Je hebt net besloten wie de baan krijgt, de andere kandidaten krijgen een afwijzingsmail en dan ligt er ineens een stapel cv’s in je inbox waar je niks meer mee doet. Wat nu? Voor de meeste ondernemers is dat het moment waarop de gegevens gewoon blijven staan, ergens in een map of een inbox, tot iemand er ooit aan denkt. Maar precies op dat moment begint de AVG te tellen. De bewaartermijn voor sollicitatiegegevens geldt niet alleen voor grote bedrijven met een HR-afdeling: ook als jij als ZZP’er of kleine ondernemer via je website een vacature plaatst en cv’s ontvangt, ben jij de verwerkingsverantwoordelijke en gelden dezelfde regels.

De klok loopt zodra iemand op ‘Verstuur’ klikt

Het moment dat een sollicitant het formulier op jouw website indient, begin je persoonsgegevens te verwerken. Dat is het startpunt van jouw verantwoordelijkheid. Niet het moment dat jij het cv opent, niet het moment van het gesprek. Vanaf ‘Verstuur’ ben jij verwerkingsverantwoordelijke en gelden de AVG-verplichtingen volledig.

Dat klinkt formeel, maar het heeft directe gevolgen: je hebt per dat moment een geldige grondslag nodig, je moet de sollicitant informeren over wat je met zijn gegevens doet, en je bewaartermijn begint te lopen.

Welke gegevens vallen onder de AVG?

Alles wat een sollicitant je stuurt is in principe een persoonsgegeven: naam, adres, e-mailadres, telefoonnummer, werkervaring, opleidingsachtergrond. Maar een cv bevat vaak ook gevoeliger materiaal. Denk aan een pasfoto (waarmee gezondheid of etniciteit af te leiden kan zijn), een vermelding van zwangerschapsverlof in de werkhistorie, of een hobbylijst die religie of politieke opvattingen verraadt. Die laatste categorie zijn bijzondere persoonsgegevens. Je mag ze in principe helemaal niet verwerken tenzij ze strikt noodzakelijk zijn voor de functie. Slimste advies: vraag in je sollicitatieformulier alleen wat je echt nodig hebt.

De grondslag: toestemming of gerechtvaardigd belang?

Voor het verwerken van sollicitantendata heb je een grondslag nodig. In de praktijk zijn er twee opties die je ziet terugkomen, en ze werken anders.

Uitvoering van een (pre-)overeenkomst is eigenlijk de meest voor de hand liggende grondslag: iemand solliciteert, jij beoordeelt. Dit rechtvaardigt de verwerking tijdens de procedure zelf.

Toestemming is nodig als je iets extra’s wilt doen met de gegevens, zoals de sollicitant bewaren voor toekomstige vacatures. Toestemming moet vrijwillig, specifiek en actief gegeven worden. Een vooraf aangevinkt vakje is niet geldig.

Gerechtvaardigd belang kan in theorie ook, maar voor sollicitantendata is dit lastig te onderbouwen tegenover de privacybelangen van de kandidaat. Gebruik het alleen als je dat grondig kunt documenteren.

Praktisch advies: voor de normale sollicitatieprocedure steun je op de uitvoering van een overeenkomst. Voor talentpools en langere bewaring vraag je expliciete toestemming.

Bewaartermijn na afwijzing: 4 weken is de standaard

Wijs je iemand af, dan mag je de gegevens nog maximaal 4 weken bewaren na het einde van de procedure. Dit valt onder de algemene regels voor bewaartermijnen bepalen. Die termijn geeft jou de ruimte om een eventuele klacht over discriminatie te behandelen of een tweede kandidaat alsnog te benaderen als de eerste toch afhaakt.

Wil je de gegevens langer bewaren, voor het geval er snel een vergelijkbare vacature vrijkomt? Dat kan, maar dan heb je expliciete toestemming nodig van de sollicitant. Met die toestemming mag je de gegevens maximaal 1 jaar bewaren. Langer is vrijwel nooit te rechtvaardigen. Zorg dat je de toestemming kunt aantonen: een checkbox op je formulier met een duidelijke tekst, los van de algemene voorwaarden.

Bewaartermijn als iemand wordt aangenomen

Neem je de kandidaat aan? Dan is de sollicitatie het startpunt van het personeelsdossier. De gegevens die relevant zijn voor het dienstverband mogen bewaard blijven, maar dan geldt een andere bewaarcyclus. De meeste personeelsgegevens bewaar je gedurende het dienstverband plus 2 jaar daarna. Voor salarisgegevens geldt een fiscale bewaarplicht van 7 jaar. De AVG-verplichting verandert niet, maar de grondslag verschuift naar de uitvoering van de arbeidsovereenkomst.

Open sollicitaties en talentpools: aparte aanpak vereist

Staat er op je website een knop ‘Stuur een open sollicitatie’? Dan heb je geen actieve vacature, en dus ook geen direct doel voor de gegevens. Je kunt ze niet bewaren op basis van een lopende procedure. Hier heb je altijd expliciete toestemming nodig, met een duidelijke beschrijving van hoe lang je de gegevens bewaart en voor welk type functies. Bouw in je formulier een duidelijke vraag in: ‘Ik geef toestemming mijn gegevens 6 maanden te bewaren voor toekomstige vacatures.’ Langer dan 1 jaar is ook hier niet proportioneel.

Stap voor stap: een bewaartermijnenbeleid opzetten

Een beleid klinkt groots, maar voor een kleine ondernemer of ZZP’er is het simpelweg een intern document plus een paar technische maatregelen.

  • Schrijf op welke gegevens je verzamelt, op welke grondslag, en hoe lang je ze bewaart.
  • Stel een herinnering in (kalender of taakbeheer) die 4 weken na het afronden van een procedure afloopt. Verwijder dan de gegevens van afgewezen kandidaten actief.
  • Gebruik je een ATS (applicant tracking system)? Stel automatische delete-triggers in.
  • Leg toestemmingen vast en bewaar die bewijzen apart, zodat je ze kunt laten zien als de Autoriteit Persoonsgegevens (AP) ernaar vraagt.

Wat je privacyverklaring verplicht moet vermelden

De AP controleert actief of privacyverklaringen volledig zijn. Voor sollicitatiegegevens moet je privacyverklaring in elk geval bevatten:

  • Welke gegevens je verwerkt bij sollicitaties.
  • De grondslag voor die verwerking.
  • Hoe lang je de gegevens bewaart (per situatie: afgewezen, aangenomen, talentpool).
  • Of je gegevens deelt met derden (bijvoorbeeld een recruitmentbureau of een cloud-dienst buiten de EU).
  • Welke rechten de sollicitant heeft en hoe ze die kunnen uitoefenen.

Ontbreekt een van deze punten, dan is je privacyverklaring onvolledig. Dat is een risico bij elke sollicitantenklacht.

Technische maatregelen voor je sollicitatieformulier

Je formulier is de voordeur voor gevoelige gegevens. Zorg minimaal voor:

  • HTTPS op de hele pagina waar het formulier staat.
  • Toegangsbeperking: alleen de mensen die de beoordeling doen mogen de binnengekomen gegevens inzien.
  • Geen automatisch doorsturen naar een gedeeld e-mailadres dat iedereen in het bedrijf leest.
  • Als je bestanden laat uploaden (cv, motivatiebrief): beperk de bestandsformaten en sla ze op op een beveiligde locatie.

Veelgemaakte fout: cv’s in e-mailboxen en gedeelde mappen

De meest voorkomende overtreding bij kleine bedrijven is tegelijk de makkelijkst te vermijden: cv’s die jarenlang in een e-mailinbox blijven staan, of een map op Dropbox die niemand meer opruimt. Stel één centrale, beveiligde plek in voor sollicitaties. Werk je met e-mail? Maak een aparte map, archiveer na de procedure en stel een reminder in om de map na 4 weken te legen. Geen gedeelde mappen zonder toegangsbeperking.

Rechten van de sollicitant afhandelen

Een afgewezen kandidaat mag je vragen zijn gegevens in te zien, te corrigeren of te verwijderen, wat onderdeel is van het recht op vergetelheid. Dat is geen aanval op jouw procedure, het is een wettelijk recht. Zorg dat je weet waar alle gegevens van die persoon staan (inbox, map, back-up) en dat je ze volledig kunt verwijderen. Reageer binnen 1 maand op zulke verzoeken. Dat is de wettelijke termijn.

Checklist: ben jij klaar voor de volgende sollicitantenronde?

  • Staat de bewaartermijn voor sollicitatiegegevens in je privacyverklaring?
  • Vraag je expliciete toestemming voor bewaring langer dan 4 weken of voor open sollicitaties?
  • Heb je een intern document of herinnering die de delete-datum bijhoudt?
  • Is je sollicitatieformulier beveiligd met HTTPS en toegangsbeperkt?
  • Zijn cv’s niet bereikbaar voor mensen die er niets mee te maken hebben?
  • Weet je hoe je een inzage- of verwijderingsverzoek afhandelt?

Vier weken na de afwijzing verwijderen is de basisregel. Langer bewaren mag alleen met expliciete toestemming van de kandidaat, en je privacyverklaring moet daar eerlijk over zijn. Gebruik de gratis privacyverklaring generator op deze site om te controleren of jouw verklaring de juiste informatie over sollicitatiegegevens bevat, en pas hem aan voordat je de volgende vacature online zet.