Wat gebeurt er met kandidaatdata nadat AI werving tools een selectie hebben gemaakt?

Kandidaatdata die via AI wervingstools wordt verzameld, moet na afronding van een wervingsprocedure worden verwijderd of geanonimiseerd, tenzij de kandidaat toestemming heeft gegeven voor langere bewaring. Onder de AVG geldt een strikte bewaartermijn: gegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Voor de meeste organisaties betekent dit in de praktijk een termijn van vier weken tot maximaal een jaar na afsluiting van de procedure. De vragen hieronder geven per thema een helder antwoord op wat er precies met die data gebeurt.

Belangrijkste inzichten uit dit artikel:

• De AVG beperkt hoe lang AI recruitmentplatforms kandidaatdata mogen bewaren, en organisaties zijn zelf verantwoordelijk voor naleving, niet de tooling-leverancier.
• Geautomatiseerde selectie door AI wervingstools brengt extra AVG-verplichtingen met zich mee, waaronder transparantie en het recht op menselijke tussenkomst.
• Bij een wissel van wervingstool is dataportabiliteit en veilige verwijdering van kandidaatgegevens een juridische verplichting, geen optionele stap.

Hoe lang mogen AI wervingstools kandidaatdata bewaren?

AI wervingstools mogen kandidaatdata bewaren zolang er een aantoonbaar legitiem doel bestaat en de bewaartermijn in verhouding staat tot dat doel. Voor afgewezen kandidaten geldt in Nederland doorgaans een termijn van vier weken na afronding van de selectieprocedure. Met expliciete toestemming van de kandidaat mag deze termijn worden verlengd naar maximaal één jaar, zodat de organisatie de kandidaat kan benaderen voor toekomstige vacatures.

De verantwoordelijkheid voor het naleven van deze termijnen ligt bij de verwerkingsverantwoordelijke, dus bij de werkgever die het platform inzet. De tooling-leverancier is in de meeste gevallen een verwerker in de zin van de AVG. Dat onderscheid is belangrijk: als de bewaartermijn wordt overschreden, is de werkgever aansprakelijk, niet het platform.

In de praktijk raden juridische experts aan om bewaartermijnen schriftelijk vast te leggen in het privacybeleid en kandidaten hierover actief te informeren bij het eerste contact. Veel organisaties kiezen voor automatische verwijdering via hun recruitmenttool na een vooraf ingestelde periode, zodat het proces niet afhankelijk is van handmatige controle.

Welke kandidaatgegevens slaan AI recruitmentplatforms op?

AI recruitmentplatforms slaan doorgaans een combinatie van profielgegevens, communicatiehistorie en gedragsdata op. Denk aan naam, contactgegevens, werkervaring en opleidingsachtergrond, maar ook aan berichtreacties, tijdstippen van interactie en de uitkomst van geautomatiseerde selectiestappen. Hoe uitgebreider het platform, hoe meer datapunten er worden vastgelegd.

Specifiek voor platforms die outreach verzorgen via meerdere kanalen, zoals LinkedIn, e-mail en WhatsApp, worden ook communicatiedata opgeslagen: welke berichten zijn verzonden, wanneer is er gereageerd en wat was de inhoud van die reactie. Deze gegevens zijn noodzakelijk voor de werking van het systeem, maar vallen wel volledig onder de AVG-definitie van persoonsgegevens.

Platforms die werken met geautomatiseerde matching voegen hier vaak nog een extra laag aan toe: scores, rankings of selectiecriteria die door het systeem zijn gegenereerd. Deze afgeleide gegevens zijn juridisch even relevant als de brongegevens zelf, en kandidaten hebben het recht om inzage te vragen in de criteria die zijn gebruikt.

Wie heeft toegang tot kandidaatdata binnen een AI wervingssysteem?

Binnen een AI wervingssysteem hebben doorgaans drie partijen toegang tot kandidaatdata: de interne recruiters en hiring managers van de opdrachtgevende organisatie, de technische beheerders van het platform zelf, en in sommige gevallen externe verwerkers zoals hostingpartijen. De verwerkingsverantwoordelijke, de werkgever, bepaalt wie intern toegang krijgt en op welk niveau.

Goede platforms werken met rolgebaseerde toegangsrechten. Een recruiter ziet het volledige kandidaatprofiel en de communicatiehistorie. Een hiring manager ziet mogelijk alleen de shortlist en de relevante profielinformatie. Technische beheerders aan de kant van de leverancier hebben in principe alleen toegang voor onderhoud en beveiliging, niet voor commercieel gebruik van de data.

Transparantie over toegangsrechten is een AVG-vereiste. Organisaties zijn verplicht om in hun verwerkersovereenkomst met de platformleverancier vast te leggen wie toegang heeft, voor welk doel en onder welke voorwaarden. Ontbreekt die overeenkomst, dan voldoet de organisatie niet aan de basisvereisten van de AVG, ongeacht hoe zorgvuldig het platform zelf is ingericht.

talentix verwerkt alle data binnen de EU en werkt met een transparante structuur waarbij de opdrachtgever op elk moment inzicht heeft in welke stappen zijn gezet en welke gegevens zijn vastgelegd. Dat is geen feature, maar een basisvereiste voor verantwoord gebruik van een Hiring OS.

Wat zijn de AVG-verplichtingen bij geautomatiseerde kandidaatselectie?

Bij geautomatiseerde kandidaatselectie door AI wervingstools gelden aanvullende AVG-verplichtingen bovenop de standaard verwerkingsregels. De kern: kandidaten hebben het recht om niet uitsluitend onderworpen te worden aan een geautomatiseerde beslissing die rechtsgevolgen heeft of hen in aanzienlijke mate treft. Dit is vastgelegd in artikel 22 van de AVG.

In de praktijk betekent dit dat volledig geautomatiseerde afwijzing zonder menselijke tussenkomst in strijd is met de AVG, tenzij de kandidaat hier expliciet mee heeft ingestemd of het noodzakelijk is voor de uitvoering van een overeenkomst. Voor de meeste wervingsprocedures geldt dat een mens altijd de definitieve beslissing neemt over selectie of afwijzing.

Informatieplicht richting kandidaten

Organisaties zijn verplicht om kandidaten actief te informeren over het feit dat geautomatiseerde verwerking plaatsvindt. Dit geldt al bij het eerste contact. De informatie moet begrijpelijk zijn en minimaal bevatten: welke logica wordt gebruikt, wat de gevolgen kunnen zijn en hoe de kandidaat bezwaar kan maken.

Recht op menselijke tussenkomst

Kandidaten hebben het recht om te verzoeken dat een mens de geautomatiseerde beslissing herziet. Dit recht moet actief worden geboden, niet alleen in de kleine lettertjes van een privacyverklaring. Organisaties doen er verstandig aan om een intern proces in te richten voor dergelijke verzoeken, inclusief een aanspreekpunt en een redelijke reactietermijn.

Hoe verwijder je kandidaatdata veilig uit een AI recruitmenttool?

Veilige verwijdering van kandidaatdata uit een AI recruitmenttool bestaat uit drie stappen: het identificeren van alle locaties waar de data is opgeslagen, het uitvoeren van een volledige verwijdering inclusief back-ups en logs, en het documenteren van de verwijdering als bewijs van AVG-compliance. Alleen de zichtbare profieldata verwijderen is niet voldoende.

In de praktijk betekent dit dat organisaties bij hun platformleverancier moeten navragen waar data exact wordt opgeslagen. Moderne platforms slaan gegevens op in meerdere lagen: de actieve database, archieven, back-ups en soms ook in geaggregeerde analysedata. Een verwijderverzoek moet al deze lagen raken.

Voor kandidaten die een beroep doen op het recht op vergetelheid onder artikel 17 AVG, geldt dat de organisatie binnen één maand moet bevestigen dat de data is verwijderd. Documenteer elk verwijderverzoek en de bijbehorende actie. Dat is niet alleen goed beleid, maar ook noodzakelijk bij een eventuele controle door de Autoriteit Persoonsgegevens.

Wat gebeurt er met kandidaatdata als je van wervingstool wisselt?

Bij een wissel van wervingstool zijn organisaties verplicht om kandidaatdata ofwel over te dragen naar het nieuwe systeem, ofwel veilig te verwijderen uit het oude systeem. Data achterlaten in een platform dat niet langer actief wordt beheerd is een AVG-overtreding. De verwerkingsverantwoordelijke blijft aansprakelijk, ook als het contract met de leverancier is beëindigd.

Dataportabiliteit is een recht dat kandidaten kunnen inroepen, maar het is ook een organisatorische verplichting bij een platformwissel. Zorg voor een gestructureerde overdracht waarbij duidelijk is welke gegevens worden meegenomen, in welk formaat en met welke beveiligingsmaatregelen tijdens de overdracht.

Praktisch gezien zijn er drie scenario’s bij een toolwissel:

• Actieve kandidaten in lopende procedures worden overgedragen naar het nieuwe systeem, met behoud van alle relevante communicatiehistorie.
• Afgeronde kandidaten waarvoor de bewaartermijn nog niet is verstreken, worden geanonimiseerd of verwijderd, afhankelijk van het beleid.
• Kandidaten die toestemming hebben gegeven voor langere bewaring, worden overgedragen met een nieuwe verwerkersovereenkomst voor het nieuwe platform.

Vraag bij de beëindiging van een contract altijd schriftelijk om een bevestiging van verwijdering door de oude leverancier. Stel dit als contractuele voorwaarde op, bij voorkeur al bij de initiële overeenkomst.

Kandidaatdata is geen bijproduct van werving. Het is een verantwoordelijkheid. Hoe beter het systeem dat je gebruikt die verantwoordelijkheid zichtbaar maakt, hoe minder risico je loopt. talentix is gebouwd op het principe dat de opdrachtgever altijd inzicht heeft in wat er gebeurt, met wie en waarom. Dat is wat “met jou” in de praktijk betekent. Wil je weten hoe talentix omgaat met dataverwerking en AVG-compliance binnen het volledige recruitmentproces? Bekijk dan de Blueprint module en zie hoe het systeem transparantie inbouwt vanaf de eerste stap.

Auteur: Talentix Redactie, gebaseerd op de recruitmentexpertise van Search X en de AVG-richtlijnen van de Autoriteit Persoonsgegevens. Laatst bijgewerkt: juni 2026.