Personeelsdossier en privacy, hoe zit dat?

- bijgewerkt op 25 mei 2018
Personeelsdossier en privacy

Als werkgever ben je verplicht om van alle werknemers een personeelsdossier bij te houden. Je personeel moet erop kunnen vertrouwen dat je zorgvuldig met die gegevens omgaat en dat niet zomaar iedereen erbij kan. Hoe zit het met de privacywetgeving?

Personeelsdossier en privacy

Een personeelsdossier bevat privacygevoelige zaken, zoals NAW-gegevens, het burgerservicenummer en salarisinformatie. Deze gegevens zijn uiteraard niet voor iedereen bestemd. Het is dus zaak om ze goed te beschermen en afdoende beveiligingsmaatregelen te nemen.

Let op

Per 25 mei 2018 geldt er een nieuwe Europese privacywet. Zorg dat je bedrijf aan de eisen voldoet. Gebruik de checklist nieuwe privacywet AVG.

Steeds meer ondernemers digitaliseren hun personeelsadministratie. Daardoor wordt een goede beveiliging met slimme technologie nog belangrijker. Het risico dat personeelsgegevens door een datalek in verkeerde handen vallen, is immers reëel. Sinds 1 januari 2016 geldt daarom de meldplicht datalekken. Krijgt je bedrijf te maken met een datalek, dan ben je verplicht om dit te melden bij de Autoriteit Persoonsgegevens.

Wat zijn de gevolgen van een datalek?

Als een hacker je systeem binnendringt en gegevens steelt, heb je te maken met een datalek. Maar ook als iemand fysiek inbreekt in je bedrijf en papieren personeelsdossiers meeneemt, heet dat een datalek. Hetzelfde geldt als je een laptop in de taxi laat staan of een USB-stick kwijtraakt. Kortom: zodra het risico bestaat dat persoonsgegevens door onbevoegden worden misbruikt, is sprake van een datalek.

Een datalek kan voor alle betrokken partijen ernstige gevolgen hebben. Personen van wie de gegevens gelekt zijn, kunnen het slachtoffer worden van gegevensmisbruik of zelfs identiteitsfraude. Is het lek een gevolg van verkeerd beheer van persoonsgegevens of een falende beveiliging? Dan kan de Autoriteit Persoonsgegevens jou als werkgever aansprakelijk stellen. Dat kan je op een bestuurlijke boete komen te staan van vele duizenden euro's.

Vier vuistregels voor een goede privacy

Het is dus van belang om alle zaken rond het personeelsdossier goed te regelen en valkuilen te vermijden. Vier vuistregels die je in het achterhoofd kunt houden:

1. Neem alleen gegevens op die zijn toegestaan

Er gelden strikte regels voor het aanleggen van een personeelsdossier. Je mag niet zomaar alle informatie over een werknemer in zijn dossier opnemen. De hoofdregel is dat de gegevens die je opneemt echt nodig moeten zijn voor het uitvoeren van de arbeidsovereenkomst en het afdragen van belastingen en premies. Denk bijvoorbeeld aan:

  • burgerservicenummer
  • kopie identiteitsbewijs
  • functieprofiel
  • persoonlijk ontwikkelingsplan (POP)
  • salarisgegevens
  • verlofoverzicht
  • verzuimfrequentie

Sommige persoonsgegevens mag je beslist niet vastleggen. Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier. Ook is het verboden om medische gegevens op te nemen.

Tip

De verslagen van functionerings- en beoordelingsgesprekken mag je in een personeelsdossier bewaren. Dat hoeft echter niet: deze verslagen behoren namelijk niet tot de personeelsadministratie.

Welke risico's loop ik?

Wil je weten waar je in jouw bedrijf op moet letten? Een Erkend MKB-adviseur kan je helpen. Hij brengt de risico’s in je bedrijf in kaart en geeft advies om deze te beperken of af te dekken.

Vraag het een adviseur

2. Beperk de toegang tot het dossier

Het personeelsdossier bevat vertrouwelijke informatie. Je werknemers verwachten van je dat je daar op gepaste wijze mee omgaat. Zorg er daarom voor dat de dossiers in jouw bedrijf niet voor iedereen toegankelijk zijn. Geef alleen toegang aan medewerkers die deze informatie nodig hebben om hun werk goed te kunnen doen, zoals leidinggevenden en medewerkers van Personeelszaken. Vergeet niet om hen erop te wijzen dat zij gebonden zijn aan de geheimhoudingsplicht uit de AVG.

Iedere werknemer heeft op grond van de AVG recht op inzage in zijn eigen personeelsdossier. Als een werknemer daarom vraagt, ben je in principe verplicht hieraan mee te werken. Je moet dan binnen vier weken de gevraagde informatie beschikbaar stellen. Een werknemer mag je vragen om gegevens te wijzigen of te verwijderen. Dit hoef je alleen te doen als informatie aantoonbaar onjuist is of niet (meer) relevant voor de arbeidsrelatie.

Tip

Wil je de toegang tot personeelsdossiers in één keer goed regelen, leg dit dan officieel vast in een bedrijfsrichtlijn.

3. Zorg voor een goede beveiliging

Het beperken van de toegang tot de personeelsdossiers heeft natuurlijk weinig zin als ze – in het geval van papieren dossiers – open en bloot in een kast staan. Zorg dus dat ze goed opgeborgen zijn in een afgesloten kast of kamer, zodat niet iedereen erbij kan.

De beveiliging van digitale dossiers ligt wat ingewikkelder. Uiteraard moet je voorkomen dat de dossiers voor alle personeelsleden toegankelijk zijn via het bedrijfsnetwerk. Sla de bestanden dus op in een beveiligde omgeving of op een aparte (online) server.

Daarnaast is het zaak om de dossiers te beveiligen tegen datalekken naar buiten. Dit risico speelt bijvoorbeeld als de personeelsinformatie van je bedrijf online te raadplegen is. Zorg voor goede firewalls en neem alle technische en organisatorische maatregelen die nodig zijn om hackers en ongewenste bezoekers buiten de deur te houden. Zorg ook dat je medewerkers zich houden aan de regels voor veilig computer- en internetgebruik.

4. Bewaar gegevens niet langer dan nodig

Na beëindiging van een arbeidsovereenkomst met een medewerker moet je de gegevens verwijderen zodra ze niet meer noodzakelijk zijn voor je bedrijf. Langer bewaren van de persoonsgegevens mag niet. Bovendien levert dat bij een mogelijk datalek alleen maar meer risico op ten aanzien van de privacy van de werknemer.

Op deze bewaartermijn zijn een paar uitzonderingen:

  • kopie van het identiteitsbewijs en de loonbelastingverklaringen: minimaal 5 jaar
  • informatie over salaris, arbeidsvoorwaarden en andere fiscale gegevens: minimaal 7 jaar

  • Wat als je klanten niet of laat betalen?
  • Of als een klant jou aansprakelijk stelt?

 

Zorg dat jouw zaak blijft bestaan als het even tegenzit.

Bekijk de mogelijkheden

- bijgewerkt op 25 mei 2018

Elke week een update

Wil je nieuws, tips, handige informatie en inspiratie van ons ontvangen? Meld je dan aan voor de nieuwsbrief Ondernemen Met Personeel. Je ontvangt de nieuwsbrief daarna elke week gratis in je mailbox.

 

Ik wil graag gratis tips

* Je hoeft alleen maar je mailadres in te vullen

Ben jij klaar voor (meer) personeel?

X
klaar voor meer personeel

Vul de checklist in en je weet het binnen enkele minuten.

Start

Je ontvangt na afloop een persoonlijk rapport met tips.