Geplaatst op door Geef een reactie

AVG en recruitment: wat iedere recruiter moet weten

Hamer van rechter die gaat over Wet toezicht gelijke kansen bij werving en selectie

Als recruiter verwerk je dagelijks persoonsgegevens. Een cv lezen, een aantekening maken tijdens een gesprek, een kandidaat opslaan in je ATS: het zijn allemaal verwerkingen die onder de AVG vallen. De Algemene Verordening Gegevensbescherming geldt voor elke organisatie die sollicitatiedata bijhoudt.

Dat klinkt juridisch, maar in de praktijk gaat het om een paar concrete regels die je per fase van het recruitmentproces moet toepassen.

Hier lees je wat de AVG voor recruiters betekent: van je vacaturetekst tot je talentpool, en van sourcing via LinkedIn tot het gebruik van AI-tools.

AVG in recruitment: alles per fase op een rij

Van vacaturetekst tot talentpool: zo pas je de AVG toe in elke stap van je recruitmentproces.

  1. Wat is de AVG en waarom geldt het voor recruiters?
  2. Fase 1: de vacaturetekst
  3. Fase 2: sourcing via LinkedIn en andere kanalen
  4. Fase 3: de sollicitatieprocedure
  5. Fase 4: afwijzing en bewaartermijnen
  6. Fase 5: de talentpool
  7. AI en de AVG: wat verandert er voor recruiters?
  8. Do’s en don’ts op een rij
  9. Veelgestelde vragen over Algemene Verordening Gegevensbescherming

Overzicht AVG per recruitmentfase: van vacaturetekst en sourcing tot sollicitatieprocedure, afwijzing en talentpool โ€” met grondslag en do's en don'ts per stap

Wat is de AVG en waarom geldt het voor recruiters?

Definitie: De AVG (Algemene Verordening Gegevensbescherming) is een Europese privacywet die sinds 25 mei 2018 van kracht is. Ze regelt hoe organisaties omgaan met persoonsgegevens, waaronder sollicitatiegegevens. Cv’s, motivatiebrieven, interviewaantekeningen en assessmentresultaten vallen hier allemaal onder. Voor elke verwerking heb je een rechtmatige grondslag nodig.

De AVG geldt zodra je een naam, e-mailadres of ander persoonsgegeven verwerkt. Voor recruiters begint dat al bij de eerste reactie op een vacature. Je ontvangt een cv, slaat het op, deelt het met een hiring manager en maakt aantekeningen na een gesprek. Elk van die stappen is een verwerking in de zin van de AVG.

Veel recruiters denken dat de AVG vooral iets is voor de juridische afdeling of de privacy-officer. Dat klopt niet. De Autoriteit Persoonsgegevens houdt toezicht op naleving en ontvangt jaarlijks honderden klachten over sollicitatieprocedures. Boetes lopen op tot 20 miljoen euro of 4% van de jaaromzet. De wet vraagt geen perfectie, maar wel aantoonbaar zorgvuldig handelen: een grondslag voor elke verwerking, kandidaten informeren en gegevens niet langer bewaren dan nodig.

Fase 1: de vacaturetekst

De AVG begint al bij de vacaturetekst. Vermeld daarin dat je sollicitatiegegevens verwerkt, voor welk doel en hoe lang je ze bewaart. Een link naar je privacyverklaring is de meest praktische manier om aan deze informatieplicht te voldoen. Zet die link duidelijk zichtbaar in de vacature, niet verstopt in de kleine lettertjes.

Vraag in je sollicitatieformulier alleen om gegevens die je daadwerkelijk nodig hebt om geschiktheid te beoordelen. Een bankrekeningnummer heeft in dit stadium niets te zoeken. Bijzondere persoonsgegevens, zoals gezondheidsgegevens of religie, zijn in de sollicitatiefase verboden, tenzij er een wettelijke uitzondering geldt. Geboorteland valt strikt genomen niet onder de tien categorieรซn bijzondere persoonsgegevens in artikel 9 AVG, maar het zegt wel iets over etnische afkomst. Behandel het daarom in de praktijk net zo voorzichtig: vraag er niet naar tenzij je een aantoonbare functionele reden hebt. Sommige sectoren, zoals de zorg of het onderwijs, hebben specifieke screeningverplichtingen waarbij andere regels gelden.

Leestip: Lees ook de 8 beste tips voor een goede vacaturetekst om direct te zien welke informatie kandidaten verwachten.

Fase 2: sourcing via LinkedIn en andere kanalen

Sourcing valt onder de AVG. Zodra je een profiel bekijkt en de gegevens gebruikt om contact op te nemen, verwerk je persoonsgegevens. De grondslag is dan “gerechtvaardigd belang” (artikel 6 lid 1 sub f AVG): je hebt een zakelijk belang bij het vinden van de juiste kandidaat voor een vacante functie.

Dat gerechtvaardigd belang kent grenzen. Je gebruikt alleen gegevens die iemand publiek heeft gedeeld voor professionele doeleinden, zoals een LinkedIn-profiel. Een privรฉ-account op een ander platform checken is een andere categorie en vereist een sterkere onderbouwing. Informeer de kandidaat bij eerste contact over hoe je gegevens gebruikt door in je bericht te verwijzen naar je privacyverklaring.

Let ook op wat je aantekent tijdens of na een eerste gesprek. Die aantekeningen zijn ook persoonsgegevens. Bewaar ze niet langer dan nodig en deel ze alleen met collega’s die ze nodig hebben voor de besluitvorming.

Leestip: Bekijk ook inclusief werven en objectief selecteren voor meer over fair gebruik van kandidaatinformatie.

Fase 3: de sollicitatieprocedure

Tijdens de sollicitatieprocedure verwerk je de meeste gegevens. Cv’s, motivatiebrieven, assessmentresultaten, interviewaantekeningen: het zijn allemaal persoonsgegevens die je zorgvuldig moet behandelen. De grondslag is hier “uitvoering van een overeenkomst” (artikel 6 lid 1 sub b AVG): de kandidaat heeft gesolliciteerd en verwacht dat je de gegevens gebruikt om geschiktheid te beoordelen.

Deel gegevens intern alleen met personen die ze nodig hebben voor de besluitvorming. Zorg dat je ATS-systeem AVG-compliant is en gegevens automatisch verwijdert na de bewaartermijn. Vraag geen informatie over gezondheid, zwangerschap of gezinssituatie. Wil je social media checken, meld dat dan vooraf in de vacature en beperk je tot publieke, professionele uitingen die direct relevant zijn voor de functie.

Ook referenties vallen onder de AVG. Je hebt expliciete toestemming van de kandidaat nodig voordat je referenten benadert. Leg die toestemming schriftelijk vast.

Leestip: Lees meer over referenties bij een sollicitatie: wat recruiters vragen en hoe je dit AVG-proof aanpakt.

Fase 4: afwijzing en bewaartermijnen

Na afwijzing moet je gegevens verwijderen. De Autoriteit Persoonsgegevens adviseert een termijn van vier weken na afronding van de procedure. Dit is een richtlijn, geen harde wettelijke termijn. Een gemotiveerde afwijking is mogelijk, maar je moet die keuze kunnen onderbouwen en documenteren.

Wil je een interessante kandidaat langer in beeld houden? Vraag dan expliciet toestemming voor een bewaartermijn van maximaal een jaar. Die toestemming moet actief gegeven zijn en schriftelijk vastgelegd. Na een jaar verloopt ze automatisch. De NVP Sollicitatiecode 2025 benadrukt dat verlenging altijd actief moet gebeuren: stilzwijgend doorgaan is niet toegestaan. Je stuurt de kandidaat dus een concreet verzoek met de vraag of ze akkoord gaan met een nieuwe bewaartermijn. Reageren ze niet, dan verwijder je de gegevens. Vergeet ook de interviewaantekeningen niet: die vallen ook onder de bewaartermijn en moeten op het juiste moment worden verwijderd, ook uit je mailbox en je notities-app.

Een ATS dat automatisch herinnert aan verlopen bewaartermijnen of profielen anonimiseert, helpt je hier enorm bij. Anonimisering is een bruikbaar alternatief voor verwijdering: je behoudt dan je statistieken voor rapportage, maar er zijn geen persoonsgegevens meer te herleiden.

Infographic bewaartermijnen AVG recruitment: 4 weken na afwijzing, 1 jaar met toestemming talentpool, actief verlengen vereist โ€” NVP Sollicitatiecode 2025

Fase 5: de talentpool

Een talentpool is alleen AVG-compliant als kandidaten expliciet toestemming hebben gegeven voor opname. Die toestemming moet specifiek zijn: de kandidaat weet waarvoor ze toestemming geeft, hoe lang gegevens worden bewaard en wat je ermee doet. Een vage opt-in of een al aangevinkt vakje is niet voldoende.

Toestemming als grondslag is bij sollicitanten juridisch lastig. De Autoriteit Persoonsgegevens wijst op de afhankelijkheidsrelatie: een kandidaat die bang is dat weigeren haar kansen schaadt, geeft geen vrije toestemming. Vraag toestemming voor je talentpool dan ook los van de sollicitatieprocedure, bijvoorbeeld via een apart opt-in formulier nadat de procedure is afgerond.

Na een jaar moet je actief opnieuw toestemming vragen of de gegevens verwijderen. Stilzwijgend verlengen is niet toegestaan, zo benadrukt de NVP Sollicitatiecode 2025. Zorg dat je ATS dit automatisch bijhoudt met een herinnering voor verlopen termijnen, anders is het niet te doen bij een grotere talentpool.

Leestip: Lees ook over de candidate journey om te zien hoe je transparantie over gegevensverwerking inbouwt als positief contactmoment.

AI en de AVG: wat verandert er voor recruiters?

AI-tools zijn breed inzetbaar in recruitment: van cv-screening tot matching en videogesprekken. De komst van de AI Act verandert de spelregels. Werving en selectie is door de Europese Commissie aangemerkt als “hoog risico”-toepassing. Dat betekent extra verplichtingen: het systeem moet transparant zijn, aantoonbaar vrij van discriminerende bias, en er moet altijd een menselijke eindverantwoordelijke zijn. Kandidaten mogen niet volledig automatisch worden afgewezen zonder menselijke tussenkomst.

Praktisch vertaald: informeer kandidaten in de vacature als je AI inzet bij de selectie. Zet dat ook in je privacyverklaring. AI-tools die emotieherkenning of stemanalyse toepassen, zijn per de NVP Sollicitatiecode 2025 expliciet verboden. En voer geen persoonsgegevens in publieke AI-omgevingen in zonder een geldige dataverwerkingsovereenkomst. Dat geldt ook voor tools die je als recruiter dagelijks gebruikt voor het samenvatten van cv’s of het opstellen van kandidaatprofielen.

Leestip: Lees ook AI-gebruik door kandidaten herkennen voor de andere kant van het verhaal.

Welke AVG-grondslag gebruik je wanneer in recruitment: uitvoering overeenkomst, gerechtvaardigd belang, toestemming en wettelijke verplichting uitgelegd per situatie

Do’s en don’ts op een rij

Wat je wel doet

  • Link in vacature naar privacyverklaring
  • Gegevens verwijderen binnen vier weken na afwijzing
  • Expliciete toestemming vragen voor talentpool
  • Kandidaten informeren bij sourcing
  • AI-gebruik melden in vacature en privacyverklaring
  • Referenten pas benaderen na schriftelijke toestemming
  • ATS-bewaartermijnen automatisch laten bewaken

Wat je niet doet

  • Bijzondere persoonsgegevens vragen in de sollicitatiefase
  • Gegevens eindeloos bewaren in je ATS of mailbox
  • Social media screenen zonder dit vooraf te melden
  • Persoonsgegevens invoeren in publieke AI-tools
  • AI met emotieherkenning of stemanalyse inzetten
  • Toestemming als grondslag gebruiken bij afhankelijkheidsrelatie
  • Interviewaantekeningen vergeten te verwijderen

Let op: toestemming is niet de makkelijkste grondslag

Veel recruiters denken dat toestemming vragen de veiligste optie is. Maar bij sollicitanten is toestemming juridisch zwak vanwege de afhankelijkheidsrelatie: een kandidaat kan moeilijk vrij weigeren als ze bang zijn dat dit hun kansen schaadt. Gebruik voor de verwerking van sollicitatiegegevens liever “gerechtvaardigd belang” of “uitvoering van een overeenkomst” als grondslag. Bewaar toestemming voor specifieke situaties, zoals opname in een talentpool na afronding van de procedure.

Professioneel recruiten: van wet tot praktijk

Leer hoe je een compleet, professioneel recruitmentproces inricht: van AVG-compliant sourcing en selectie tot objectieve beoordeling en candidate experience.

Bekijk alle trainingen

Veelgestelde vragen over AVG en recruitment

Hoe lang mag je sollicitatiegegevens bewaren?

De Autoriteit Persoonsgegevens adviseert om sollicitatiegegevens uiterlijk vier weken na afronding van de procedure te verwijderen. Als een kandidaat toestemming geeft om langer bewaard te blijven, bijvoorbeeld voor een talentpool, geldt een maximale bewaartermijn van een jaar. Na dat jaar moet je actief opnieuw toestemming vragen: stilzwijgend verlengen is niet toegestaan. Reageert de kandidaat niet op je verzoek, dan verwijder je de gegevens. Dit actieve proces is een expliciete eis in de NVP Sollicitatiecode 2025.

Mag je een LinkedIn-profiel van een sollicitant checken?

Ja, dat mag, maar er zijn voorwaarden. Je checkt alleen publieke, professionele profielen, en alleen als je daarvoor een gerechtvaardigd belang hebt, zoals het beoordelen van professionele geschiktheid. Je moet de kandidaat vooraf informeren dat je online informatie bekijkt, bijvoorbeeld door dit te vermelden in de vacaturetekst. Gevonden informatie bespreek je met de kandidaat, zodat die de kans krijgt die toe te lichten.

Wat zijn de rechten van sollicitanten onder de AVG?

Sollicitanten hebben het recht op inzage in hun gegevens, het recht op correctie van onjuiste gegevens en het recht op verwijdering. Ze mogen op elk moment vragen welke gegevens je over hen hebt opgeslagen, ook aantekeningen. Je hebt een maand om zo’n verzoek te beantwoorden. Wijs sollicitanten actief op deze rechten, bijvoorbeeld via je privacyverklaring.

Mag je AI gebruiken bij de selectie van kandidaten?

Ja, maar met duidelijke grenzen. Werving en selectie geldt als “hoog risico”-toepassing onder de AI Act. Je moet kandidaten informeren over het gebruik van AI, het systeem moet aantoonbaar vrij zijn van discriminerende bias, en een mens moet altijd de eindverantwoordelijkheid dragen over de selectiebeslissing. AI-tools met emotieherkenning of stemanalyse zijn verboden volgens de NVP Sollicitatiecode 2025.

Heb je een privacyverklaring nodig voor sollicitanten?

Ja. Je bent verplicht om sollicitanten te informeren over hoe je hun persoonsgegevens verwerkt. De meest gangbare en praktische manier is een privacyverklaring op je website die specifiek ingaat op sollicitatiegegevens. Vermeld daarin: welke gegevens je verzamelt, op welke grondslag, voor welk doel, hoe lang je ze bewaart en met wie je ze deelt. Verwijs naar die verklaring in je vacaturetekst.

Wat is het verschil tussen de AVG en de NVP Sollicitatiecode?

De AVG is Europese wetgeving met bindende verplichtingen en boetebevoegdheden. De NVP Sollicitatiecode is een branchecode van de Nederlandse Vereniging voor Personeelsmanagement die richtlijnen geeft voor professioneel handelen in recruitment. De code heeft geen wettelijke status, maar geeft uitleg over hoe de AVG in de praktijk van werving en selectie wordt toegepast. De versie van september 2025 bevat ook regels over AI-gebruik en salaristransparantie. Meer over de code lees je in het artikel over de recruitercode.

Over de auteur

Jacco Valkenburg is recruitment architect, auteur en trainer met 25 jaar ervaring in werving en selectie. Hij is auteur van Recruitment 4.0 en Eerlijk over selectie, en combineert wetenschappelijke inzichten met praktijkervaring uit tientallen interim recruitmentprojecten.

Disclaimer: Dit artikel heeft een informatief karakter en vormt geen juridisch advies. Raadpleeg bij specifieke vragen een juridisch adviseur of privacyspecialist.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Laatste nieuws

Handboek: Eerlijk over selectie van personeel

Verbeter werving en selectie met objectieve beoordelingsmethoden. Maak personeelselectie meetbaar en strategisch. Bouw jouw eigen scorecards.

Lees meer

Salaris in vacaturetekst: waarom je het altijd vermeldt

Ontdek waarom salaris vermelden tot 45% meer sollicitaties oplevert. 5 bezwaren weerlegd + prijspsychologische tips voor je vacaturetekst.

Lees meer

Best betaalde banen in Nederland (2026)

Top 15 best betaalde banen met CBS-data en cao-salarissen. Per functie: wat het oplevert, waarom het goed betaalt en wat het je kost.

Lees meer
Lees alle artikelen

Onze boeken