Scovai is ontworpen met gegevensbescherming in het hart. Dit GDPR-beleid schetst hoe we voldoen aan de Algemene Verordening Gegevensbescherming (EU) 2016/679 en beschrijft de waarborgen die we implementeren om de rechten van betrokkenen te beschermen: vooral kandidaten wiens persoonsgegevens via ons AI-gestuurde recruitmentplatform worden verwerkt.
1. Onze rol onder de GDPR
Scovai werkt in twee capaciteiten afhankelijk van de context:
- Gegevensverwerker: Als organisaties (Tenants) Scovai gebruiken om hun recruitmentprocessen te beheren, treden we op als gegevensverwerker namens de Tenant (de verwerkingsverantwoordelijke). Verwerking wordt geregeld door een Verwerkingsovereenkomst (DPA).
- Verwerkingsverantwoordelijke: Voor onze websitebezoekers, directe sollicitanten naar onze talentpool en accounthouders treden we op als verwerkingsverantwoordelijke.
2. Gegevensbescherming door ontwerp en standaard
In overeenstemming met GDPR-artikel 25 implementeert Scovai gegevensbescherming door ontwerp en standaard:
- Multi-tenant isolatie: De gegevens van elke organisatie zijn logisch geïsoleerd. Gebruikers kunnen alleen gegevens in hun eigen tenant openen.
- Minimale gegevensverzameling: We verzamelen alleen gegevens die nodig zijn voor de gebruikte recruitmentfunctionaliteit.
- Pseudonimisering: Vectorinbeddingen gebruikt voor semantische matching zijn niet voor mensen leesbaar en kunnen niet worden omgekeerd om de oorspronkelijke CV-tekst te reconstrueren.
- Toegangscontrole: Op rollen gebaseerde toegangscontrole (RBAC) zorgt ervoor dat gebruikers alleen gegevens zien die relevant zijn voor hun rol (Admin, Recruiter of Candidate).
- Versleuteling: Alle gegevens in transit zijn versleuteld via TLS. Gevoelige credentials zijn versleuteld met AES-256-CBC in rust.
3. Toestemmingsbeheer
Scovai biedt een ingebouwd toestemmingsbeheersysteem dat:
- Gedetailleerde toestemming registreert voor specifieke verwerkingsdoeleinden (CV-parsing, AI-scoring, psychometrische beoordeling, interviewdeelname, opname in talentpool)
- Een volledig audittrail bijhoudt van wanneer toestemming is gegeven, gewijzigd of ingetrokken
- Kandidaten toestaat toestemming op elk moment in te trekken via hun profiel
- Verwerking automatisch beperkt wanneer toestemming is ingetrokken
4. Waarborgen voor geautomatiseerde besluitvorming (artikel 22)
Scovai gebruikt AI voor scoring, profiling en beoordeling. We implementeren de volgende waarborgen onder artikel 22, lid 3:
4.1 Geen uitsluitend geautomatiseerde besluiten
Het Platform is ontworpen als een ondersteuningshulpmiddel voor besluitvorming. AI-outputs (scores, rankings, interviewevaluaties) worden gepresenteerd als aanbevelingen aan menselijke recruiters, die volledige autoriteit behouden over wervingsbeslissingen.
4.2 Verklaarbaarheid
Elke AI-gegenereerde score bevat een verklaarbare AI-rationale die in begrijpelijke taal beschrijft welke factoren de score hebben beïnvloed. Dit omvat:
- Welke vaardigheden en kwalificaties aan de score hebben bijgedragen
- Welke aanpassingen zijn toegepast en waarom
- Hoe de kandidaat zich verhoudt tot de functieverplichtingen
4.3 Recht op beroep
Kandidaten kunnen menselijke beoordeling van een AI-gegenereerde beoordeling of score aanvragen via de compliancemodule van het Platform. Tenants worden hiervan op de hoogte gesteld en moeten binnen een redelijke termijn op verzoeken om herziening reageren.
4.4 Biasmonitoring
Het Platform bevat automatische biasmonitoring die AI-scoringpatronen analyseert op demografische verschillen, inclusief gender- en leeftijdsverdeling over scores.
5. Rechten van betrokkenen
Scovai ondersteunt de uitoefening van alle GDPR-rechten van betrokkenen:
| Recht | GDPR-artikel | Hoe Scovai het ondersteunt |
|---|---|---|
| Inzage | Art. 15 | Kandidaten kunnen al hun gegevens via hun profiel bekijken. Tenants kunnen kandidaatgegevens exporteren via de compliancemodule. |
| Rectificatie | Art. 16 | Kandidaten kunnen hun profielgegevens direct bewerken. Recruiters kunnen kandidaatgegevens bijwerken. |
| Wissen | Art. 17 | GDPR-gegevensexport en verwijderingsverzoeken kunnen worden ingediend via de compliancemodule met volledige auditregistratie. |
| Beperking | Art. 18 | Verwerking kan per kandidaat worden beperkt terwijl geschillen worden opgelost. |
| Gegevensportabiliteit | Art. 20 | Gegevens kunnen in gestructureerd JSON-formaat worden geëxporteerd via de compliancemodule of API. |
| Bezwaar | Art. 21 | Kandidaten kunnen bezwaar maken tegen profilering en geautomatiseerde verwerking via hun toestemmingsinstellingen. |
| Geautomatiseerde besluiten | Art. 22 | Verzoeken om menselijke beoordeling kunnen voor elk AI-besluit worden ingediend. Zie sectie 4 hierboven. |
6. Verwerkingsovereenkomsten
Alle Tenant-relaties worden geregeld door een Verwerkingsovereenkomst (DPA) waarin het volgende is bepaald:
- Het onderwerp en de duur van verwerking
- De aard en doeleinden van verwerking
- De soorten persoonsgegevens die worden verwerkt
- De categorieën van betrokkenen
- De verplichtingen en rechten van de verwerkingsverantwoordelijke en verwerker
- Vereisten voor subverwerkersgoedkeuring en procedures
7. Procedures voor gegevensinbreuken
In geval van een gegevensinbreuk zal Scovai:
- Betreffende Tenants (verwerkingsverantwoordelijken) onverwijld en binnen 72 uur na bekendwording van de inbreuk op de hoogte stellen
- Gedetailleerde informatie over de inbreuk verstrekken, inclusief de aard van de betrokken gegevens, de waarschijnlijke gevolgen en de genomen maatregelen
- Tenants bijstaan bij het vervullen van hun eigen meldingsverplichtingen aan toezichthoudende autoriteiten en betrokkenen
- Alle inbreuken documenteren in een intern inbreukregister
8. Subverwerkingsovereenkomsten
Scovai minimaliseert het gebruik van subverwerkingsovereenkomsten. Momenteel:
- AI-verwerking: Het meeste van de AI-verwerking (CV-parsing, scoring, beoordelingen, interviews) wordt uitgevoerd op lokaal gehoste infrastructuur binnen de EER. Geen kandidaatpersoonsgegevens worden naar externe AI-leveranciers verzonden.
- Generatie van vacaturebeschrijvingen: Gebruikt de Anthropic Claude API, maar alleen positiegerelateerde gegevens (functietitels, vereisten) worden verzonden, nooit kandidaatpersoonsgegevens.
- Infrastructuur: Alle hostinginfrastructuur bevindt zich in de Europese Economische Ruimte.
We zullen Tenants op de hoogte stellen voordat we nieuwe subverwerkingsovereenkomsten aangaan die persoonsgegevens verwerken.
9. Gegevensbehoud en -verwijdering
Retentieperioden voor gegevens worden op platformniveau geconfigureerd en kunnen door Tenants worden aangepast binnen toegestane bereiken. Standaard retentieperioden zijn gedetailleerd in ons Privacybeleid. Geautomatiseerde verwijderingsprocessen worden dagelijks uitgevoerd om gegevens te verwijderen die hun retentieperiode hebben overschreden.
10. Neem contact op met het gegevensbeschermingsteam
Voor GDPR-gerelateerde vragen, verzoeken van betrokkenen of om een kopie van onze Verwerkingsovereenkomst aan te vragen:
E-mail: privacy@scovai.com