VERDIEPINGSARTIKEL

Let op de privacyregels bij het opslaan van werknemersgegevens

Bij het opslaan van gegevens van werknemers in het personeelsdossier is het belangrijk om rekening te houden met de privacy van werknemers. Dit gold voor de Algemene verordening gegevensbescherming (AVG) al, maar de afgelopen tijd is de aandacht voor dit onderwerp behoorlijk toegenomen. Wat mag u wel en niet opnemen in het personeelsdossier van de werknemer en hoelang mag u de gegevens bewaren?


29 maart 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Voor het bewaren van werknemersgegevens in het personeelsdossier gelden twee belangrijke stelregels. De eerste is dat u niet meer informatie in het personeelsdossier opslaat dan nodig is. De tweede is dat u de informatie in het personeelsdossier niet langer mag bewaren dan noodzakelijk is. Wat betekent dit in de praktijk?

Ziekte

In het personeelsdossier neemt u informatie op die u nodig heeft om aan uw wettelijke verplichtingen te voldoen of gegevens die belangrijk zijn voor het personeelsbeleid. Denk aan de NAW-gegevens, een kopie van het identiteitsbewijs, verslagen van functionerings- en beoordelingsgesprekken en soms een Verklaring omtrent Gedrag (VOG). Gegevens over de re-integratie van de werknemer slaat u op in zijn re-integratiedossier, maar u mag geen medische gegevens (zoals de aard en oorzaak van de ziekte) bewaren. Dit geldt in de meeste gevallen ook als de werknemer deze informatie vrijwillig aan u verstrekt. Vertelt een werknemer bijvoorbeeld zelf aan u dat hij burn-outklachten heeft, dan mag u dit niet letterlijk opnemen in zijn dossier. Wel mag u de informatie die u van de bedrijfsarts ontvangt over bijvoorbeeld de mate van de arbeidsongeschiktheid en de werkzaamheden die de werknemer nog kan verrichten in het dossier opnemen.

Geboorteland

Bijzondere persoonsgegevens – zoals ras, godsdienst, politieke voorkeur of het strafrechtelijk verleden van de werknemer – mag u niet opslaan in het personeelsdossier, tenzij daar een wettelijke uitzondering voor geldt. Voert uw organisatie bijvoorbeeld een voorkeursbeleid, dan mag u het geboorteland van de werknemer of dat van zijn ouders opnemen in het personeelsdossier. Maakt de werknemer echter bezwaar tegen het opnemen van deze informatie in het dossier, dan moet u het er onmiddellijk weer uithalen.

Beveiliging

Aangezien een personeelsdossier gevoelige informatie kan bevatten, is het belangrijk dat u hier zorgvuldig mee omgaat. Dit betekent onder meer dat het dossier goed beveiligd moet zijn. Werkt uw organisatie met papieren personeelsdossiers, dan betekent dit dat u de dossiers veilig moet opbergen in een ruimte waar een slot op is. Bewaart u de personeelsdossiers digitaal of online, dan is het belangrijk dat er een goede versleuteling zit op de harde schijf en dat u een goed beveiligde internetverbinding heeft. Bekijk daarnaast goed wie er binnen uw organisatie toegang hebben tot het personeelsdossier. Dit mogen alleen de werknemers zijn voor wie dit nodig is om hun werk goed te kunnen doen. In de praktijk zijn dit meestal de leidinggevende en uzelf.

Wat is de bewaartermijn van het re-integratiedossier?

De Autoriteit Persoonsgegevens geeft richtlijnen voor de bewaartermijn van verschillende verzuimgegevens. Voor het re-integratiedossier wordt vaak een richtlijn van twee jaar na afronding van de re-integratie aangehouden. Als in het re-integratiedossier blijvende afspraken staan – denk aan werkaanpassingen – kunt u de gegevens langer bewaren en opnemen in het personeelsdossier.

Bewaartermijnen

In de AVG zelf zijn geen bewaartermijnen opgenomen. Wel kunt u op basis van wetgeving verplicht zijn informatie voor een bepaalde periode te bewaren. Zo geldt voor de loonadministratie een bewaarplicht van zeven jaar. Er geldt een afwijkende bewaartermijn voor formulieren met gegevens van de loonheffingen, kopieën van identiteitsbewijzen van werknemers en gegevens over de studenten- en scholierenregeling. Die moet u bewaren zolang het dienstverband duurt en daarna nog vijf jaar. Deze termijn begint in het jaar nadat de dienstbetrekking is beëindigd. De gegevens van werknemers van wie de dienstbetrekking in 2018 eindigt, moet u dus tot 1 januari 2024 bewaren. Daarna moet u de gegevens zo spoedig mogelijk uit uw administratie verwijderen. Voor de arbeidsovereenkomst (en wijzigingen hierin), verslagen van functionerings- en beoordelingsgesprekken, getuigschrift en correspondentie over bijvoorbeeld een promotie geldt geen wettelijke bewaartermijn. Voor die gegevens wordt meestal een bewaartermijn van twee jaar nadat het dienstverband is geëindigd aangehouden. Hoewel nergens in de wet staat hoe u de gegevens moet verwijderen, spreekt het voor zich dat u deze gegevens niet zomaar bij het oud papier mag gooien. Het gaat immers om persoonlijke gegevens van ex-werknemers van uw organisatie.

Kopie

Werknemers hebben het recht om hun personeelsdossier in te zien. U kunt hiervoor een kopie van de stukken aan de werknemer verstrekken, maar u kunt de werknemer ook uitnodigen om het dossier ter plekke te kunnen inzien. Geeft de werknemer echter de voorkeur aan het ontvangen van een kopie, dan bent u verplicht die te verstrekken. Maar let op: interne notities die bedoeld zijn voor overleg of beraad – bijvoorbeeld van leidinggevenden als voorbereiding op beoordelingsgesprekken – hoeft u niet aan de werknemer te laten zien.

U moet ook de privacyrechten van collega’s beschermen.

Bovendien moet u de privacyrechten van andere werknemers beschermen. Staan er in het dossier van de werknemer bijvoorbeeld ook namen van collega’s, dan doet u er goed aan deze namen door te strepen.

Verwijderen

Naast het recht op inzage kunnen werknemers ook een verzoek indienen voor het verwijderen van bepaalde gegevens uit het personeelsdossier. U bent niet altijd verplicht om aan zo’n verzoek te voldoen. Zolang het noodzakelijk is de betreffende gegevens te bewaren voor het doel waarvoor ze zijn verzameld, mag u het verzoek van de werknemer weigeren. Verzoekt de werknemer om verwijdering of verbetering van feitelijk onjuiste persoonsgegevens, dan moet u uiteraard wel aan dit verzoek gehoor geven.