Een kandidaten-database is pas waardevol als de informatie actueel, doelgebonden en beheersbaar is. Oude profielen geven recruiters marktgeheugen, maar ze brengen ook vragen mee: waarom staat deze persoon nog in het systeem, wanneer is er voor het laatst contact geweest en kan je uitleggen waarom de data nog nodig is?
De AVG geeft geen universele recruitmenttermijn die voor ieder bureau geldt. De Autoriteit Persoonsgegevens legt in haar informatie voor werkgevers uit dat gegevens van afgewezen sollicitanten in beginsel binnen vier weken moeten worden verwijderd, tenzij er toestemming is om ze langer te bewaren. Voor bureaus en talentpools vraagt dat om een eigen onderbouwd beleid. Lees de informatie van de Autoriteit Persoonsgegevens over sollicitantgegevens bewaren en laat je proces toetsen. Dit artikel is geen juridisch advies.
Deze gids biedt een inhoudelijk vertrouwenskader voor bureaus die hun databeleid, leveranciers en CRM-inrichting willen beoordelen. Privacybeleid bepaalt niet op zichzelf welke software je koopt; het helpt wel om commerciële evaluaties met betere vragen en duidelijkere verantwoordelijkheden te voeren.
Het verschil tussen een termijn en een reden
Een bewaartermijn is niet simpelweg “twaalf maanden omdat dat in het ATS staat”. Je begint met het doel: een lopende opdracht uitvoeren, een kandidaat later benaderen voor vergelijkbare functies, administratie bewaren of een wettelijke verplichting naleven. Daarna bepaal je welke gegevens daarvoor nodig zijn en wanneer je opnieuw moet beoordelen of het doel nog bestaat.
Dat is vooral belangrijk bij bureaus die zowel werving en selectie als interim, detachering of executive search doen. Een kandidaat die niet past bij de ene rol kan relevant zijn voor een andere opdracht, maar dat betekent niet dat ieder historisch veld onbeperkt beschikbaar moet blijven. Beperk wat je bewaart, splits doelen waar dat kan en geef kandidaten begrijpelijke informatie.
| Situatie | Werkvraag | Praktische controle |
|---|---|---|
| Lopende opdracht | Welke gegevens zijn nodig om de procedure uit te voeren? | Koppel kandidaat, vacature, klant en volgende actie. |
| Afwijzing | Is de procedure klaar en is er toestemming voor langer bewaren? | Start een verwijder- of herbeoordelingsdatum. |
| Talentpool | Is het doel duidelijk en is de kandidaat geïnformeerd? | Bewaar toestemming, bron, datum en opt-outstatus. |
| Oude CRM-notitie | Is de inhoud nog relevant en proportioneel? | Verwijder speculatie en verouderde privé-informatie. |
Maak drie datastromen zichtbaar
1. Sollicitatiegegevens
Dit zijn gegevens die binnenkomen voor een concrete vacature of opdracht. De recruiter heeft een doel en een fase: ontvangen, bespreken, voorstellen, interview, aanbod of afgesloten. Bij iedere fase hoort een actie. Een database waarin afwijzingen, actieve kandidaten en oude leads door elkaar staan, maakt correcte verwijdering bijna onmogelijk.
2. Sourcinggegevens
Bij sourcing werk je soms met openbare professionele informatie voordat er contact is geweest. Noteer de bron en wees zuinig met wat je overneemt. Een functietitel, bedrijf en relevante werkervaring kunnen nodig zijn voor een eerste zoekactie. Een vrije notitie over vermoedelijke privéomstandigheden meestal niet. Gebruik een dataverrijkingsworkflow alleen met een duidelijk doel en controleer wat de leverancier toevoegt.
3. Relatie- en talentpoolgegevens
Een recruitment-CRM helpt om eerdere gesprekken terug te vinden, maar “relatie” is geen onbeperkt doel. Vraag jezelf af of de kandidaat nog op de hoogte is van je werkwijze, of de voorkeuren kloppen en of de informatie een volgende relevante benadering ondersteunt. Een periodieke bevestiging of update is nuttiger dan een stil archief vol oude aannames.
De AVG-checklist voor kandidaatdata
- Doel: schrijf per datastroom in gewone taal op waarom je de gegevens gebruikt.
- Grondslag: leg vast welke grondslag je organisatie gebruikt en laat de keuze toetsen; toestemming is niet de enige mogelijke grondslag.
- Informatie: wijs kandidaten op de verwerking, bron, doelen, rechten en contactpunt.
- Dataminimalisatie: bewaar alleen velden die een recruiter werkelijk nodig heeft.
- Termijn: geef een verwijderdatum of herbeoordelingsdatum per doel.
- Opt-out: zorg dat een bezwaar of verzoek niet alleen in een mailbox blijft staan.
- Toegang: beperk wie kandidaatdata, notities en klantinformatie kan zien.
- Leveranciers: ken je verwerkers, subverwerkers, export en verwijdering.
- Bewijs: documenteer controles en uitzonderingen zonder een nieuw schaduwbestand te maken.
De Europese Commissie beschrijft de AVG-beginselen, waaronder doelbinding, dataminimalisatie en opslagbeperking. Het praktische gevolg is helder: een kandidaatprofiel is geen bezit van het bureau. Het is informatie die je voor een verantwoord doel verwerkt.
Een verwijderworkflow die recruiters echt gebruiken
Een beleid faalt vaak op de laatste meter. De privacyverantwoordelijke schrijft een document, maar de recruiter ziet geen status in het dagelijkse scherm. Maak de workflow daarom klein en zichtbaar. Iedere kandidaat krijgt een datastatus: actief voor opdracht, talentpool met herbeoordeling, verwijderen, verwijderd of bezwaar. De status is gekoppeld aan een datum en eigenaar.
| Moment | Actie van recruiter | Actie van systeem of beheerder |
|---|---|---|
| Nieuwe kandidaat | Bron, doel en relevante gegevens registreren. | Start passende status en herbeoordelingsdatum. |
| Na klantbesluit | Fase, reden en vervolgactie bijwerken. | Stuur record naar bewaren, herbeoordelen of verwijderen. |
| Periodieke review | Bevestig dat de relatie nog relevant is. | Maak uitzonderingen zichtbaar, geen stille verlenging. |
| Verwijderverzoek | Stop geplande contactmomenten en informeer eigenaar. | Verwijder of anonimiseer volgens beleid en log het resultaat. |
Een ATS of CRM kan hierbij helpen met statussen, taken en auditinformatie. Het systeem beslist niet zelfstandig of iemand relevant blijft. De recruiter of privacyverantwoordelijke bepaalt het doel; de software maakt het makkelijker om het beleid uit te voeren.
Praktisch vervolgstap
Gebruik Yena als werkplek voor kandidaatcontext en opvolging, maar leg je eigen AVG-beleid vast. De software ondersteunt status, zoeken en contactvoorbereiding; je organisatie blijft verantwoordelijk voor grondslag, informatie en bewaartermijn.
Bekijk Yena SourcerEen beleid dat kandidaten kunnen begrijpen
Schrijf je privacy-informatie niet alleen voor de audit. Een kandidaat wil weten waarom een bureau contact opneemt, welke rol je voor ogen hebt en wat er met zijn gegevens gebeurt als hij geen interesse heeft. Gebruik gewone taal, een duidelijk contactpunt en een opt-out die niet voelt als een hindernisbaan. Een nette afwijzing of afsluiting is onderdeel van gegevensbeheer.
Controleer je beleid met drie praktijksituaties: een kandidaat die zelf solliciteert, een professional die via sourcing wordt gevonden en een oud contact dat na lange tijd opnieuw relevant lijkt. Voor iedere situatie moeten recruiter en beheerder hetzelfde antwoord geven op bron, doel, status, termijn en verwijdering. Als dat niet lukt, is je proces nog te afhankelijk van individuele kennis.
Maak ook onderscheid tussen verwijderen en anonimiseren. Beide kunnen technisch anders uitpakken en hebben verschillende gevolgen voor rapportages, back-ups en klantdossiers. Bespreek de keuze met je privacyadviseur. Een CRM kan acties uitvoeren en vastleggen, maar het bepaalt niet zelfstandig welke uitzondering juridisch geldig is.
Plan de review op een moment waarop je de database echt gebruikt. Een kwartaalcontrole kan bijvoorbeeld starten met records zonder recente actie, ontbrekende broninformatie en kandidaten met een verlopen status. Laat de verantwoordelijke recruiter per groep beslissen: actualiseren, opnieuw informeren, verplaatsen naar een beperkte talentpool of verwijderen. Zo wordt een termijn een werkmoment in plaats van een datum die ongemerkt voorbijgaat.
Betrek ook de mensen die verzoeken behandelen. Zij moeten kunnen zien welke campagnes, exports en gekoppelde tools geraakt worden wanneer een record verandert. Een kandidaat verwijderen uit het hoofdscherm terwijl een geplande campagne nog een kopie bevat, is geen afgeronde oplossing. Maak de hele route zichtbaar en test haar met een fictief verzoek voordat je beleid live gaat.
Maak de review uitvoerbaar voor een team met verschillende specialismen. Een kandidaat voor finance, techniek of zorg vraagt soms andere relevante gegevens en andere klantafspraken, maar de basis blijft gelijk: doel, bron, noodzakelijkheid, toegang en termijn. Geef teams ruimte voor vakinhoudelijke velden, terwijl de governancevelden centraal blijven. Zo wordt AVG-beheer geen losse juridische laag bovenop recruitment, maar een vast onderdeel van goed vakwerk.
Leg bij een audit of klantvraag ook uit wie de controle uitvoert en wanneer die opnieuw gebeurt. Een helder proces maakt zichtbaar dat bewaartermijnen niet alleen een systeeminstelling zijn, maar een gezamenlijke afspraak tussen recruitment, operations en privacyverantwoordelijkheid.
Zo blijft de database bruikbaar voor recruiters én uitlegbaar voor kandidaten, klanten en interne reviewers.
Wat je niet moet doen
- Alle profielen “actief” noemen omdat je ze ooit interessant vond.
- Toestemming afleiden uit het feit dat iemand online vindbaar is.
- Een verwijderverzoek oplossen door alleen de kandidaat uit een shortlist te halen.
- Een oud CV bewaren terwijl de relevante kandidaatcontext ontbreekt.
- Een lijst met verwijderde personen naast het systeem aanhouden zonder duidelijk doel en toegang.
De verleiding is groot om een database als verzekering te behandelen. Voor een bureau werkt het beter om de database als dienst te zien: betrouwbare context voor een actuele opdracht. Dat betekent soms dat je gegevens verwijdert. De kwaliteit van je volgende search wordt daar niet slechter van; je weet juist beter welke informatie je nog kunt vertrouwen.
Verbind deze discipline aan je sourcingproces en aan je klantafspraken. Wanneer een recruiter een kandidaat vindt, moet meteen duidelijk zijn welke gegevens worden opgeslagen, wie ze mag zien en wanneer het team opnieuw kijkt. Zo voorkom je dat privacy een laatste controle wordt nadat de campagne al is gestart.
Veelgestelde vragen
Hoe lang mag een recruitmentbureau kandidaatdata bewaren?
Er is geen universele termijn voor iedere situatie. De termijn moet passen bij het doel, de gebruikte grondslag en je informatie aan kandidaten. Voor sollicitatiegegevens noemt de AP als uitgangspunt vier weken na afloop, met een langere termijn wanneer de kandidaat daarvoor toestemming geeft.
Is openbare informatie van LinkedIn vrij te bewaren?
Openbaar betekent niet onbeperkt herbruikbaar. Je moet een doel, passende grondslag, minimale gegevens en transparante informatie hebben. Leg bron en reden vast en bewaar geen irrelevante privé-informatie.
Moet een bureau alle oude kandidaten verwijderen?
Niet automatisch op dezelfde dag, maar ieder profiel moet wel een doel en herbeoordeling hebben. Zonder actueel doel of passende grondslag hoort het profiel niet in een actieve talentpool thuis.
Kan een CRM automatisch AVG-compliant zijn?
Nee. Een CRM kan statussen, datums, rollen en verzoeken ondersteunen, maar compliance hangt ook af van inrichting, beleid, gedrag, contracten en controle.
Wat doe ik bij een verzoek om verwijdering?
Leg het verzoek vast, controleer welke systemen en campagnes geraakt worden, stop geplande outreach en volg je procedure voor beoordeling, verwijdering of wettelijke uitzondering. Vraag privacyadvies bij twijfel.
