Hintergrundprüfung, die die Privatsphäre eines Kandidaten respektiert

Ich wurde gebeten, eine Zuverlässigkeitsüberprüfung zu genehmigen. Das Unternehmen, das die Überprüfung durchführt, heißt GoodHire. Ihr Autorisierungsschreiben war ziemlich harmlos. Darin wurde angegeben, dass der Kandidat die Überprüfung genehmigt hat. Als ich die Datenschutzrichtlinie von GoodHire überprüfte, fand ich sie obszön . Das Unternehmen stellte eine Liste mit Möglichkeiten zur Verfügung, private Informationen mit anderen zu teilen, die in dem Schreiben nicht autorisiert waren.

Sehr hinterhältig. Ich habe die Autorisierung abgelehnt.

Das Unternehmen und ich müssen jetzt einen Weg finden, eine Zuverlässigkeitsüberprüfung durchzuführen, die die Privatsphäre eines Kandidaten respektiert. Die bereitgestellten Informationen dienen insbesondere der Zuverlässigkeitsüberprüfung und nicht mehr. Es werden keine zusätzlichen Nutzungen genehmigt und keine Informationen an externe Parteien weitergegeben oder Informationen mit Datenbrokern geteilt.

Wie erhält man eine Hintergrundüberprüfung, die keine Informationen an externe Unternehmen weitergibt oder Informationen mit Datenbrokern teilt?

Ich bin ziemlich sicher, dass dies getan werden kann. Ich hatte in der Vergangenheit sowohl Public Trust- als auch Top Secret-Freigaben, und beides beinhaltete keine Weitergabe von Informationen an externe Parteien. Ich weiß nur nicht, wie ich das gleiche Maß an Sorgfalt außerhalb der US-Bundesregierung oder des US-Verteidigungsministeriums erreichen kann.

Danke @Joe. Das Unternehmen und ich sind auf derselben Seite. Wir haben Probleme, ein Unternehmen zu finden, das die Zuverlässigkeitsüberprüfung zu angemessenen Bedingungen durchführt. Wissen Sie, welche Firma oder Firma US Federal oder US DoD verwenden? Ich nehme an, jemand mit HR-Erfahrung in der Branche würde es wahrscheinlich wissen.
@JoeStrazzere "Die als Defense Industrial Security Clearance Office (DISCO) bekannte Verteidigungsaktivität ist Teil des Defense Security Service (DSS), einer Agentur der. DISCO verarbeitet und entscheidet über Personalfreigaben." military.com/veteran-jobs/security-clearance-jobs/…
"in der Vergangenheit, und weder ging es darum, Informationen an externe Parteien weiterzugeben." - Wenn Sie geheime und streng geheime Freigaben hatten, wurden Ihre Informationen an externe Parteien weitergegeben (OPM-Datenverletzung, die alle DoD-Mitarbeiter betraf). Der vorherige Kommentar über das DoD, das seine eigenen Hintergrundüberprüfungen über OPM durchführt, ist jedoch in der Tat korrekt. Die verlinkte Seite ist übrigens keine genaue Information für direkte Regierungsangestellte (also würde sie nicht auf die frühere Beschäftigung des Autors (DoD) zutreffen).
Welchen Teil finden Sie so anstößig? Es scheint, als würden sie personenbezogene Daten „mit unseren Dienstanbietern teilen, aber nur in dem Umfang, der für die Bereitstellung von Diensten für Sie erforderlich ist“, was buchstäblich für jedes Unternehmen gilt, das nicht 100 % seiner eigenen Infrastruktur besitzt. Wenn sie AWS, GCP, Rackspace oder ein anderes Hosting-Unternehmen verwenden, um ihre Server zu betreiben, brauchen sie so etwas. Das Verteidigungsministerium kann und betreibt sicherlich einen Großteil seiner eigenen Infrastruktur, aber die meisten Unternehmen tun dies nicht.

Antworten (4)

Diese Datenschutzerklärung ist völlig normal. Du hast unvernünftige Maßstäbe.

Hier ist der Abschnitt, der meiner Meinung nach am besten umreißt, was sie tun.

Tabelle zum Teilen von Informationen aus der Datenschutzrichtlinie

Die ersten beiden Zeilen sind die persönlichen Daten des Kandidaten und die Informationen, mit denen ich am vorsichtigsten wäre. Die erste Zeile enthält Ihre Kontoinformationen, und die einzigen Parteien, mit denen sie sie teilen, sind diejenigen, die sie verwenden, um die Dienste direkt bereitzustellen. Wenn sie beispielsweise einen Drittanbieter zum Hosten ihrer Website verwenden, müssen Ihre Informationen dem Drittanbieter zur Verfügung gestellt werden, um das Konto zu erstellen. Es gibt wahrscheinlich eine ähnliche Klausel für jede Website, auf der Sie ein Benutzerkonto erstellen.

Die zweite Reihe ist Ihr Regierungsausweis, der sicherlich sensibel ist, aber sie teilen ihn nur, damit sie Ihre Identität überprüfen können. Wenn sie nicht wissen, wer Sie sind, können sie keine Zuverlässigkeitsüberprüfung durchführen. Daran führt wirklich kein Weg vorbei.

Die letzten drei Zeilen sind alle Informationen, die fast jede Website sammelt, indem Sie einfach die Website besuchen. Wenn Sie sich Sorgen machen, dass diese Informationen an die Öffentlichkeit gelangen, sollten Sie wahrscheinlich aufhören, dies zu lesen, und alle zusammen aus dem Internet aussteigen.

Ich bin kein Sicherheitsexperte, also zögern Sie nicht, dies bei Security SE zu überprüfen , aber ich denke, Sie werden eine ziemlich ähnliche Antwort erhalten. Sie können diese Datenlecks nur umgehen, indem Sie die Hintergrundprüfung selbst durchführen.

Danke @David. Das Kleingedruckte bei „unseren Dienstleistern“ hat mir nicht gefallen. Sie teilen die Informationen mit ihrer Muttergesellschaft und ihren Partnern, die sie unbegrenzt mit ihren Partnern teilen können . Sie sollten es wirklich eher eine Freigaberichtlinie als eine Datenschutzrichtlinie nennen . Willkommen in den Vereinigten Staaten von Corporate America, nehme ich an...
@jww Wo steht, dass es ihnen frei steht, es unbegrenzt mit ihren Partnern zu teilen? Für die Muttergesellschaft werden Daten auf deren Servern gespeichert. Dritte sind „erforderlich, Ihre Informationen zu sichern und sie nur zur Bereitstellung der beschriebenen Dienste zu verwenden“.
Nochmals vielen Dank @David. "Sie können diese "Datenlecks" nur umgehen, indem Sie die Hintergrundprüfung selbst durchführen" - Ja, wir sind im Grunde zu demselben Schluss gekommen. Ich habe die Firmenlinks zu Motor Vehicle Administration und Background Investigations geschickt, die von den Staaten bereitgestellt werden, in denen ich gelebt habe. Wir werden die Berichte einfach selbst bestellen. Es sieht so aus, als würde es auch billiger werden.
In Bezug auf "Sie können dies gerne bei Security SE überprüfen ..." - ich habe tatsächlich einige Fachkenntnisse. Ich habe als Sicherheitsarchitekt bei US Financial für drei Investmentbanken (unter anderem Vertikalen wie DoD) gearbeitet. Ich weiß genau, was hier vor sich geht, weil ich diese Systeme überprüft habe. Ich half auch bei der technischen Redaktion von Peter Gutmanns Engineering Security , einem von zwei Büchern zum Thema Aufbau sicherer Systeme. Mein Anspruch entspricht meinem Wissen. Sie sind weder willkürlich noch unvernünftig.
Bei „unseren Dienstleistern“ gibt es kein Kleingedrucktes, wovon um alles in der Welt reden Sie?
@DetectivePikachu - Pingen Sie mich offline bei noloader , Gmail-Konto. Ich werde meine E-Mail mit GoodHire und deren Antwort teilen. Meine Anfrage war ziemlich einfach. Es bat um die detaillierte Liste der Anbieter, die genauen Informationen, die mit jedem Anbieter geteilt werden würden, und bat um eine positive Bestätigung, dass die Informationen nicht mit anderen Anbietern geteilt würden und die Partner keine der Informationen teilen würden. GoodHire hat die Fragen nicht beantwortet oder bestätigt, dass keine zusätzlichen Informationen weitergegeben wurden. Es sollte sicherlich nicht als Datenschutzrichtlinie bezeichnet werden .

TLDR: Das ist ziemlich Standard und sie haben keine Erlaubnis, Ihre PII zu verkaufen, die für Hintergrundprüfungen verwendet werden.

Als jemand, der in der Hintergrundprüfungsbranche arbeitet, wird das, was ich „hoffentlich“ sage, etwas Gewicht haben.

Wenn Sie sich in den Vereinigten Staaten aufhalten, deckt der FCRA (Federal Credit Reporting Act) die Rechte von Personen ab, deren Hintergrund überprüft wird. Die FCRA hat strenge Richtlinien, die eingehalten werden müssen, einschließlich der Offenlegung, wie die Informationen verwendet werden und welche Informationen weitergegeben werden können. Goodhire ist FCRA-akkreditiert und konform, was nicht einfach ist und die strikte Einhaltung der FCRA sowie Audits erfordert, um die Einhaltung der FCRA sicherzustellen.

Das FCRA wurde entwickelt, um Verbraucher zu schützen, und Ratingagenturen (wie Goodhire) werden für jeden Verstoß gegen das FCRA mit einer Geldstrafe von mindestens 1.000 US-Dollar belegt. Dies hält sie stark davon ab, Ihre Daten falsch zu verwenden. Viele Klagen gegen eine CRA werden zu einer Sammelklage, und ihre Datenbanken und Systeme werden untersucht, um festzustellen, ob es andere Verstöße gibt, wenn sie gefunden werden. Als solches sind entweder Ihre Daten geschützt oder Sie könnten Teil eines Multi-Millionen-Dollar-Vergleichs sein (wie der kürzliche Equifax-Vergleich).

Die meisten Ratingagenturen verwenden oder sind mit einem ATS (Applicant Tracking System) integriert. Goodhire kann beides in einem sein, aber oft teilt eine CRA PII mit ATS und umgekehrt, um die Zuverlässigkeitsüberprüfung abzuschließen. Datenanbieter sind ein weiterer Drittanbieter, den die meisten Ratingagenturen verwenden. Diese Anbieter beherbergen die Strafregister, Fahrtenbücher usw. und benötigen Ihre PII, die mit ihnen geteilt werden, um ihre Arbeit zu erledigen. ATSs und CRAs unterliegen beide den gleichen FCRA-Regeln und -Vorschriften für die Nutzung von Daten.

Hoffentlich klärt diese Hilfe es für Sie ein wenig auf.

+1 Tolle Antwort mit guter Erfahrung!
Danke @nick. Ich bin wahrscheinlich Haarspalterei, aber ich habe nicht "verkaufen" gesagt , ich habe "teilen" gesagt . Die Dokumentation der Website besagt eindeutig , dass sie dies tun, obwohl dies nicht eindeutig auf dem Autorisierungsformular angegeben ist.
Die Weitergabe Ihrer personenbezogenen Daten, auf die sie sich beziehen, erfolgt über Anbieter, ATS- und CRA-Systeme. Andere Daten, wie Ihre Browserdaten, sind Daten, die bereits auf ihrem System vorhanden sind. Für meine obigen Zwecke können Sie "verkaufen" durch "teilen" ersetzen. Ihr Freigabebereich ist ziemlich standardmäßig und enthält PII nur dann, wenn dies erforderlich ist, damit die Hintergrundprüfung fortgesetzt werden kann. Mit der FCRA-Akkreditierung würde ich mir keine großen Sorgen machen. Viele Unternehmen fordern FCRA-Zertifizierungen, um eine CRA für Hintergrundüberprüfungen zu beauftragen, und sie möchten diese nicht verlieren. (Allgemein natürlich.)

Wie @David kommentierte: „Sie können diese Datenlecks nur umgehen, indem Sie die Hintergrundprüfung selbst durchführen . “ Wir sind zu dem gleichen Schluss gekommen und haben uns dafür entschieden. Ein Nebeneffekt ist, dass die Schecks insgesamt etwa 75,00 $ kosten. Es war ein Bruchteil des Preises, den diese „HR as a Service“ -Firmen verlangten.

Ich werde die Details hier für andere bereitstellen, die ähnliche Bedenken und Probleme haben. Es übernimmt auch die üblichen Arbeitsbiographien und Referenzprüfungen, da die Personalabteilungen dies immer noch tun.

Besorgen Sie sich zunächst die inoffizielle Wohnsitzliste des Bewerbers. In meinem Fall lebte ich in Atlanta GA, New York NY und Baltimore MD.

Führen Sie zweitens einen schnellen Rauchtest mit dem Kandidaten durch, indem Sie die Online-Suche nach Gerichtsverfahren besuchen. In meinem Fall kann man eine Gerichtsfallrecherche durchführen unter:

Drittens überprüfen Sie den Wohnsitz anhand der Kfz-Datensätze. Kfz-Aufzeichnungen finden Sie auf der Website der Verwaltung.

Viertens: Fordern Sie für jeden Staat eine Zuverlässigkeitsüberprüfung vom Staat an. In meinem Fall sind dies die staatlichen Websites.

Die Zuverlässigkeitsüberprüfungen sind kostenlos oder preisgünstig. Beispielsweise erhebt New York keine Gebühren für die Aufzeichnungen, und Maryland berechnet 18,00 USD für die Überprüfung des staatlichen Hintergrunds und bietet eine vollständige Überprüfung des kriminellen Hintergrunds kostenlos an.

Wir sind uns im Moment nicht sicher, wie wir mit den Finanzunterlagen verfahren sollen. Ich habe versucht, eine Verbraucherkreditauskunft unter FCRA zu erhalten, nachdem ich vor einigen Jahren auf betrügerische Aktivitäten aufmerksam gemacht worden war. Ich habe den Bericht telefonisch und dann schriftlich angefordert. Beide Wünsche wurden nicht erfüllt. (Glauben Sie nicht den Mist, den Sie über die FCRA lesen. Ich kann mit Sicherheit sagen, dass sie nicht zur Verfügung gestellt werden).

Für minimale Kosten und Mühen ist es relativ einfach sicherzustellen, dass Datenbroker keine persönlichen Informationen über jemanden erhalten und verbreiten. Die Datenbroker können wahrscheinlich mehr Details liefern, wie zum Beispiel, welche Toppings ich auf meinem Vanilleeis bevorzuge, aber sie werden hier nicht benötigt.

Ich lese die Richtlinien, die Sie im Abschnitt „Wenn wir Ihre Informationen weitergeben“ bereitgestellt haben , und nichts davon klingt allzu schlecht. Ich denke, Sie missverstehen es und denken, dass das Unternehmen mit PII-Daten wohl oder übel gehen kann. Stattdessen speichern sie, so wie ich es gelesen habe, die Daten, die für die Abwicklung ihrer Geschäfte und Zahlungen erforderlich sind. Das gilt für jede Website, die Sie besuchen, sogar Amazon verfolgt Ihre Informationen, und sogar Stackoverflow verfolgt gerade unsere Nutzung. Sie verkaufen diese Daten wahrscheinlich an andere Leute, während wir hier sprechen. Es ist keine große Sache, und selbst mit Ihrem Namen ist es zweifelhaft, dass aus solchen Informationen irgendetwas Sinnvolles geschlossen werden kann.

Mein Gedanke ist, die Vereinbarung zu den Anwälten Ihres Unternehmens zu bringen und sie zu fragen, ob sie im Rahmen des Zumutbaren liegt. Dies ist eher eine vertragsrechtliche Frage als eine Arbeitsplatzfrage.

Sie haben jedoch das Recht, paranoid zu sein. Tatsächlich haben mehrere große Unternehmen kürzlich sensible Datenbanken im offenen Cloud-Bereich gefunden, mit denen sich jeder verbinden und die er abfragen kann. Aber deshalb gibt es Kreditschutz und so weiter, etwas, das sich der Kontrolle einer einfachen Ermittlungsfirma entzieht.

Hintergrundprüfung, die die Privatsphäre eines Kandidaten respektiert
AntwortenHierDatenschutz-Bestimmungen1y, 0v