Terug naar blog

GDPR-compliant CV verwerking: zo doe je dat

Julian Wagter
2025-06-01
5 min read

De olifant in de kamer

Elke keer als ik met een bureau-eigenaar praat over AI-automatisering, komt dezelfde vraag: "Maar hoe zit het met de AVG?"

Terechte vraag. Je werkt met CV's, persoonsgegevens, contactinformatie. Als je dat fout doet, riskeer je boetes tot 4% van je jaaromzet. Maar belangrijker nog: je riskeer het vertrouwen van je kandidaten. En zonder kandidaten heb je geen bureau.

Het goede nieuws: GDPR-compliant werken met AI is absoluut mogelijk. Sterker nog, goed opgezette automatisering is vaak complianter dan de handmatige processen die bureaus nu gebruiken.

De meest gemaakte fouten

Laten we beginnen met wat er nu al fout gaat bij veel bureaus. Want voordat je je zorgen maakt over AI, is het goed om te kijken naar je huidige situatie.

Fout 1: CV's rondslingeren op gedeelde schijven. Mappen vol CV's op een netwerkschijf of in een gedeelde OneDrive. Geen versleuteling, geen toegangscontrole, geen overzicht wie er toegang toe heeft. Een datalek wachtend om te gebeuren.

Fout 2: Geen verwerkingsregister bijhouden. De AVG vereist dat je vastlegt welke persoonsgegevens je verwerkt, waarom, en hoe lang je ze bewaart. De meeste bureaus hebben dit niet, of het is hopeloos verouderd.

Fout 3: CV's bewaren zonder einddatum. Kandidaten solliciteren, worden afgewezen, en hun CV blijft voor altijd in je systeem staan. Na een bepaalde periode (meestal 4 weken na afwijzing, of langer met toestemming) moet je ze verwijderen. Hoeveel bureaus doen dat consequent?

Fout 4: CV's mailen naar klanten zonder versleuteling. Een CV als bijlage in een onversleutelde e-mail. Technisch gezien een dataverwerking zonder adequate beveiliging.

Fout 5: Geen verwerkersovereenkomst met je software-leveranciers. Je ATS-provider, je e-mailtool, je cloud-opslag. Overal staan persoonsgegevens. Met elke partij heb je een verwerkersovereenkomst nodig.

Eerlijk: als je bureau drie of meer van deze fouten maakt, is AI-automatisering niet je grootste AVG-risico. Je huidige werkwijze is dat.

De principes voor compliant AI-gebruik

Bij het inzetten van AI voor CV-verwerking hanteren we een aantal harde principes.

1. Zero-data-retention bij AI-verwerking

Het AI-model dat je CV's verwerkt, mag geen data opslaan. Punt. Het CV gaat erin, de gestructureerde data komt eruit, en het model bewaart niks.

Concreet: we gebruiken API-aanroepen met data-retentiebeleid dat expliciet stelt dat input niet wordt opgeslagen of gebruikt voor training. Dit is contractueel vastgelegd met de AI-provider.

2. Verwerking op EU-servers

Alle data blijft binnen de EU. De servers waarop je CV's worden verwerkt staan in Europa. Er gaat geen persoonsgegeven naar de VS, China of elders buiten de EU.

Dit is niet alleen een AVG-vereiste. Het is ook gewoon logisch. Je kandidaten verwachten dat hun gegevens niet de halve wereld over gaan.

3. Dataminimalisatie

Je verwerkt alleen wat je nodig hebt. Een CV bevat vaak meer informatie dan je voor een specifiek doel nodig hebt. Het AI-systeem extraheert alleen de relevante velden en negeert de rest.

Geen pasfoto opslaan als dat niet nodig is. Geen geboortedatum bewaren als je er niks mee doet. Alleen de gegevens die je daadwerkelijk gebruikt voor het matchingsproces.

4. Transparantie richting kandidaten

Kandidaten hebben recht om te weten hoe hun gegevens worden verwerkt. Dat betekent:

  • In je privacyverklaring staat dat je AI-tools gebruikt voor CV-verwerking
  • Bij aanmelding informeer je kandidaten hierover
  • Kandidaten kunnen bezwaar maken tegen geautomatiseerde verwerking

Dit is niet eng of ingewikkeld. Het is gewoon eerlijk communiceren.

5. Automatische retentie en verwijdering

Dit is waar automatisering je helpt in plaats van hindert. Het systeem houdt bij wanneer toestemming verloopt en verwijdert data automatisch. Geen handmatige opschoonacties meer die vergeten worden. Geen CV's die jarenlang blijven rondslingeren.

Praktische compliance checklist

Voor bureaus die AI willen inzetten voor CV-verwerking. Loop deze lijst door:

Juridisch:

  • Verwerkersovereenkomst met je AI-provider
  • Privacyverklaring bijgewerkt met AI-verwerking
  • Verwerkingsregister bijgewerkt
  • Rechtsgrond vastgesteld (gerechtvaardigd belang of toestemming)
  • DPIA uitgevoerd als je op grote schaal verwerkt

Technisch:

  • Data verwerkt op EU-servers
  • Zero-data-retention bij AI-provider bevestigd
  • Versleuteling van data in transit en at rest
  • Toegangscontrole: wie kan bij welke data?
  • Automatische verwijdering na retentietermijn
  • Logging van alle verwerkingsactiviteiten

Organisatorisch:

  • Medewerkers getraind in privacybewust werken
  • Procedure voor datalekken gedocumenteerd
  • Contactpersoon voor privacyvragen aangewezen
  • Regelmatige audit van naleving gepland

Het grotere plaatje

AVG-compliance is geen obstakel voor automatisering. Het is een reden om te automatiseren. Want een goed opgezet systeem is consistenter, transparanter en beter controleerbaar dan een handmatig proces waar CV's via e-mail worden rondgestuurd en op gedeelde schijven blijven staan.

De bureaus die het goed doen, gebruiken de AVG niet als excuus om niks te veranderen. Ze gebruiken het als aanleiding om hun processen op orde te brengen. En automatisering helpt daarbij.

Wil je dit automatiseren in jouw bureau?

Plan een vrijblijvend gesprek en ontdek wat AI-automatisering voor jouw recruitmentbureau kan betekenen. In 30 minuten laten we zien waar de winst zit.

Plan je gratis procesanalyse

AVGGDPRprivacycv-verwerkingcompliance

Wil je dit soort automatiseringen in jouw bureau?

Plan een vrijblijvend gesprek en ontdek wat AI-automatisering voor jouw recruitmentbureau kan betekenen.

Plan een gesprek