnoeren gepubliceerd die bevestigen dat talent pool-opslag expliciete toestemming vereist en een maximale bewaartermijn van één jaar aanbeveelt. Ze hebben actief organisaties beboet voor het bewaren van kandidaatdata zonder geldige wettelijke grondslag.

Als je over EU-grenzen heen werkt, zijn de regels consistent. De AVG is uniform van toepassing. Nationale toezichthouders kunnen licht verschillen in handhavingsfocus, maar de toestemmings- en bewaarvereisten zijn hetzelfde.

Wat je in je proces moet inbouwen

Drie praktische stappen die de meeste compliance-risico's elimineren:

Bij afwijzing: stuur een enkelvoudige, duidelijke e-mail met de vraag of de kandidaat zich wil aanmelden voor je talent pool. Vermeld wat dat inhoudt, hoe lang hun data bewaard wordt, en een one-click opt-in.

Bij toestemming: leg de datum en wat er is ingestemd vast. Je ATS of CRM zou dit automatisch moeten doen. Als dat niet zo is, is dat een toolingprobleem dat de moeite waard is om op te lossen.

Bij vervaldatum: automatische herinnering wanneer het toestemmingsvenster verloopt. Vraag opnieuw toestemming of start een verwijderingsworkflow.

Dit is niet complex om te implementeren. Het is makkelijk om over te slaan. Overslaan is wat de compliance-blootstelling creëert.

De korte versie

Afgewezen kandidaat, geen toestemming: verwijder na vier weken. Talent pool met toestemming: maximaal één jaar, daarna opnieuw vragen of verwijderen. Log alles. Opt-out moet eenvoudig zijn.

Dat is de hele regel. De rest is implementatie.

Delen:
Gratis voor altijd. Geen creditcard.
Sales + recruitment in één grid
Gratis starten