//
Een praktische uitleg voor recruitmentbureaus en in-house recruiters over hoe lang je sollicitatiegegevens mag bewaren, wanneer je toestemming moet vragen, en welke regels je niet over het hoofd kunt zien. Inclusief de aanscherpingen uit de NVP Sollicitatiecode 2025.
In het kort
De Autoriteit Persoonsgegevens hanteert als richtlijn dat sollicitatiegegevens binnen 4 weken na afronding van de sollicitatieprocedure verwijderd moeten worden. Met expliciete toestemming van de kandidaat mag je gegevens maximaal 1 jaar bewaren, bijvoorbeeld voor een talentpool. Na dat jaar moet je actief opnieuw toestemming vragen, stilzwijgend verlengen mag niet. Aangenomen kandidaten vallen onder een andere regeling: hun gegevens mogen tot 7 jaar na uitdiensttreding bewaard worden vanwege fiscale verplichtingen.
Korte conclusie: de meeste recruitmentbureaus bewaren kandidaatdata langer dan strikt is toegestaan, vaak zonder het te beseffen. Een goed ingerichte ATS met automatische bewaartermijn-tracking en heractivatie-flows lost dit op zonder dat het tijd kost.
Waarom dit artikel
Bewaartermijnen worden steeds strikter gehandhaafd. De Autoriteit Persoonsgegevens controleert actief, boetes lopen tot 4% van de jaaromzet. Tegelijk leeft bij recruiters het misverstand dat "we doen alleen ons werk" voldoende grond is om profielen jaren te bewaren. Dat klopt niet.
Hieronder per type gegeven welke bewaartermijn geldt, hoe je expliciete toestemming juridisch waterdicht regelt, en wat de NVP Sollicitatiecode 2025 hieraan heeft veranderd.
Wat valt onder "sollicitatiegegevens"?
Veel breder dan recruiters denken. Onder de AVG vallen alle persoonsgegevens die je tijdens een wervingsproces verzamelt:
CV en motivatiebrief
Gespreksnotities en interview-aantekeningen
Assessmentresultaten en testscores
Pre-employment screening en referentiechecks
E-mailcorrespondentie en WhatsApp-berichten met de kandidaat
LinkedIn-profielinformatie die je opslaat in je ATS
Notities in je CRM of ATS, ook handgeschreven
Video-interviews en transcripties
Twee veelgemaakte fouten: WhatsApp-berichten worden vaak vergeten omdat ze niet in het ATS staan, en interne notities ("twijfelt aan motivatie", "wil hoger salaris") worden door recruiters gezien als hun "eigen" data. Dat zijn ze niet. Ook die vallen onder de bewaartermijn en moeten op verzoek inzichtelijk gemaakt worden.
De drie kerntermijnen
Termijn 1: 4 weken (default)
Voor afgewezen kandidaten geldt: 4 weken na afronding van de sollicitatieprocedure moeten alle gegevens verwijderd of geanonimiseerd zijn. De Autoriteit Persoonsgegevens noemt dit in de praktijkrichtlijn. De AVG zelf noemt geen concrete termijn, maar verwijst naar het beginsel van opslagbeperking (artikel 5 lid 1 sub e AVG).
Belangrijk: "afronding van de sollicitatieprocedure" betekent het moment dat de kandidaat afgewezen is, niet het moment dat de vacature is ingevuld. Een kandidaat die in ronde 2 afvalt, heeft een afrondingsmoment dat eerder ligt dan de aangenomen kandidaat.
Termijn 2: 1 jaar (met toestemming)
Als de kandidaat expliciet toestemming geeft om gegevens langer te bewaren, mag dat maximaal 1 jaar na afronding van de sollicitatieprocedure. Dit is de basis voor talentpools, ook wel "in portefeuille houden" genoemd.
Vier voorwaarden voor geldige toestemming:
Vrijwillig. Geen voorwaarde voor sollicitatie. Een kandidaat moet kunnen weigeren zonder gevolgen.
Specifiek. "Voor verdere sollicitaties bij ons bureau" is geldig, "voor marketing en alle andere doelen" niet.
Geïnformeerd. De kandidaat moet weten welke gegevens je bewaart, waarvoor, en hoe lang.
Aantoonbaar. Je moet kunnen bewijzen dat de toestemming is gegeven. Een vinkje in een formulier met timestamp en IP-log is voldoende, een mondelinge afspraak niet.
Termijn 3: 7 jaar (aangenomen kandidaten)
Voor kandidaten die je in dienst neemt geldt een andere regeling. De Belastingdienst eist dat je een aantal gegevens (loongegevens, identiteit, contract) 7 jaar na uitdiensttreding bewaart. Voor andere personeelsgegevens gelden kortere termijnen, vaak 2 jaar.
Wat verandert er met de NVP Sollicitatiecode 2025?
De Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling heeft in september 2025 een vernieuwde Sollicitatiecode gepubliceerd. Deze code heeft geen wettelijke status, maar wordt door rechters en de Autoriteit Persoonsgegevens gebruikt om te beoordelen of een werkgever zorgvuldig heeft gehandeld.
Drie wijzigingen die voor bewaartermijnen relevant zijn:
Actief opnieuw toestemming vragen. Na 1 jaar moet je expliciet vragen of de kandidaat in de pool wil blijven. Stilzwijgend verlengen is niet toegestaan. Reageert de kandidaat niet, dan verwijder je de gegevens.
Regels over AI-gebruik. Als je AI inzet voor screening, ranking of matching, moet de kandidaat hierover geïnformeerd worden. Dit raakt bewaartermijnen indirect: AI-uitkomsten (scores, rankings) zijn ook persoonsgegevens en vallen onder dezelfde termijnen.
Salaristransparantie. Niet direct een bewaartermijn-issue, maar wel relevant voor je sollicitatieprocedure: salarisindicatie moet in de vacaturetekst staan.
Heractivatie: hoe vraag je opnieuw toestemming?
Het einde van het bewaarjaar is voor veel bureaus het moment dat ze de regel het meest overtreden. Drie praktische opties:
Optie A: geautomatiseerd e-mailverzoek. Een week voor het einde van de bewaartermijn ontvangt de kandidaat een mail met een duidelijke vraag en twee knoppen ("Ja, bewaar mijn gegevens nog een jaar" of "Nee, verwijder mijn gegevens"). De keuze wordt vastgelegd met timestamp.
Optie B: kandidatenportaal. De kandidaat logt in op een portaal en beheert zelf welke gegevens er bewaard blijven en voor hoe lang. Werkt goed bij bureaus die al een portaal hebben, slecht bij bureaus zonder login-systeem.
Optie C: handmatige outreach. Voor hoge-waarde kandidaten kan een persoonlijk telefoontje of mail effectiever zijn dan automatisering. Vastleggen is dan wel cruciaal, want bij een controle moet de toestemming aantoonbaar zijn.
Veel ATS-systemen (waaronder Bullhorn, Ubeeo en moderne tools die werken met automatisering-laag van Spadework) automatiseren dit proces inclusief anonimiseren-bij-geen-reactie.
Bewaartermijnen per type gegeven
Type gegeven | Bewaartermijn | Voorwaarde |
|---|---|---|
CV en motivatiebrief afgewezen kandidaat | 4 weken | Geen |
CV en motivatiebrief in talentpool | 1 jaar | Expliciete toestemming |
Gespreksnotities afgewezen kandidaat | 4 weken | Geen |
Assessmentresultaten | 4 weken | Geen, ongeacht uitkomst |
Referentiechecks | 4 weken | Geen |
E-mails en WhatsApp afgewezen kandidaat | 4 weken | Geen |
Identiteitsbewijs aangenomen kandidaat | 5 jaar na uitdiensttreding | Werkgeversverplichting |
Loongegevens aangenomen kandidaat | 7 jaar na uitdiensttreding | Fiscale verplichting |
Algemene personeelsgegevens | 2 jaar na uitdiensttreding | Werkgeversverplichting |
Sollicitatiegegevens openbaar bestuur | 1 maand (afgewezen) / 1 jaar (in portefeuille) | Met toestemming voor in portefeuille |
Wat als je het niet goed regelt?
Drie risico's, in oplopende ernst:
Klacht van een kandidaat. Kandidaten kunnen via de Autoriteit Persoonsgegevens of via een privacy-advocaat klagen. Vaak begint dit met een inzageverzoek (artikel 15 AVG): de kandidaat vraagt om alle gegevens die je over hen hebt. Je hebt 4 weken om compleet te leveren, inclusief notities en e-mails.
Boete van de Autoriteit Persoonsgegevens. Maximaal 4% van de jaaromzet of 20 miljoen euro, afhankelijk van welk bedrag hoger is. In de praktijk legt de AP voor middelgrote overtredingen boetes op van 50.000 tot 500.000 euro.
Reputatieschade. In het tijdperk van LinkedIn en review-sites zijn AVG-overtredingen openbaar zichtbaar. Bureaus die hier slecht in scoren, verliezen kandidaten en opdrachtgevers.
Veelgestelde vragen
Mag ik een kandidaat zonder toestemming in mijn database houden als "toekomstig contact"?
Nee. Zonder expliciete toestemming moet je na 4 weken alle gegevens verwijderen. "Toekomstig contact" is geen wettelijke grondslag.
Wat als een kandidaat zelf solliciteert via LinkedIn en ik bewaar diens publieke profiel?
Een publiek LinkedIn-profiel mag je raadplegen, maar zodra je het opslaat in je ATS valt het onder de AVG. Dezelfde regels gelden: 4 weken bij afwijzing, 1 jaar met toestemming.
Wat betekent "anonimiseren" precies?
Anonimiseren betekent dat de gegevens niet meer terug te leiden zijn naar een persoon. Naam, contactgegevens, foto en alle identificeerbare details verwijderen. Statistische data (bijvoorbeeld "we ontvingen 200 sollicitaties in maart") mag je behouden, mits niet terug te leiden naar individuen. Pseudonimiseren (zoals een nummer ipv naam, maar met een sleutel) is geen anonimiseren en valt nog steeds onder de AVG.
Geldt de 4-weken-termijn ook voor open sollicitaties?
Ja. Bij open sollicitaties zonder concrete vacature is de "afronding" het moment dat je de kandidaat hebt laten weten dat er momenteel niets passends is. Vanaf dat moment loopt de 4-weken-termijn.
Wat doe ik met kandidaten die ik via sourcing heb gevonden, zonder dat ze gesolliciteerd hebben?
Sourcing van publieke profielen mag, gegevens opslaan in je ATS niet, tenzij je een rechtmatige grondslag hebt. Praktijk: noteer naam en LinkedIn-link in een sourcing-lijst (kortdurend), benader de kandidaat, en sla pas op in het ATS als de kandidaat reageert en akkoord gaat met opslag.
Wat als ik een ATS-migratie doe en oude data overneem?
Verouderde data importeren is een nieuw verwerkingsmoment onder de AVG. Je moet beoordelen welke gegevens nog rechtmatig zijn (geldige toestemming, binnen bewaartermijn) en de rest niet meenemen. Veel bureaus gebruiken een migratie als moment voor een grote schoonmaakronde.
Bronnen
Autoriteit Persoonsgegevens, leidraad werving en selectie (autoriteitpersoonsgegevens.nl, 2024-2025)
AVG artikelen 5, 6 en 15 (officiële tekst via wetten.overheid.nl)
NVP Sollicitatiecode 2025, gepubliceerd september 2025
Belastingdienst, bewaarplicht werkgevers (belastingdienst.nl)
Bullhorn NL, AVG-praktijkgids recruitment 2024-2025
Recruitmenttraining.pro, bewaartermijn sollicitatiegegevens 2026
Randstad, AVG-richtlijn sollicitatieprocedure
AVG Register Rijksoverheid, werving en selectie
Wil je weten hoe schoon en actueel je eigen database is? Spadework biedt een gratis database-analyse waarbij we in kaart brengen welk percentage van je profielen verouderd is, hoeveel kandidaten je kunt activeren, en wat het oplevert.
