Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de Algemene Verordening Persoonsgegevens (AVG). Kernbegrippen in die AVG zijn persoonsgegevens, bijzondere persoonsgegevens en verwerking van persoonsgegevens.
Een persoonsgegeven omvat alle gegevens over geïdentificeerde of identificeerbare natuurlijke personen, kortom alle informatie die is te herleiden tot een persoon. Denk niet alleen aan naam, adres, geboortedatum maar ook aan telefoonnummer, IP-adres – zeker in combinatie met vastgelegd surfgedrag – foto’s of filmpjes van een bedrijfsuitje, een facebook-adres, of locatiegegevens, online-gegevens. Maar onder omstandigheden ook: cameratoezicht
Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands levensovertuiging, ras, politieke gezindheid, seksuele leven en gezondheid. Ook gegevens over het lidmaatschap van een vakvereniging vallen daaronder, net als financiële gegevens (zoals schulden, loonbeslag en loonbetalingsgegevens).
Niet alleen een werkgever is een verwerker van persoonsgegevens; ook een werknemer die persoonsgegevens van derden verwerkt, bijvoorbeeld op de afdeling personeelszaken of de financiële administratie is een verwerker. Voor beiden gelden dezelfde regels.
De gegevens mogen slechts voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Voor werkgevers geldt dat de werknemer ondubbelzinnig toestemming heeft verleend voor de verwerking van zijn gegevens, de verwerking noodzakelijk is voor de uitvoering van en overeenkomst waarbij werknemer partij is of wordt, de verwerking nodig is op grond van de wet of voor de behartiging van het gerechtvaardigd belang van werkgever of een derde aan wie de gegevens worden verstrekt.
Wat betekent dat nu voor het personeelsdossier?
Veel personeelsdossiers voldoen niet aan de regels van de WBP of AVG. In de praktijk blijken bijvoorbeeld identiteitsbewijzen van ex-medewerkers nog bewaard te zijn gebleven terwijl die direct na het vertrek vernietigd moeten worden. Alle overige personeelsdocumenten – behalve die een fiscale betekenis hebben, zoals de loonbelastingverklaring – moeten uiterlijk twee jaar na uitdiensttreding worden vernietigd. Uitzondering geldt voor de situatie dat het dossier langer bewaard moet worden, bijvoorbeeld in verband met een gerechtelijke procedure.
Maar ook van in dienst zijnde werknemers mag niet alles in het personeelsdossier worden bewaard: zo moeten stukken m.b.t. een loonbeslag direct worden verwijderd als het beslag is vervallen en mag dossier alleen het verslag van het laatstgehouden functioneringsverslag bevatten.
Dat is lastig, want hou bouw je als werkgever dan een dossier dat op grond van de Wet werk en zekerheid nodig is bij ontbinding van de arbeidsovereenkomst? Een oplossing kan zijn om bij elk nieuw functioneringsgesprek nog even vast te leggen wat in het vorige is afgesproken en daaraan te refereren. Dat zal voor veel personeelsfunctionarissen of leidinggevenden wennen zijn.
Vooral veel papieren personeelsdossiers bevatten van allerlei oude gegevens omdat ze nooit zijn opgeschoond.
Wat mag in het personeelsdossier wel en niet worden opgeslagen?
Wel: kopie identiteitsbewijs, BSN, klachten, waarschuwingen, verzuimfrequentie en de persoonlijke aantekeningen van de leidinggevende.
Niet: medische gegevens: alleen de arbodienst of bedrijfsarts mag deze gegevens verwerken. Ook als de werknemer zelf medische gegevens verstrekt, mogen deze niet worden opgenomen in het dossier. Uitzondering: de verwachte duur van het verzuim van en zieke werknemer, de mate van arbeidsongeschiktheid, mits deze afkomstig zijn van de arbodienst of bedrijfsarts.
De werkgever moet zorgdragen voor een goede beveiliging van de persoonsgegevens door het nemen van technische en organisatorische maatregelen die voorkomen dat de gegevens eenvoudig toegankelijk zijn voor iedereen en/of kunnen worden bewerkt of onrechtmatig verwerkt. Zo zal de werkgever er op moeten toezien dat zijn werknemers die persoonsgegevens verwerken regelmatig hun wachtwoorden wijzigen.
Inzage in het personeelsdossier. Op verzoek van een werknemer moet de werkgever binnen 4 weken mededelen welke persoonsgegevens hij verwerkt, wat het doel is van het gebruik en wat de herkomst is van de gegevens. Notities, e-mail e.d. die ook over anderen dan de werknemer gaan mogen niet worden ingezien, evenmin als persoonlijke notities of stukken m.b.t. intern overleg.
Uw werknemers
Het is verstandig om ter voorkoming van overtreding van de AVG (in overleg met de OR) een telefoon- e-mail- en internetbeleid op te stellen, zodat voor iedereen duidelijk is welke gedragingen en verwerkingen zijn toegestaan en welke niet en hoe de werkgever dat controleert en waarborgt dat de privacy-bepalingen worden nageleefd.
Voorbeeld voor een dergelijk beleid kunt u kosteloos bij VOORINK ADVOCATEN opvragen.
Boete
Wie niet zorgdraagt voor de juiste opslag en verwerking van de persoonsgegevens loopt het risico op een boete door de Autoriteit Persoonsgegevens. Die boete kan bij grote werkgevers oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet bij overtreding van enkele van de AVG-bepalingen. Bij overtreding van de basisbeginselen verdubbelen deze boetes zelf.
Vragen?
Neem gerust contact op met de sectie arbeidsrecht van ons kantoor.
Neem voor meer informatie contact op met:
Advocaat / Curator
mr. drs. M. (Michiel) Vriezekolk
Advocaat
mr. M. (Maartje) Roerdink
Let op! Deze blog beschrijft slechts enkele aspecten van de AVG op hoofdlijnen, beoogt niet volledig te zijn en is alleen bedoeld als een eerste attendering op de AVG en aandachtspunt voor werkgevers en HR-managers. Aan deze blog kunnen dan ook geen rechten worden ontleend.