Expand verbindt HR professionals en HR vacatures aan het hele vakgebied

Welke gegevens van medewerkers mag je vanuit privacywetgeving verwerken? 4 privacytips voor personeelsdossiers

Ieder EU land heeft eigen Privacywetgeving. Nederland kent de Wet Bescherming Persoonsgegevens waarop controle uitgeoefend wordt door de Autoriteit Persoonsgegevens. En dat is een belangrijk gegeven omdat er sinds 1-1-2016 fikse boetes gegeven kunnen worden aan bijvoorbeeld werkgevers bij overtredingen. Werkgevers zijn verantwoordelijk voor een correcte verwerking van persoonsgegevens van medewerkers. Privacy is voor werkgevers een veelomvattend onderwerp. Het heeft bijvoorbeeld te maken met relaties op het werk, medische controles, kledingvoorschriften, internetgebruik en social media. Ook het vastleggen van persoonsgegevens in personeelsdossiers is zeer privacygevoelig. Hieronder worden daarom 4 tips gegeven voor de opslag van persoonsgegevens in personeelsdossiers.

  1. Gematigde opslag en informatie medewerkers.

De werkgever is verantwoordelijk voor de juistheid van de gegevens in het personeelsdossier. Nauwkeurigheid met betrekking tot privacy staat hierbij voorop. Leg daarom alleen gegevens vast die nodig zijn voor het dienstverband en ter zake doen. Zorg dat er geen overbodige informatie opgeslagen wordt en hanteer een gematigd beleid hierin. Informeer medewerkers in een privacy statement over “waarom hun gegevens opgeslagen worden”. Gebruik de opgeslagen persoonsgegevens alleen voor het doel waarvoor ze opgeslagen zijn: het dienstverband! Medewerkers hebben altijd het recht hun personeelsdossier in te zien.

  1. Bewust omgaan met bijzondere persoonsgegevens want deze zijn verboden.

Opslag van persoonsgegevens die nodig zijn voor het dienstverband, is toegestaan. Dit betreft o.a. NAW, rekeningnummer, e mail adres, salaris, arbeidsovereenkomst etc..
Er zijn echter ook bijzondere persoonsgegevens die verboden zijn, maar wel opgeslagen mogen worden in het personeelsdossier, bij wijze van uitzondering. Dit betreft BSN (burgerservicenummer) en het kopie ID bewijs. Van belang is dat deze bijzondere persoonsgegeven echter NIET opgeslagen mogen worden als er (nog) geen sprake is van en dienstverband. Hieronder volgt een opsomming van de belangrijkste bijzondere persoonsgegevens.

  • Ras

Dit betreft pasfoto, geboorteplaats, nationaliteit. Deze gegevens staan ook op het ID bewijs en mogen niet opgeslagen worden als iemand in de sollicitatiefase zit. De uitzondering is alleen van toepassing op het dienstverband.

  • Religie

Let op: een pasfoto kan ook gegevens bevatten over religie. Denk aan een foto van iemand met een hoofddoekje.

  • Gegevens over ziekte en gezondheid

Zorg voor een afgescheiden verzuimadministratie.

  • Strafrechtelijk verleden

Een VOG verklaring is overigens toegestaan omdat de betreffende werknemer geen strafrechtelijk verleden heeft.

  • BSN

Het BSN is zeer fraudegevoelig als het in handen komt van derden. Zij kunnen zich met dit nummer toegang verschaffen tot diverse instanties.
Gebruik het BSN daarom alleen voor de salarisadministratie en niet als zoekcriterium voor overzichten.

Het is belangrijk om in control te zijn voor deze verboden bijzondere persoonsgegevens. De volgende situaties kunnen boetes opleveren:

  • Opslag van CV’s met pasfoto van mensen die niet in dienst komen;
  • Oude overzichten van medewerkers met BSN, opgeslagen op een harde schijf; 
  • Mailboxen met kopie ID bewijzen en verzuimgegevens. Zorg voor tijdige opschoning door alle betrokkenen. 

Welke gegevens mag je vanuit privacywetgeving verwerken?Plaatje dankzij Josh Hallet op Flickr

  1. Bewaar personeelsgegevens niet langer dan noodzakelijk

Na beëindiging van het dienstverband moeten de persoonsgegevens verwijderd worden. Van de richtlijnen kan gemotiveerd worden afgeweken. De fiscus kent bijvoorbeeld een bewaartermijn van 7 jaren voor eventuele fiscale controles, terwijl de Wet Bescherming Persoonsgegevens veelal uitgaat van 2 jaren. Om bij controles van de Autoriteit Persoonsgegevens goed beslagen ten ijs te komen is het raadzaam om per persoonsgegeven aan te geven waarom afgeweken worden van de richtlijn van 2 jaren. Maak hier een overzicht van.

  1. Beveiliging data.

Zorg dat persoonsgegevens beveilig zijn, zodat ze niet verloren raken of in verkeerde handen terechtkomen. Bij digitale opslag is het voorkomen van een datalek cruciaal. Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens. Maak hier beleid op.

Controle over de persoonsgegevens heeft, naast de personeelsdossiers, ook te maken met opslag van gegevens op de harde schijf en in outlook. Maak hierover afspraken met collega’s en zorg dat afwijkingen onderbouwd worden en op papier staan.

Geplaatst in Arbeidsrecht door Johan Dirven op 23 september 2016

Reacties op Welke gegevens van medewerkers mag je vanuit privacywetgeving verwerken? 4 privacytips voor personeelsdossiers

Marc Loohuis op 23 september 2016 11:06

Mooi artikel Johan!
Het stipt zaken nog eens aan waar we bij op moeten letten. Overigens heb ik sowieso niets met foto's op CV's e.d.
Vaak vind ik een foto niets toevoegen, het werkt discriminatie in de hand volgens mij.

Johan Dirven op 23 september 2016 11:48

Dank je Marc. Mooie aanvulling. Selecteren op competenties zonder vooroordelen. Dat is mooi en begint met het achterwege laten van de pasfoto.

Marc Loohuis op 23 september 2016 11:54

Exact Johan, het valt mij ook op dat wij in NL vaak wat minder bezig zijn met het verbod op discriminatie. Expand werkt veel voor bedrijven met een Amerikaanse "moeder" en het is duidelijk een groot verschil met de manier waarop men in Amerika alert is op het niet discrimineren op leeftijd, ras of sexe.

Johan Dirven op 23 september 2016 11:57

Ja,! We hebben het hier over een wet. Maar het gaat over attitude. Uit goed fatsoen zouden we hier eigenlijk geen wet voor nodig moeten hebben.

Rian de Jong op 23 september 2016 13:17

Inmiddels is binnen de EU de nieuwe verordening 2016/679 aangenomen, die uiterlijk 25 mei 2018 moet zijn ingevoerd. Deze vervangt de nationale wetgevingen, heeft verregaande consequenties zeer hoge boetes.

Marc op 23 september 2016 13:49

Nog meer regels vanuit Europa..... ;-(

Plaats zelf een reactie