Conform AVG Artikel 30 — Recrew-Matching Platform
Laatst bijgewerkt: Februari 2026 | Versie 1.0
| Naam organisatie | Recrew-Matching (onderdeel van Recrewprint) |
| Contact DPO | [email protected] |
| Rol | Verwerker (namens werkgevers als gezamenlijke verwerkingsverantwoordelijken) |
| Doeleinde | Beoordelen van kandidaten voor vacatures via AI-gestuurde matching |
| Rechtsgrondslag | Toestemming (Art. 6 lid 1 sub a) + Uitvoering overeenkomst (Art. 6 lid 1 sub b) |
| Categorieën betrokkenen | Sollicitanten / kandidaten |
| Categorieën persoonsgegevens |
|
| Bewaartermijn | Maximaal 12 maanden na sollicitatie, daarna automatisch verwijderd |
| Doeleinde | Beheren van bedrijfsaccounts en gebruikerstoegang |
| Rechtsgrondslag | Uitvoering overeenkomst (Art. 6 lid 1 sub b) |
| Categorieën betrokkenen | Bedrijfsmedewerkers / recruiters |
| Categorieën persoonsgegevens |
|
| Bewaartermijn | Zolang het bedrijfsaccount actief is |
| Doeleinde | Versturen van sollicitatie bevestigingen, status updates en GDPR-gerelateerde meldingen |
| Rechtsgrondslag | Gerechtvaardigd belang (Art. 6 lid 1 sub f) + Toestemming |
| Categorieën betrokkenen | Sollicitanten, bedrijfsmedewerkers |
| Categorieën persoonsgegevens | E-mailadres, naam |
| Bewaartermijn | E-mails worden niet opgeslagen in het platform; verwerking is transactioneel |
| Sub-verwerker | Dienst | Locatie | Waarborgen |
|---|---|---|---|
| Manus Platform | Hosting & Infrastructure | EU/US | Standard Contractual Clauses (SCC) |
| AWS (Amazon) | Bestandsopslag (S3) | EU | SCC + AWS GDPR DPA |
| AI Language Model Provider | Kandidaat matching analyse | US | SCC + Data Processing Agreement |
| Werkgever (klant) | Gezamenlijke verwerkingsverantwoordelijke | EU | Verwerkersovereenkomst |
Alle sub-verwerkers buiten de EU/EER zijn gebonden aan Standard Contractual Clauses (SCC) conform het EU-besluit 2021/914 en aanvullende technische maatregelen.
| Categorie | Maatregel |
|---|---|
| Versleuteling | TLS 1.3 voor alle data in transit; versleutelde database verbindingen (SSL) |
| Toegangscontrole | Role-based access control (RBAC) met OAuth 2.0 authenticatie; multi-tenant isolatie |
| Data minimalisatie | Alleen noodzakelijke gegevens worden verzameld; AI ontvangt geen identificerende informatie |
| Automatische verwijdering | Geautomatiseerde data retention job verwijdert gegevens na 12 maanden |
| Consent management | Expliciete opt-in met tijdstip, versie en IP-adres registratie |
| Self-service rechten | Kandidaten kunnen zelf gegevens inzien, downloaden en verwijderen via het platform |
| Logging | Audit trail voor data access en deletion requests |
| Gegevenstype | Bewaartermijn | Verwijderingsmethode |
|---|---|---|
| Kandidaat persoonsgegevens | 12 maanden na sollicitatie | Automatisch (dagelijkse job) of op verzoek |
| Screeningsantwoorden | 12 maanden na sollicitatie | Automatisch met kandidaat data |
| AI match analyse | 12 maanden na sollicitatie | Automatisch met kandidaat data |
| CV documenten | 12 maanden na sollicitatie | Verwijderd uit S3 storage |
| Toestemmingsregistratie | 12 maanden na sollicitatie | Verwijderd met kandidaat data |
| Bedrijfsaccountgegevens | Duur van het contract | Op verzoek bij beëindiging |
| Verwijderingsverzoeken | 24 uur (tokens) | Automatisch na verwerking |
Gezien het gebruik van AI-gestuurde geautomatiseerde besluitvorming bij de beoordeling van sollicitanten, is een DPIA uitgevoerd conform AVG Artikel 35. De belangrijkste bevindingen:
| Risico | Ernst | Mitigatie |
|---|---|---|
| AI bias in matching | Gemiddeld | Menselijke tussenkomst vereist; AI is hulpmiddel, niet beslisser |
| Ongeautoriseerde toegang | Laag | RBAC, multi-tenant isolatie, OAuth authenticatie |
| Data breach | Laag | TLS versleuteling, beveiligde cloud hosting |
| Overmatige dataretentie | Laag | Geautomatiseerde verwijdering na 12 maanden |
| Gebrek aan transparantie | Laag | Uitgebreide privacy policy met AI-sectie; directe feedback aan kandidaten |