Features
StartupsEnterpriseRemote TeamsTech HiringRecruiters
React DevelopersPython DevelopersFull-Stack DevelopersFrontend DevelopersBackend DevelopersData EngineersDevOps EngineersBrowse all roles →
Pricing
HackerRankCodilityTestGorillaLeverGreenhouseCoderPadKarat
Use CasesAssessment TemplatesBlogFAQ
Sign InStart Free Trial
Naleving

GDPR voor Werving: Welke Kandidaatgegevens Je Kunt Houden, Hoe Lang, en Wat je Moet Verwijderen

ClarityHire Team(Editorial)3 min read

Het principe dat telt

Het rechtmatige-grondslagkader van GDPR stelt twee vragen aan elk stuk kandidaatgegevens dat je hebt: waarom heb je het en hoe lang heb je het nodig. Als je beide niet scherp kunt beantwoorden, zou je het niet moeten hebben.

De meeste nalevingsproblemen met wervingsgegevens gaan niet over exotische randgevallen. Ze gaan over standaardinstellingen. Een team met zinnige standaardinstellingen heeft zelden een probleem. Een team zonder verzamelt voor altijd gegevens, voor onuitgesproken doeleinden, zonder verwijderingspath.

Verdedigbare standaardinstellingen

Rechtmatige grondslag

Voor een actieve kandidaat (iemand die solliciteert op een specifieke rol): gerechtvaardigd belang of contractvoorbereiding. Je hebt geen toestemming nodig om hen te evalueren — zij solliciteerden.

Voor een passieve kandidaat in een talentpipeline pool, of voor het houden van hun gegevens nadat de rol sluit: toestemming, met een duidelijke opt-in en duidelijke retentieperiode.

Niet mengen. Als je onder één grondslag verzamelt en onder een ander gebruikt, heb je een probleem.

Retentie

  • Actieve kandidaten: voor de duur van het wervingsproces plus een redelijk verdedigingsvenster voor discriminatieprocedures (jurisdictie-afhankelijk — doorgaans 6–12 maanden na afwijzing in EU, langer in sommige US staten).
  • Aangenomen kandidaten: overgang naar werknemergegevens met HR-retentiebeleid.
  • Talentpipeline](/nl/blog/aanstellings-trechter-conversie-metrieken): alleen met expliciete toestemming, en met een gedefinieerde hernieuwingscyclus (bijv. toestemming jaarlijks opnieuw bevestigen).

Alles ouder dan dit moet auto-verwijderd, niet "beschikbaar op aanvraag."

Gegevensminimalisatie

Verzamel wat de rolevaluatie vereist, niet alles wat je zou willen. Foto op cv? Niet vereist. Geboortedatum? Niet vereist. Nationaal ID? Zeker niet. Het principe: als je het niet voor de beslissing nodig hebt, verzamel het niet.

Special-category gegevens

Ras, etniciteit, gezondheid, seksuele oriëntatie, religie, politieke opvattingen, biometrische gegevens — special categorie onder GDPR. Strikter rechtmatige-grondslageisen. Vermijd tenzij je een specifieke nalevingsgebruik hebt (bijv. vrijwillig diversiteitsmonitoring met expliciete toestemming en verwerkingsscheiding).

Praktische nalevingschecklist

  • Privacymelding op de sollicitatiepagina beschrijvend welke gegevens worden verzameld en waarom
  • Rechtmatige grondslag gedocumenteerd voor elke gegevenscategorie
  • Retentieperiode gedocumenteerd en automatisch afgedwongen
  • Data subject access request (DSAR) proces gedocumenteerd en getest
  • Right-to-erasure proces gedocumenteerd en getest
  • Subverwerkters (je ATS, je beoordelingsplatform, je achtergrondcontroleverlener) vermeld in verwerkingsregister met DPA's op plaats
  • Cross-border overdrachtmechanisme gedocumenteerd als gegevens de EU/EEA verlaten
  • Inbreuknotificatieproces met benoemde eigenaar en 72-uur SLA

Veelvoorkomende foutmodi

  • Voor altijd retentie. Kandidaatgegevens van 2019 zitten nog steeds in de ATS zonder doel. Verwijder of rechtvaardigen.
  • Onbeperkte toegang. Elke recruiter en wervingsmanager heeft toegang tot gegevens van elke kandidaat. Pas least-privilege principe toe.
  • Opnamen zonder retentie. Interviewopnamen voor onbepaalde tijd opgeslagen. Kies een retentieperiode (90 dagen is gewoon) en dwing het af.
  • Leveranciersspread. Elke nieuwe leverancier voegt een subverwerkter toe met hun eigen gegevensafhandeling. Jaarlijks auditeren.

Wat ClarityHire doet

Configureerbare retentie per gegevenscategorie, automatische verwijdering bij retentieeinde, DSAR export, scoped op rol gebaseerde toegang tot kandidaatgegevens, en verwerkingsdocumentatie voor de sub-verwerkters van het platform. Naleving is een proces, niet een product — maar het product zou het proces beheersbaar moeten maken.

Dit artikel is algemeen advies, geen juridisch advies. Voor je specifieke jurisdictie en risicoprofiel, werk met juridische adviseurs.

gdprnalevingkandidaatgegevensprivacy

Gerelateerde artikelen

Naleving

Hoe Kandidaat Identiteit in een Remote Interview Verifiëren Zonder Biometrie Op te Slaan

Je kunt de persoon op het gesprek bevestigen de persoon je aanstelt zonder gezichtsherkenning, voiceprints of opgeslagen biometrische sjablonen. Het patroon dat GDPR, BIPA en een goede interviewer bevrédigt.

ClarityHire Team2026-05-124 min read
Naleving

Toeleveringsketen Test Validiteit & Eerlijkheid: Vooroordeel in Beoordelingen Vermijden

Zorg ervoor dat toeleveringsketen beoordelingen werkelijke baanprestatie meten en gekwalificeerde kandidaten niet oneerlijk belast vanwege test ontwerp of vooroordeel.

ClarityHire Team2026-05-099 min read
Industrie aannemen

HIPAA versus medische factureringtests: welke beoordeling heb je eigenlijk nodig?

Begrijp het verschil tussen HIPAA-compliance testen en medische facturerings vaardigheids beoordelingen om sterkere factureringsteams in te stellen.

ClarityHire Team2026-05-096 min read