De Afdeling personeelszaken - De Meern - Utrecht - Renate Popken

Personeelsdossier en privacy, hoe zit dat?

in , ,

Je bent als werkgever verplicht om van alle werknemers een personeelsdossier bij te houden. Je personeel moet erop kunnen vertrouwen dat je zorgvuldig met die gegevens omgaat en dat niet zomaar iedereen erbij kan. Hoe zit het met de privacywetgeving?

Een personeelsdossier bevat privacygevoelige zaken, zoals NAW-gegevens, het burgerservicenummer en salarisinformatie. Deze gegevens zijn uiteraard niet voor iedereen bestemd. Het is dus zaak om ze goed te beschermen en afdoende beveiligingsmaatregelen te nemen. De Wet bescherming persoonsgegevens (Wbp) schrijft voor aan welke verplichtingen je daarbij moet voldoen.

Per 25 mei 2018 geldt er een nieuwe Europese privacywet. Zorg dat je bedrijf aan de eisen voldoet. Steeds meer ondernemers digitaliseren hun personeelsadministratie. Daardoor wordt een goede beveiliging met slimme technologie nog belangrijker. Het risico dat personeelsgegevens door een datalek in verkeerde handen vallen, is immers reëel.

Sinds 1 januari 2016 geldt daarom de meldplicht datalekken. Krijgt je bedrijf te maken met een datalek, dan ben je verplicht om dit te melden bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens).

 

Wat zijn de gevolgen van een datalek?

Zodra het risico bestaat dat persoonsgegevens door onbevoegden worden misbruikt, is er sprake van een datalek.

Een datalek kan voor alle betrokken partijen ernstige gevolgen hebben. Personen van wie de gegevens gelekt zijn, kunnen het slachtoffer worden van gegevensmisbruik of zelfs identiteitsfraude. Is het lek een gevolg van verkeerd beheer van persoonsgegevens of een falende beveiliging? Dan kan de Autoriteit Persoonsgegevens jou als werkgever aansprakelijk stellen. Dat kan je op een bestuurlijke boete komen te staan van maximaal 820.000 euro.

 

Vier vuistregels voor een goede privacy

  1. Neem alleen gegevens op die zijn toegestaan

Er gelden strikte regels voor het aanleggen van een personeelsdossier. Je mag niet zomaar alle informatie over een werknemer in zijn dossier opnemen. De hoofdregel is dat de gegevens die je opneemt echt nodig moeten zijn voor het uitvoeren van de arbeidsovereenkomst en het afdragen van belastingen en premies. Denk bijvoorbeeld aan:

  • burgerservicenummer
  • kopie identiteitsbewijs
  • functieprofiel
  • persoonlijk ontwikkelingsplan (POP)
  • salarisgegevens
  • verlofoverzicht
  • verzuimfrequentie

 

Sommige persoonsgegevens mag je beslist niet vastleggen. Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier.

Ook is het verboden om medische gegevens op te nemen.

 

  1. Beperk de toegang tot het dossier

Het personeelsdossier bevat vertrouwelijke informatie. Je werknemers verwachten van je dat je daar op gepaste wijze mee omgaat. Zorg er daarom voor dat de dossiers in jouw bedrijf niet voor iedereen toegankelijk zijn. Geef alleen toegang aan medewerkers die deze informatie nodig hebben om hun werk goed te kunnen doen, zoals leidinggevenden en medewerkers van Personeelszaken. Vergeet niet om hen erop te wijzen dat zij gebonden zijn aan de geheimhoudingsplicht uit de Wet bescherming persoonsgegevens (Wbp).

 

Iedere werknemer heeft op grond van de Wbp recht op inzage in zijn eigen personeelsdossier. Als een werknemer daarom vraagt, ben je in principe verplicht hieraan mee te werken. Je moet dan binnen vier weken de gevraagde informatie beschikbaar stellen. Een werknemer mag je vragen om gegevens te wijzigen of te verwijderen. Dit hoef je alleen te doen als informatie aantoonbaar onjuist is of niet (meer) relevant voor de arbeidsrelatie.

 

  1. Zorg voor een goede beveiliging

Het beperken van de toegang tot de personeelsdossiers heeft natuurlijk weinig zin als ze – in het geval van papieren dossiers – open en bloot in een kast staan. Zorg dus dat ze goed opgeborgen zijn in een afgesloten kast of kamer, zodat niet iedereen erbij kan.

De beveiliging van digitale dossiers ligt wat ingewikkelder. Uiteraard moet je voorkomen dat de dossiers voor alle personeelsleden toegankelijk zijn via het bedrijfsnetwerk. Sla de bestanden dus op in een beveiligde omgeving of op een aparte server.

Daarnaast is het zaak om de dossiers te beveiligen tegen datalekken naar buiten. Dit risico speelt bijvoorbeeld als de personeelsinformatie van je bedrijf online te raadplegen is. Zorg voor goede firewalls en neem alle technische en organisatorische maatregelen die nodig zijn om hackers en ongewenste bezoekers buiten de deur te houden. Zorg ook dat je medewerkers zich houden aan de regels voor veilig computer- en internetgebruik.

 

  1. Bewaar gegevens niet langer dan nodig

Na beëindiging van een arbeidsovereenkomst met een medewerker is het gebruikelijk dat je zijn dossier nog twee jaar bewaart. Daarna moet je de gegevens verwijderen. Langer bewaren van de persoonsgegevens is niet nodig. Bovendien levert dat bij een mogelijk datalek alleen maar meer risico op ten aanzien van de privacy van de werknemer.

Op deze bewaartermijn zijn een paar uitzonderingen:

  • kopie van het identiteitsbewijs en de loonbelastingverklaringen: minimaal 5 jaar
  • informatie over salaris, arbeidsvoorwaarden en andere fiscale gegevens: minimaal 7 jaar