Welke gegevens van medewerkers mag je vanuit privacywetgeving verwerken? 4 privacytips voor personeelsdossiers

Ieder EU land heeft eigen Privacywetgeving. Nederland kent de Wet Bescherming Persoonsgegevens waarop controle uitgeoefend wordt door de Autoriteit Persoonsgegevens. En dat is een belangrijk gegeven omdat er sinds 1-1-2016 fikse boetes gegeven kunnen worden aan bijvoorbeeld werkgevers bij overtredingen. Werkgevers zijn verantwoordelijk voor een correcte verwerking van persoonsgegevens van medewerkers. Privacy is voor werkgevers een veelomvattend onderwerp. Het heeft bijvoorbeeld te maken met relaties op het werk, medische controles, kledingvoorschriften, internetgebruik en social media. Ook het vastleggen van persoonsgegevens in personeelsdossiers is zeer privacygevoelig. Hieronder worden daarom 4 tips gegeven voor de opslag van persoonsgegevens in personeelsdossiers.

1. Gematigde opslag en informatie medewerkers

De werkgever is verantwoordelijk voor de juistheid van de gegevens in het personeelsdossier. Nauwkeurigheid met betrekking tot privacy staat hierbij voorop. Leg daarom alleen gegevens vast die nodig zijn voor het dienstverband en ter zake doen. Zorg dat er geen overbodige informatie opgeslagen wordt en hanteer een gematigd beleid hierin. Informeer medewerkers in een privacy statement over “waarom hun gegevens opgeslagen worden”. Gebruik de opgeslagen persoonsgegevens alleen voor het doel waarvoor ze opgeslagen zijn: het dienstverband! Medewerkers hebben altijd het recht hun personeelsdossier in te zien.

2. Bewust omgaan met bijzondere persoonsgegevens want deze zijn verboden

Opslag van persoonsgegevens die nodig zijn voor het dienstverband, is toegestaan. Dit betreft o.a. NAW, rekeningnummer, e mail adres, salaris, arbeidsovereenkomst etc..
Er zijn echter ook bijzondere persoonsgegevens die verboden zijn, maar wel opgeslagen mogen worden in het personeelsdossier, bij wijze van uitzondering. Dit betreft BSN (burgerservicenummer) en het kopie ID bewijs. Van belang is dat deze bijzondere persoonsgegeven echter NIET opgeslagen mogen worden als er (nog) geen sprake is van en dienstverband. Hieronder volgt een opsomming van de belangrijkste bijzondere persoonsgegevens.

• Ras

Dit betreft pasfoto, geboorteplaats, nationaliteit. Deze gegevens staan ook op het ID bewijs en mogen niet opgeslagen worden als iemand in de sollicitatiefase zit. De uitzondering is alleen van toepassing op het dienstverband.

• Religie

Let op: een pasfoto kan ook gegevens bevatten over religie. Denk aan een foto van iemand met een hoofddoekje.

• Gegevens over ziekte en gezondheid

Zorg voor een afgescheiden verzuimadministratie.

• Strafrechtelijk verleden

Een VOG verklaring is overigens toegestaan omdat de betreffende werknemer geen strafrechtelijk verleden heeft.

• BSN

Het BSN is zeer fraudegevoelig als het in handen komt van derden. Zij kunnen zich met dit nummer toegang verschaffen tot diverse instanties.
Gebruik het BSN daarom alleen voor de salarisadministratie en niet als zoekcriterium voor overzichten.

Het is belangrijk om in control te zijn voor deze verboden bijzondere persoonsgegevens. De volgende situaties kunnen boetes opleveren:

• Opslag van CV’s met pasfoto van mensen die niet in dienst komen;
• Oude overzichten van medewerkers met BSN, opgeslagen op een harde schijf;
• Mailboxen met kopie ID bewijzen en verzuimgegevens. Zorg voor tijdige opschoning door alle betrokkenen.

Plaatje dankzij Josh Hallet op Flickr. 

3. Bewaar personeelsgegevens niet langer dan noodzakelijk

Na beëindiging van het dienstverband moeten de persoonsgegevens verwijderd worden. Van de richtlijnen kan gemotiveerd worden afgeweken. De fiscus kent bijvoorbeeld een bewaartermijn van 7 jaren voor eventuele fiscale controles, terwijl de Wet Bescherming Persoonsgegevens veelal uitgaat van 2 jaren. Om bij controles van de Autoriteit Persoonsgegevens goed beslagen ten ijs te komen is het raadzaam om per persoonsgegeven aan te geven waarom afgeweken worden van de richtlijn van 2 jaren. Maak hier een overzicht van.

4. Beveiliging data

Zorg dat persoonsgegevens beveilig zijn, zodat ze niet verloren raken of in verkeerde handen terechtkomen. Bij digitale opslag is het voorkomen van een datalek cruciaal. Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens. Maak hier beleid op.

Controle over de persoonsgegevens heeft, naast de personeelsdossiers, ook te maken met opslag van gegevens op de harde schijf en in outlook. Maak hierover afspraken met collega’s en zorg dat afwijkingen onderbouwd worden en op papier staan.