23 mei 2025

Privacy

Bedrijfsvoering

Als werkgever wil je voor sommige functies een screening uitvoeren. Het kan bijvoorbeeld van belang zijn om inzicht te hebben in het strafrechtelijke verleden van een sollicitant, werknemer of vrijwilliger. Je kunt dan vragen om een Verklaring Omtrent het Gedrag (VOG), die duidelijk maakt dat gedrag uit het verleden geen bezwaar vormt om een specifieke (toekomstige) functie te vervullen.

Wanneer mag je een VOG bewaren?

Er is in Nederland geen wet die organisaties expliciet verbiedt, toestaat of verplicht om een VOG, of een kopie daarvan, te bewaren. In de meeste gevallen is bewaren niet nodig. Bijvoorbeeld omdat een persoon de screening heeft doorlopen. In dergelijke situaties is de opslag van de VOG niet toegestaan. Op grond van artikel 5 van de AVG mogen organisaties persoonsgegevens immers niet langer bewaren dan strikt noodzakelijk voor het doel waarmee ze zijn verzameld.

Een organisatie mag een VOG alleen bewaren als:

  • het aantoonbaar noodzakelijk is voor een legitiem doel; of

  • de sollicitant, werknemer of vrijwilliger hiervoor expliciet toestemming geeft.

Als er een grondslag is om een VOG te bewaren, dan is de organisatie verplicht om de persoonsgegevens zorgvuldig en veilig op te slaan. Hier hoort ook bij dat je schriftelijk vastlegt waarom het noodzakelijk is om de VOG te bewaren, en welke maatregelen worden genomen om de beveiliging van de persoonsgegevens te waarborgen.

Is er geen wettelijke basis om een VOG te bewaren? Dan is het wel mogelijk om een overzicht te maken van personen die een VOG hebben verstrekt. Deze namenlijst moet - net als de VOGs - veilig worden bewaard. Bovendien zijn de bestanden alleen toegankelijk voor de daartoe bevoegde personen. Denk aan het HR-team.

Aandachtspunten voor de praktijk

De verantwoorde omgang met VOGs is een onderdeel van het privacybeleid van je organisatie. Een VOG bevat immers persoonsgegevens waarop de AVG van toepassing is. De verwerking van VOGs staat niet expliciet vermeld in de AVG. Maar in de privacywet zijn algemene principes opgenomen die bepalen hoe persoonlijke gegevens mogen worden verwerkt. Deze regels zijn ook van toepassing op VOGs.

Bij de verwerking van VOGs houd je dus rekening met de privacy van de betrokkenen en de naleving van de AVG. Een aantal praktische aandachtspunten daarbij zijn:

  • Let op dat je een originele VOG ontvangt. Een kopie is wettelijk gezien niet geldig.

  • Het principe van gegevensminimalisatie uit artikel 5 van de AVG betekent dat de opslag van een VOG niet langer gerechtvaardigd is als er geen specifiek en legitiem doel meer voor is. Dit is bijvoorbeeld het geval als een VOG is aangevraagd in het kader van de screening voor een sollicitatie of voor een specifieke functie, en de screening is afgerond. De VOG moet dan worden vernietigd. Net als bij andere vertrouwelijke gegevens, zoals een id-bewijs, is het belangrijk om de data veilig te wissen.

  • Maak expliciete richtlijnen en werkwijzen voor de omgang met VOGs. Geef daarin antwoorden op vragen zoals: waarom is het nodig dat (potentiële) medewerkers een VOG laten zien? Hoe worden VOGs bewaard? Wie hebben toegang tot bestanden met informatie over VOGs? Welke procedures hanteren we voor de opslag en verwijdering van VOGs?

Alles goed geregeld rond de VOG

Het mag duidelijk zijn: het is niet vanzelfsprekend om als organisatie een VOG, of een kopie ervan, te bewaren. Een continu aandachtspunt is om de persoonsgegevens rond een sollicitatie en screening, waaronder de informatie over VOGs, goed te beveiligen. Duidelijke beleidsregels over de omgang met VOGs zijn hierbij essentieel. Zo voldoe je aan de wet- en regelgeving én bescherm je de privacy van sollicitanten, werknemers en vrijwilligers.

Over de auteurs

  • Mike Tiernagan

    Mike Tiernagan is adviseur bij L2P en schrijft regelmatig blogs over privacy vraagstukken.

    L2P

Gerelateerd nieuws

AI hard op weg om grootste energieverbruiker te worden

Het wereldwijde gebruik van kunstmatige intelligentie groeit razendsnel. Toch blijft het energieverbruik dat daarmee gepaard gaat grotendeels onzichtbaar. Onderzoek van datawetenschapper Alex de Vries-Gao wijst uit dat AI op weg is een van de grootste energieverbruikers in de digitale wereld te worden. Aan toezicht en transparantie ontbreekt het.

‘Vrijheid van meningsuiting’ voor chatbots: een gevaarlijke ontwikkeling

Recent spande de moeder van een kwetsbare jongere in de Verenigde Staten een rechtszaak aan tegen Character.AI vanwege de rol die een van hun chatbots speelde in de suïcidale gedachten van hun zoon. Character.AI beroept zich op haar beurt op ‘vrijheid van meningsuiting’. Een zorgwekkend keerpunt in het debat over de verantwoordelijkheid van tech-bedrijven in het beschermen van het welzijn van zijn gebruikers. In deze blog vertelt Nastasia Griffioen, onderzoeker en coördinator van het Expertisecentrum Digitalisering en Welzijn, waarom.

Zorg & Sociaal

AI-geletterdheid in de organisatie: van strategie naar praktijk

Vanaf 2 februari 2025 moeten organisaties zorgen dat hun werknemers AI-geletterd zijn. Dit is een verplichting vanuit de AI Act. In de wet staat niet beschreven welke maatregelen er precies genomen moeten worden. De mate van kennis hangt af van de wijze waarop AI binnen de organisatie wordt toegepast. In dit artikel geeft compliance-specialist DMCC, gespecialiseerd in privacy en klantcontact, handvatten om hiermee een start te maken.

AIVD waarschuwt voor geavanceerde cyberaanvallen via 'zwakke' plekken

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwt in haar jaarverslag over 2024 voor een toename van geavanceerde cyberdreigingen tegen Nederland. Zowel statelijke actoren als criminele netwerken vormen een groeiend risico voor de nationale veiligheid, economie en democratie.
Meer nieuws