AVG-compliance bij recruitment: wie is er eigenlijk verantwoordelijk?
Recruitment gaat over persoonsgegevens. CV’s, motivaties, beoordelingen, contactgegevens, allemaal data die je onder de AVG correct moet beheren, bewaren en op verzoek verwijderen. De vraag is niet óf jouw organisatie dat moet regelen. De vraag is wie het regelt en hoe je dat intern kunt aantonen.
Bij veel ATS-tools ligt die verantwoordelijkheid versnipperd. Toegangsrechten worden handmatig bijgehouden. Bewaartermijnen staan op een post-it op iemands monitor. En als een hiring manager buiten zijn afdeling gegevens kan inzien, merkt niemand dat, totdat het misgaat.
Compliance ingebouwd. Niet ingesteld.
Novi fungeert als een presentatielaag bovenop AFAS. Dat betekent: alle kandidaatgegevens worden opgeslagen, beheerd en beveiligd binnen het AFAS-systeem dat jouw organisatie al in gebruik heeft. Novi verwerkt zelf geen gegevens en heeft geen eigen database. Wat er in AFAS staat, bepaalt wat er in Novi zichtbaar is, en voor wie.
- Geen dubbele dataopslag
Kandidaatgegevens leven uitsluitend in AFAS, niet in een schaduwdatabase bij een externe partij.
- Rolgebaseerde toegang via AFAS-autorisaties
Elke gebruiker ziet alleen de kandidaten en informatie die relevant zijn voor zijn of haar rol, exact zoals in AFAS is ingesteld.
- Automatische bewaartermijnen
Kandidaatgegevens worden conform jouw AVG-instellingen verwijderd of geanonimiseerd zonder handmatige actie van een collega.
- Verwerkersovereenkomst standaard inbegrepen
Geen aparte juridische overhead, geen losse afspraken die je zelf moet bewaken.
Voordelen:
Wat het platform structureel regelt
Dataminimalisatie
Alleen de gegevens die nodig zijn voor selectie worden zichtbaar gemaakt. Hiring managers buiten de betrokken vacature zien geen kandidaatprofielen.
Opslagbeperking
Kandidaatgegevens worden na de ingestelde bewaartermijn automatisch verwijderd of geanonimiseerd in AFAS. Geen handmatige actie nodig, geen afhankelijkheid van één persoon die dat bijhoudt.
Toegangsbeheer
Autorisaties lopen volledig via AFAS. Wie mag wat zien, is ingesteld op rolvniveau, niet op individuele uitnodigingen of e-maillinks. Nieuwe collega’s krijgen automatisch de juiste rechten; vertrokken medewerkers verliezen ze direct.
Recht om vergeten te worden
Kandidaten kunnen op verzoek worden geblokkeerd of geanonimiseerd, rechtstreeks vanuit het platform. Gegevens zijn daarna niet meer zichtbaar of selecteerbaar, zonder dat IT hiervoor een ticket hoeft aan te maken.
Hoe AVG-compliance werkt bij een extern gehost ATS, en bij Novi
| Traditioneel ATS | Novi |
| Kandidaatdata opgeslagen op externe servers | Kandidaatdata uitsluitend in AFAS |
| Bewaartermijnen handmatig bewaken | Automatisch verwijderen of anonimiseren via AFAS |
| Toegangsrechten beheren via het ATS zelf | Autorisaties lopen via bestaande AFAS-rolverdeling |
| Verwerkersovereenkomst apart afsluiten | Verwerkersovereenkomst standaard inbegrepen |
| Compliance-instellingen door de klant activeren | Compliance ingebouwd in de architectuur |
| Aparte beveiligingsaudit bij de ATS-leverancier | Beveiliging via AFAS-ecosysteem (gecertificeerd partner) |
Organisaties die compliance willen kunnen bewijzen, kiezen voor Gladior
Veelgestelde vragen over beveiliging en AVG in Novi
-
Novi functioneert als een presentatielaag bovenop AFAS en verwerkt zelf geen gegevens. Alle kandidaatinformatie wordt opgeslagen en beheerd binnen AFAS, niet in een externe database bij Gladior. Dit minimaliseert het risico op datalekken en houdt alle gegevensbeheer binnen het systeem dat jouw organisatie al beheert en beveiligt.
-
Novi koppelt automatisch aan de AVG-instellingen binnen AFAS. Kandidaatgegevens worden na de ingestelde bewaartermijn automatisch verwijderd of geanonimiseerd, zonder handmatige actie. Organisaties hoeven geen aparte procedure in te richten, de bewaartermijnen die in AFAS zijn geconfigureerd, gelden direct voor alle kandidaatdata in het platform.
-
De toegangsrechten in Novi worden volledig bepaald door de bestaande AFAS-autorisatiestructuur. Hiring managers zien alleen de kandidaten en vacatures die voor hen relevant zijn, op basis van hun rol in AFAS. Er is geen apart rechtenbeheer in het ATS, wijzigingen in AFAS gelden direct in Gladior ATS.
-
Ja. Een verwerkersovereenkomst is standaard inbegrepen bij Novi. Organisaties hoeven geen aparte juridische overeenkomst af te sluiten of dit los te bewaken. De overeenkomst legt vast hoe persoonsgegevens worden verwerkt en welke beveiligingsmaatregelen van toepassing zijn.
-
Kandidaatgegevens kunnen vanuit Novi direct worden geblokkeerd of geanonimiseerd in AFAS. Na verwerking zijn de gegevens niet meer zichtbaar of selecteerbaar binnen het platform. Dit recht om vergeten te worden is uitvoerbaar zonder tussenkomst van IT.
-
Gladior is gecertificeerd AFAS-koppelpartner. Dat betekent dat de integratie-architectuur is gecontroleerd en goedgekeurd door AFAS Software. Gladior staat ook vermeld op de officiële AFAS-partnerpagina.
-
Omdat toegangsrechten in Novi volledig via AFAS-autorisaties lopen, verliest een vertrekkende medewerker automatisch toegang op het moment dat hun AFAS-profiel wordt gedeactiveerd. Er is geen aparte uitschrijfstap nodig in het ATS zelf.