NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Een personeelsdossier staat vol met persoonsgegevens. Het is daarom niet gek dat de Wet bescherming persoonsgegevens (WBP) op personeelsdossiers van toepassing is. Het is belangrijk dat je als organisatie voldoet aan deze wet, want de Autoriteit Persoonsgegevens (AP) kan pittige boetes uitdelen tot wel € 900.000,- wanneer organisaties deze wet aan hun laars lappen.
Maar er staat nogal wat in deze wet. Welke delen van de WBP zijn van toepassing op personeelsdossiers? Ik heb enkele opvallende delen eruit gehaald die belangrijk zijn voor het beheer op personeelsdossiers!
De Wet bescherming persoonsgegevens schrijft voor dat gegevens niet langer bewaard mogen worden dan noodzakelijk is voor het doel waarvoor ze verzameld werden. Dit heeft uiteraard gevolgen voor de bewaartermijn van personeelsdossiers.
Letterlijk staat er in artikel 10, lid 1:
Echter, wat is noodzakelijk? Die vraag is niet in één zin te beantwoorden want dit is niet voor ieder document binnen een personeelsdossier hetzelfde. Op deze pagina lees je alles over de bewaartermijn van personeelsdossiers.
In lid 1 van artikel 11 is te lezen dat een organisatie alleen informatie over personeel mag opslaan indien deze informatie voor het doel toereikend, ter zake en niet bovenmatig is.
Vooral de woorden 'ter zake' en 'niet bovenmatig' geven aan dat je alleen datgene mag opnemen in een personeelsdossier dat relevant is. Meer dan dat is niet toegestaan.
Dus welke gegevens mag je dan niet in een personeelsdossier bewaren? In artikel 16 van de WBP is te lezen dat in principe* alle gevoelige gegevens; zogenaamde ‘bijzondere persoonsgegevens’, niet verwerkt mogen worden. De volgende gegevens mogen volgens de Autoriteit Persoonsgegevens niet gebruikt worden, tenzij daar een wettelijke uitzondering voor is:
*Hierboven staat 'in principe' omdat er een aantal uitzonderingen zijn waarbij bijzondere persoonsgegevens wel verwerkt mogen worden. Zo zijn er bij rasgegevens uitzonderingen bij positieve discriminatie en identificatie (AP noemt pasfoto op een personeelspasje) en mag bijvoorbeeld een kerkgenootschap wel gegevens verwerken over godsdienst en/of levensovertuiging. Voor meer uitzonderingen, zie artikel 17 t/m 23.
Ook in artikel 11, maar in lid 2 is te lezen dat de informatie die verzameld is, ook juist en nauwkeurig hoort te zijn.
Een voor de hand liggende maatregel waaraan je kan denken is HRM selfservice waarbij werknemers de mogelijkheid krijgen om hun eigen gegevens in te zien en eventueel te wijzigen. Je dekt daarmee (deels) ook twee andere punten van de Wet bescherming Persoonsgegevens af, namelijk: het recht op inzien van personeelsdossiers en het recht om gegevens te corrigeren.
Ook de informatiebeveiliging moet op orde zijn. Personeelsdossiers moeten een passend beveiligingsniveau hebben, zo is in artikel 13 te lezen:
Daarnaast stelt de Autoriteit Persoonsgegevens dat de papieren personeelsdossiers pas vernietigd mogen worden wanneer de informatiebeveiliging van digitale dossiers op orde is zoals het beperken van de toegang tot personeelsdossiers.
Meer over informatiebeveiliging en wat je kunt doen vind je in het artikel van mijn collega Laurens. Daarnaast vind je in de white paper In 5 overzichtelijke stappen naar digitale personeelsdossiers allerlei andere tips over het digitaliseren van personeelsdossiers.
De WBP is in januari 2016 aangescherpt met de meldplicht op datalekken. Indien je constateert dat één of meerdere personeelsdossiers (of delen daarvan) onverhoopt in handen terecht zijn gekomen van kwaadwillende, dan ben je verplicht dit te melden. Je bent verplicht om dit te melden aan zowel de betreffende werknemer(s), als de Autoriteit Persoonsgegevens (voorheen bekend als het College bescherming persoonsgegevens).
In je melding aan de werknemer ben je verplicht om te vermelden:
In je melding aan de Autoriteit Persoonsgegevens ben je tevens bovenstaande zaken verplicht. Daarnaast dien je ook te vermelden:
Letterlijk staat er in de WBP het volgende:
Lid 1 van artikel 35 schrijft voor dat medewerkers het recht hebben om een personeelsdossier in te zien wanneer zij daarom vragen. Zoals hierboven al beschreven kan HRM selfservice helpen om dit voor elkaar te krijgen op een manier die niet arbeidsintensief is. De werknemers kunnen met HRM selfservice ten slotte zelf inloggen om hun gegevens in te zien en hoeven dit niet te vragen aan een mederwerker van de HRM-afdeling.
Overigens betekent bovenstaand artikel niet dat een werknemer zomaar het hele personeelsdossier mag inzien. Al in 2011 speelde er rechtzaak tussen ABN AMRO en een werknemer. Deze werknemer deed wegens een arbeidsconflict een verzoek tot het inzien van het volledige personeelsdossier. ABN AMRO weigerde echter om bepaalde correspondentie af te geven. Het ging met name om interne correspondentie omtrent het arbeidsconflict. Het Gerechtshof Amsterdam stelde ABN AMRO op grond van artikel 43e van de WBP in het gelijk. Dit artikel luidt:
Volgens het hof is artikel 35 niet van toepassing op:
Correspondentie tussen medewerkers en de verantwoordelijke, die persoonlijke aantekeningen/gedachten bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad.
Ook verwees het hof naar jurispudentie van de Hoge Raad waaruit blijkt dat artikel 35 van de WBP niet onbeperkt geldt.
Lid 2 van artikel 35 gaat zelfs nog wat verder dan het eerste lid. Indien een werknemer een verzoek doet dan moet je de werknemer ook uitleggen waarom bepaalde gegevens zijn opgeslagen en hoe je aan de gegevens komt (wanneer zij deze niet zelf hebben verstrekt).
Wanneer een werknemer meent dat zijn/haar gegevens niet correct of volledig zijn dan heeft hij/zij het recht om deze gegevens te laten verbeteren, aanvullen of foutieve informatie te laten verwijderen. Met HRM selfservice kunnen werknemers meestal enkele basale gegevens (zoals NAW) zelf aanpassen. Andere gegevens zullen logischerwijs niet zomaar aan te passen zijn door werknemers. In dat geval kan een werknemer een verzoek neerleggen tot het aanpassen van deze gegevens en moet je hier als werkgever gehoor aan geven.
De Wet bescherming persoonsgegevens wordt op 25 mei 2018 vervangen voor de Algemene verordening gegevensbescherming, ofwel AVG. Vanaf dat moment is de privacywetgeving gelijk voor iedere organisatie in Europa. De internationale naam voor deze verordening is General Data Protection Regulation, meestal afgekort naar GDPR.
De AVG gaat op veel punten verder dan de WBP. Er wordt in de AVG met name meer verantwoordelijkheid gelegd bij organisaties om zelf te kunnen aantonen dat men zich aan de wet houdt. Het FD kopte deze maand dat bedrijven in paniek zijn over deze nieuwe Europese privacywet. Een advocaat stelt in het artikel dat organisaties te laat begonnen zijn met de voorbereiding die wel één tot twee jaar in beslag kan nemen!
Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens. Meer over bewaartermijnen en de AVG, lees je in dit artikel.
Natuurlijk staat er nog veel meer in de WBP dat betrekking kan hebben (of heeft) op personeelsdossiers, maar dit waren enkele zaken die mij opvielen. De AVG gaat zoals je hebt kunnen lezen nog verder dan de WBP dus wellicht daarover later meer...
Heb ik iets belangrijks over het hoofd gezien dat direct betrekking heeft op personeelsdossiers? Iedere aanvulling is welkom!
Bron: BCT
© 2024 Gemaakt door Marco Klerks. Verzorgd door
Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!
Wordt lid van BREED - over de grenzen van informatie