Privacy in het personeelsdossier: wat mag en wat niet?

 

Dossiervorming is belangrijk. Maar pas op voor de privacy in het personeelsdossier. Sla geen informatie op die er niet in thuis hoort.

Lees verder 

Niemand zit te wachten op schending van de privacy in het personeelsdossier. De Autoriteit Persoonsgegevens (AP) zet op een rij wat er mag worden opgeslagen:

  • klachten;
  • waarschuwingen;
  • verzuimfrequentie;
  • een kopie van het identiteitsbewijs;
  • het burgerservicenummer (BSN);
  • persoonlijke werkaantekeningen van de leidinggevende.

 

Wat te doen met medische gegevens?

Medische gegevens mag een werkgever in principe niet opnemen in het personeelsdossier. Alleen de arbodienst of bedrijfsarts mag deze gegevens verwerken. Ook wanneer de medewerker bij zijn ziekmelding vrijwillig informatie verstrekt over zijn arbeidsongeschiktheid, mag de werkgever dit niet opslaan in het dossier.

Een werkgever mag alleen in het kader van de verzuimbegeleiding van zieke werknemers een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Zoals gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Dat soort gezondheidsgegevens mogen alleen worden vastgelegd nadat daarover een bedrijfsarts of arbodienst is geraadpleegd.


Lees ook: Privacy van zieke werknemer moet worden gerespecteerd 

Wanneer werkgevers informatie over hun medewerkers doorgeven aan de arbodienst, moeten zij de werknemers daarover informeren.

 

Een werkgever mag alleen in het kader van de verzuimbegeleiding een beperkt aantal noodzakelijke medische persoonsgegevens verwerken

 

Rasgegevens in het personeelsdossier

Het vastleggen van rasgegevens riekt al snel naar discriminatie. Toch is het niet áltijd verboden, meldt de AP. Een werkgever mag alleen rasgegevens in het personeelsdossier opnemen als dat nodig is om de werknemer te kunnen identificeren of om een voorkeursbeleid (positieve discriminatie) toe te passen.

 

Identiteit vaststellen
De AP noemt als voorbeeld een bedrijf dat veel werknemers in dienst heeft en hun identiteit wil vaststellen voordat ze het terrein betreden. In dat geval kan de werkgever toegangspasjes met foto’s aan alle werknemers verstrekken. Omdat van de foto op het toegangspasje het ras van de werknemer kan worden afgeleid, is de foto te beschouwen als een rasgegeven.

 

Voorkeursbeleid
Om personeelsleden uit een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen (positieve discriminatie), kan het nodig zijn gegevens over hun geboorteland of dat van hun (groot)ouders op te nemen in hun personeelsdossier.

Dit mag alleen als de werknemer daar geen bezwaar tegen heeft. Als de werknemer schriftelijk bezwaar aantekent tegen het opnemen van rasgegevens, moet de werkgever daar onmiddellijk mee stoppen. De werknemer hoeft geen reden te geven voor zijn bezwaar.

 

In principe moeten de gegevens uit het personeelsdossier maximaal twee jaar nadat de werknemer uit dienst ging worden vernietigd

 

Recht op informatie

Werknemers hebben het recht te weten wat er in hun personeelsdossier staat en waarom deze gegevens zijn opgeslagen. Zij mogen hun dossier inzien en eventuele fouten corrigeren.

Het correctierecht geldt als de gegevens

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

Het recht op informatie is vastgelegd in artikelen 33 en 34 van de Wet bescherming persoonsgegevens. Deze wetsartikelen verplichten degene die persoonsgegevens vastlegt, zelf het initiatief te nemen om de betrokkene hierover te informeren.

 

Gegevens bewaren

Privacy in het personeelsdossier betekent dat gegevens ook niet onbeperkt mogen worden bewaard. In principe moeten de gegevens uit het personeelsdossier maximaal twee jaar nadat de werknemer uit dienst is gegaan worden vernietigd.

 

Fiscale bewaarplicht
Daarop zijn uitzonderingen. Voorbeelden hiervan zijn de loonbelastingverklaring en de kopie van het identiteitsbewijs. Deze vallen onder de fiscale bewaarplicht. Deze moeten daarom vijf jaar worden bewaard.

 

Arbeidsconflict
Soms is het nodig om een personeelsdossier langer te bewaren. Dat is bijvoorbeeld het geval wanneer er sprake is van een arbeidsconflict of wanneer er een rechtszaak loopt.

 

Wetenschappelijke doeleinden
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

 

Onder Europese wetgeving kunnen boetes voor overtredingen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet

 

Bescherming persoonsgegevens

Werknemers moeten erop kunnen vertrouwen dat hun privacy in het personeelsdossier goed beveiligd is. De Wet bescherming persoonsgegevens (WBP) geldt ook voor personeelsdossiers. Dat betekent dat organisaties passende technische en organisatorische maatregelen moeten nemen om de daarin opgeslagen informatie te beschermen.


Lees ook: Personeelsdossiers digitaliseren? Vier aandachtspunten

 

Meldplicht datalekken

De meldplicht datalekken geldt sinds 1 januari 2016. Wanneer organisaties dat zij een ernstig datalek hebben, moeten zij dit melden bij de AP. In sommige gevallen moeten ook de mensen van wie de gegevens op straat liggen worden gewaarschuwd.


Lees ook: Wet meldplicht datalekken niet nageleefd

 

Europese privacywetgeving

De EU werkt aan nieuwe privacywetgeving. De Algemene verordening gegevensbescherming (AVG) gaat in op 25 mei 2018 en geldt als privacywetgeving voor de hele Europese Unie. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.

 

Risico’s in kaart brengen
Onder de AVG kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Daarna moet de betreffende organisatie maatregelen nemen om de risico’s te verkleinen.

Niet alle werkgevers moeten een DPIA uitvoeren. Dit is alleen verplicht wanneer gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

De AP legt uit wanneer een DPIA verplicht is. Dat is in ieder geval zo als een organisatie:
• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Lees ook: 10 stappen naar privacywetgeving

 

hamer wetboek justitie rechtspraak
Lees ook: 'Schoon nu de personeelsdossiers op'

Privacy: vier stappen voor HR

 

Personeelsdossier

6/10
Loading ...