Wat mag een werkgever in het personeelsdossier opslaan?
Een werkgever slaat doorgaans informatie op over het personeel, digitaal of in een papieren dossier. Maar welke informatie mag worden bewaard en welke informatie is privé?
Per 25 mei 2018 treedt een nieuwe wet in werking, de Algemene Verordening Gegevensbescherming (AVG). Deze wet komt in de plaats van de Wet Bescherming Persoonsgegevens. Het betreft Europese wetgeving. Iedere organisatie die persoonsgegevens verwerkt, moet kunnen laten zien op welke manier hij deze gegevens verwerkt. Hiertoe zal iedere organisatie die persoonsgegevens verwerkt, passende en effectieve maatregelen moeten uitvoeren.
Volgens de AVG mag een werkgever niet alles bewaren, alleen het noodzakelijke.
De wet zegt dat persoonsgegevens alleen mogen worden “verwerkt” (dat betekent dat ze mogen worden verzameld, opgeslagen, gewijzigd of vernietigd) als er een verwerkingsdoeleinde is.Waar kunt u dan aan denken? Een getekende arbeidsovereenkomst, de functieomschrijving, verslagen van functionerings- of beoordelingsgesprekken, bankgegevens, het Burgerservicenummer en een kopie van een identiteitsbewijs, evenals gegevens over verzuim (zij het beperkt). Deze gegevens heeft een werkgever nodig aan zijn verplichtingen te kunnen voldoen.
Een werkgever mag geen bijzondere persoonsgegevens opslaan, zoals gegevens over ras of seksuele voorkeur, politieke of religieuze opvattingen. Dat geldt ook als die niet direct benoemd worden, maar eenvoudig te herleiden zijn tot die persoon.
Voor het opslaan van bijzondere persoonsgegevens gelden extra eisen:
- Er moet een verwerkingsdoeleinde zijn;
- Er moet toestemming zijn van een (vooraf geïnformeerde) werknemer;
- Verwerking is noodzakelijk voor de uitvoering van specifieke verplichtingen uit het arbeidsrecht, CAO of sociale zekerheid. Zo mag de werkgever wel de gegevens omtrent de zwangerschap van een werkneemster opslaan om aan UWV door te geven.
Gegevens omtrent verzuim mogen worden verwerkt, maar een werkgever mag niet vragen wat een medewerker precies mankeert. Toegestaan is te vragen waar iemand verblijft, hoe lang hij denkt weg te blijven, of het een arbeidsongeval betreft of een verkeersongeval. Medische gegevens mogen niet worden bewaard door de werkgever, ook niet als de werknemer die informatie zelf geeft.
Als de werkgever gebruik maakt van een externe partij (bijvoorbeeld een ICT bedrijf, bedrijfsarts, verzekeringsmaatschappij), dan moet daarmee dan een zogenoemde bewerkersovereenkomst worden gesloten. Het is belangrijk dat er afspraken gemaakt worden over geheimhouding en het treffen van passende technische en organisatorische beveiligingsmaatregelen (pseudonimiteit en versleuteling van persoonsgegevens, het hanteren van een goed wachtwoordenbeleid et cetera). Er moet bovendien een register bijgehouden worden van de verwerkingsactiviteiten (de documentatieplicht). Datalekken moeten worden gemeld.
In de praktijk zal het betekenen dat werkgevers personeelsdossiers moeten opschonen. Zo is er geen algemeen verwerkingsdoel om gegevens van de partner van een werknemer op te slaan, tenzij er bijvoorbeeld een noodzaak is voor een pensioen of verzekering. Als de werkgever in geval van nood contact wil kunnen opnemen met de partner van het personeelslid, dan moet de werknemer om expliciete toestemming gevraagd worden. Het opslaan van de namen en geboortedata van de kinderen is mogelijk noodzakelijk voor de uitvoering van ouderschapsverlof. Is het kind ouder, dan is verwerking van de gegevens niet toegestaan. Ook algemene informatie, zoals gegevens van vorige werkgevers, hobby’s, en andere gegevens die niet gekoppeld zijn aan de functie of een verwerkingsdoel mogen niet worden bewaard, tenzij met expliciete toestemming van de werknemer.
De Autoriteit Persoonsgegevens kan hoge boetes uitdelen wanneer men zich niet houdt aan de regels.