Assessments, werk en AVG

Volgens is de keuze heel makkelijk. A. je gaat akkoord met het feit dat het bedrijf jouw gegevens conform AVG wetgeving gaat verwerken of B. je gaat niet akkoord en geeft aan bij je werkgever met een goede motivatie.

Toestemming als grondslag voor verwerking is in zo'n geval juridisch uiterst twijfelachtig omdat het om een werkrelatie gaat. Je zou dit kunnen aankaarten bij het assessmentbureau en je werkgever, misschien kunnen jullie een andere manier bedenken toch die test te kunnen uitvoeren.

Koppensneller schreef op maandag 27 januari 2020 @ 11:32:

.... misschien kunnen jullie een andere manier bedenken toch die test te kunnen uitvoeren.

Hoe zou dat moeten gaan, als het externe bureau geen toestemming heeft om gegevens betreffende die persoon te verwerken?

volgens mij is de keuze gewoon redelijk duidelijk, als je absoluut weigert dat dit bedrijf je persoonlijke gegevens mag verwerken, kunnen ze deze Assesment niet uitvoeren.

Weigeren zal dus ook overeenkomen met het weigeren van de vraag van je werkgever hieraan mee te werken.
Als je dit wil doen, zal je ook erg goed moeten uitleggen waar je bezwaren op berusten (is dat de betreffende http ipv https verbinding of heb je specifieke zorgen over de duur van opslag, vraag je bv garanties dat de betreffende gegevens weer verwijderd worden na afsluiten van die assesment?).

sinds de GDPR veel stenger geworden is moet zulke toestemming ook veel duidelijker gevraagd worden, maar an sich is er verder niks veranderd, behalve dat het 'bewustzijn' groter geworden is over zulke privacy en persoonlijke gegevensverwerkings-vraagstukken.

[ Voor 12% gewijzigd door RM-rf op 27-01-2020 11:48 ]

Koppensneller schreef op maandag 27 januari 2020 @ 11:32:
Toestemming als grondslag voor verwerking is in zo'n geval juridisch uiterst twijfelachtig omdat het om een werkrelatie gaat.

Het houd totaal geen stand. Dit wordt niet gezien als vrijwillig door de eventuele "druk" van de werkgever die niet uitgesloten kan worden.

RM-rf schreef op maandag 27 januari 2020 @ 11:46:
[...]


Hoe zou dat moeten gaan, als het externe bureau geen toestemming heeft om gegevens betreffende die persoon te verwerken?

volgens mij is de keuze gewoon redelijk duidelijk, als je absoluut weigert dat dit bedrijf je persoonlijke gegevens mag verwerken, kunnen ze deze Assesment niet uitvoeren.

Ik zou de vraag omdraaien. Waarom hebben ze dergelijke gegevens nodig? Ik zie bijvoorbeeld totaal geen noodzaak voor een geboortedatum (evt leeftijd zou voldoende moeten zijn), privé adres of foto.....

Voor die gegevens zou een grondslag moeten bestaan. Voordat je beslissingen neemt, probeer die grondslag vast te stellen. Mogelijk kom je hierdoor tot nieuwe inzichten. Bijvoorbeeld zou je e-mailadres gebruikt kunnen worden voor terugkoppeling van resultaten, en je geboortedatum voor verificatie op de assessment-locatie.

That said, de hoeveelheid gegevens is redelijk groot, en zeker onderdelen als geboortedatum en telefoonnummer komen behoorlijk twijfelachtig op me over. Als hier geen geldige grondslag voor is, dan mogen ze die gegevens simpelweg niet vereisen. Als dat het geval is, dan kan je bij je werkgever aangeven dat je het document niet in wilt leveren omdat het assessmentbureau de wet overtreedt, wat een stuk beter stand houdt dan "ik wil het niet".

Zoals @Koppensneller en @_Chris_ al aangeven is het toestemmingsprincipe in deze twijfelachtig.

Daarnaast, Wat wordt er met jou gedeeld, wat wordt er met je werkgever gedeeld? Krijg je het verslag van deze club vooraf te lezen en mag je weigeren dat (delen van) dit verslag met je werkgever gedeeld worden?

Mijn ervaring met dergelijke assessments is dat deze eerst aan werknemer voorgelegd worden en dat werknemer mag bepalen wat er wel / niet gedeeld gaat worden met de werkgever

euchromatic schreef op maandag 27 januari 2020 @ 12:03:
[...]
Waarschijnlijk kan ik na afloop van de assessment ook wel om verwijdering van deze gegevens vragen, maar ze zouden veel van de gegevens helemaal niet nodig moeten hebben.

Je kan altijd vragen waaróm ze bepaalde gegevens nodig hebben? Wat de meerwaarde van bijvoorbeeld een foto is, ontgaat mij een beetje...

euchromatic schreef op maandag 27 januari 2020 @ 11:57:
[...]


Maar ik ben van mening dat ze om té veel gegevens vragen. De testresultaten zijn prima te verwerken zonder mijn geboorteplaats, prive telefoonnummer en foto er bij te hebben. Maar de optie om daar onderscheid in te maken wordt me niet geboden: het is alles of niets, waarbij niets vanuit mijn werkgever geen acceptabele keuze is.

Mogelijk is het van belang bij de eindpresentatie gewoon een persoonlijke weergave te geven van die assesment aan de werkgever die dan ook een beeld vand e persoon erbij heeft...
Dan kan het een stuk 'vriendelijker' werken als er de complete naam en bv een foto afgebeeld wordt en niet 'werknemer 345789'.

Bv bij veel sollicitatieprocedure's werkt het evenzeer prettig als een sollicitant zich voorstelt met zn complete naam, een foto en alle adresgegevens (alhoewel het idd ook opkomt dat men soms bewust streeft naar volledig ge-anonimeseerde procedure's)

Ik betwijfel of het erg zinnig is om als werknemer te gaan 'eisen' dat die assement volledig ge-anonimiseert afgenomen wordt.
Natuurlijk kun je wel stellen dat jij als werknemer dat 'prettig' zou vinden, maar het is je werkgever die een bepaalde procedure kiest.


Ik zou niet aanraden om de mogelijkheid erg makkelijk uit te nutten, alle medewerking daaraan op basis van de AVG te gaan weigeren.
Het komt ook een beetje als gezocht querellanten-gedrag, als de motivatie tegen een niet-anonieme verwerking te zijn enkel gevoelsmatig is.

Ik kan me enige zorgen vorostellen als bv onduidelijk is wat er uiteindelijk met die gegevens gebeurt, dat je zekerheid wil dat zulke 'rapporten' bij de aanbieder niet blijven rondslingeren en binnen een redelijke tijd weer vernietigd worden.
Maar dat het bv bij je wekgever in een personeelsdossier beland (en dus gekoppeld is aan verder persoonsgegevens) behoort gewoon bij de essentie van zulke assesments

[ Voor 13% gewijzigd door RM-rf op 27-01-2020 12:12 ]

euchromatic schreef op maandag 27 januari 2020 @ 12:08:
[...]

Vreemd genoeg staat dat wel uitgelegd in de AVG tekst:

[...]

Maar ja, om dat dan verplicht te stellen. Het is inderdaad prettig, maar dat is wel erg extreem.

Hebben ze ergens staan hoe lang ze deze data bewaren, en aan welke partijen ze dit door geven? Als het er inderdaad om gaat dat ze tijdens het proces een foto willen koppelen en het daarna wegscrubben, is dat iets anders dan dat ze die foto ergens in een database opslaan en het na x jaar verwijderen.

RM-rf schreef op maandag 27 januari 2020 @ 12:09:
[...]

Ik betwijfel of het erg zinnig is om als werknemer te gaan 'eisen' dat die assement volledig ge-anonimiseert afgenomen wordt...
natuurlijk kun je wel stellen dat jij als werknemer dat 'prettig' zou vinden, maar het is je werkgever die een bepaalde procedure kiest.


Ik zou niet aanraden de mogelijkheid alle medewerking daaraan op basis van de AVG te gaan weigeren nu zo nuttig is, het komt ook een beetje als gezocht querellanten-gedrag, als de motivatie tegen een niet-anonieme verwerking te zijn enkel gevoelsmatig is

Aan de andere kant is het ook niet nodig om, ter behoeve van een goede werkrelatie, als een schaapje mee te lopen. De werkgever moet zich immers ook gewoon aan de AVG houden. Ik zou zeggen dat er samen (werknemer, werkgever en extern bureau) naar een middenweg gezocht moet worden.

[ Voor 43% gewijzigd door Stoelpoot op 27-01-2020 12:14 ]

Gewoon weigeren en het probleem door de vragende partij op laten lossen. Een personeelsnummer zou voldoende moeten zijn om de match tussen jouw en de gegevens te maken.

Off topic: van meer dan 85% van alle werknemers zijn de uitslagen van zo'n persoonlijkheidstest al bekend en beschikbaar. Kijk maar eens op de "crystal knows" chrome extensie in combinatie met een linkedin profiel.

Scary....

euchromatic schreef op maandag 27 januari 2020 @ 12:08:
[...]

Vreemd genoeg staat dat wel uitgelegd in de AVG tekst:

[...]

Specificeren ze dat ook voor de andere persoonsgegevens?

RM-rf schreef op maandag 27 januari 2020 @ 11:46:
[...]
Hoe zou dat moeten gaan, als het externe bureau geen toestemming heeft om gegevens betreffende die persoon te verwerken?

volgens mij is de keuze gewoon redelijk duidelijk, als je absoluut weigert dat dit bedrijf je persoonlijke gegevens mag verwerken, kunnen ze deze Assesment niet uitvoeren.

Weigeren zal dus ook overeenkomen met het weigeren van de vraag van je werkgever hieraan mee te werken.
Als je dit wil doen, zal je ook erg goed moeten uitleggen

Nee. Het is linksom of rechtsom: of je kunt als werknemer zonder enige consequentie of uitleg weigeren en dan kan je al dan niet toestemming geven, of het is nodig voor het werk / er is op een of andere manier druk of de verwachting van de werkgever. Dan mag er niet om toestemming van de werknemer worden gevraagd. Dan dient de werkgever zelf dat akkoord te geven (en verantwoordelijk zijn, afspraken hebben gemaakt over nette verwerking, etc).

@euchromatic vraag inderdaad aan dat bedrijf uit te leggen waarom tel.nr, foto etc nodig zijn en dus waarom ze assessment zonder niet kunnen doen.
Niet voor identificatie (want ze kennen je niet dus je kunt de foto van de ander sturen). “het is prettig om” is geen reden het te verplichten. En als wel, prima maar dan dus door akkoord van de werkgever en niet van de werknemer.

RM-rf schreef op maandag 27 januari 2020 @ 12:09:
[...]


Mogelijk is het van belang bij de eindpresentatie gewoon een persoonlijke weergave te geven van die assesment aan de werkgever die dan ook een beeld vand e persoon erbij heeft...
Dan kan het een stuk 'vriendelijker' werken als er de complete naam en bv een foto afgebeeld wordt en niet 'werknemer 345789'.

Bv bij veel sollicitatieprocedure's werkt het evenzeer prettig als een sollicitant zich voorstelt met zn complete naam, een foto en alle adresgegevens (alhoewel het idd ook opkomt dat men soms bewust streeft naar volledig ge-anonimeseerde procedure's)

Ik betwijfel of het erg zinnig is om als werknemer te gaan 'eisen' dat die assement volledig ge-anonimiseert afgenomen wordt.
Natuurlijk kun je wel stellen dat jij als werknemer dat 'prettig' zou vinden, maar het is je werkgever die een bepaalde procedure kiest.


Ik zou niet aanraden om de mogelijkheid erg makkelijk uit te nutten, alle medewerking daaraan op basis van de AVG te gaan weigeren.
Het komt ook een beetje als gezocht querellanten-gedrag, als de motivatie tegen een niet-anonieme verwerking te zijn enkel gevoelsmatig is.

Ik kan me enige zorgen vorostellen als bv onduidelijk is wat er uiteindelijk met die gegevens gebeurt, dat je zekerheid wil dat zulke 'rapporten' bij de aanbieder niet blijven rondslingeren en binnen een redelijke tijd weer vernietigd worden.
Maar dat het bv bij je wekgever in een personeelsdossier beland (en dus gekoppeld is aan verder persoonsgegevens) behoort gewoon bij de essentie van zulke assesments

toon volledige bericht

Wat er mogelijk is maakt eigenlijk helemaal niks uit. Doelbinding vereist dat je per persoonsgegeven kunt aantonen waar je dat voor nodig hebt. En je mag dan al helemaal niet toestemming op 1 grote hoop gooien en zeggen dat je enkel bij toestemming voor het geheel verder kunt. Zeker als dat geheel veel meer omhelst dan hetgeen noodzakelijk is voor verwerking, die doelbinding dus.

Verder een aantal terechte opmerkingen over de gebruikte grondslag, al ligt dat eerder in een foutieve en te brede toestemmingsverklaring in deze.

Om dan nog het onder 'gezocht querrelanten gedrag' te schuiven is een beetje jammer. TS is zich gewoon goed bewust dat je niet jan en alleman alles hoeft aan te leveren zonder dat je weet wat ze ermee doen en zonder dat het noodzakelijk is voor de uitvoering van een bepaalde dienst. En het is des te vervelender dat je werkgever dat niet van te voren goed uitgezocht heeft en vastgelegd in een fatsoenlijke verwerkersovereenkomst. Die overeenkomsten zijn juridische gedrochten en vaak administratief een onnodige, maar verplichte, last. Hier zou het echter soelaas bieden en zeer nuttig zijn.

Stoelpoot schreef op maandag 27 januari 2020 @ 12:12:
[...]

Aan de andere kant is het ook niet nodig om, ter behoeve van een goede werkrelatie, als een schaapje mee te lopen. De werkgever moet zich immers ook gewoon aan de AVG houden. Ik zou zeggen dat er samen (werknemer, werkgever en extern bureau) naar een middenweg gezocht moet worden.

ik waarschuw een beetje voor het idee om enkel dat het vragen om toestemming nu veel explicieter moet, opeens moeilijk te gaan doen over dingen die vroeger misschien helemaal niet zo erg waren omdat er niet om gevraagd werd.

Zoals gezegd, dat je toestemming kunt weigeren om hieraan mee te werken is niet nieuw, maar was altijd al het geval.

Ik zou aanraden jezelf ook af te vragen of je werkelijk een zorg hebt over je privacy om dit te weigeren, of dat het weigeren volgt uit het feit dat die 'toestemmings-knop' sinds kort ook explicieter aangegeven moet worden.

Tevens is het vermoedelijk constructiever gewoon bepaalde zaken om te verbeteren aan te geven... bv de vraag of het niet prettiger is als de assesments anoniem afgenomen worden en pas later en voor een erg beperkt aantal mensen (bv enkel de betreffende eindverantworodelijke/chefs) te koppelen is aan een persoon.
Dat is een stuk constructievere opstelling dan doodleuk medewerking te weigeren.

Zoals gezegd, het is al heel lang gebruikelijk persoonsgegevens te verwerken bij een hoop organisaties, zowel bedrijven, maar ook bv verenigingen, sport en vrijetijds- etc...
Dat hoeft zeker niet gelijk tot grote misstanden te leiden, maar juist bv de strengere normen kunnen ook een voordeel hebben doordat ze mensen bewuster ermee laten omgaan, echter hoeft niet te betekenen dat het verwerken an sich al gelijk 'slecht' of 'verkeerd zou zijn en je 'bang' moet zijn als je je foto aan iemand geeft...

of dat je je bang moet laten maken enkel omdat het nu verplicht is expliciet om toestemming te vragen hierbij.

"Hoi HR,

Ik moet bij die assessment allerlei info geven waarvan ik niet begrijp wat de waarde er van is voor deze assessment en bovendien gebruiken ze een onbeveiligde website waardoor ik bang ben dat mijn gegevens niet helemaal lekker bewaard worden.

Kunnen jullie eens navragen of dat nu wel helemaal de bedoeling is?"

euchromatic schreef op maandag 27 januari 2020 @ 12:47:
[...]


Alleen dat die "nodig zijn voor het uitvoeren van het assessment en om een rapport op te stellen"


[...]


Ze geven aan de gegevens te bewaren, te delen met derden 'indien nodig' en na 2 jaar te verwijderen.

En dus liegen ze keihard. Je zorgen zijn terecht, zeker bij een brakke website. Inschatting van het daadwerkelijke risico is veel lastiger, maar dat zou niet jouw zorg moeten zijn.

Omgang met data en privacy is voor velen nog iets waar lacherig over gedaan wordt, maar dan begrijp je de business modellen niet van de grote jongens.

https://www.amnesty.org/en/documents/pol30/1404/2019/en/

euchromatic schreef op maandag 27 januari 2020 @ 12:47:
[...]


Alleen dat die "nodig zijn voor het uitvoeren van het assessment en om een rapport op te stellen"


[...]


Ze geven aan de gegevens te bewaren, te delen met derden 'indien nodig' en na 2 jaar te verwijderen.

Dat verwijderen lukt dus niet meer als de gegevens gedeeld zijn met derded.