Personeelsdossier en privacy
Personeelsdossier en privacy

Personeels­dossier en privacy, hoe zit dat?

Als werkgever ben je verplicht om van alle werknemers een personeels­dossier bij te houden. Je personeel moet erop kunnen vertrouwen dat je zorgvuldig met die gegevens omgaat en dat niet zomaar iedereen erbij kan. Hoe zit het met de privacywetgeving?

Personeel en privacywetgeving

Een personeels­dossier bevat privacygevoelige zaken, zoals NAW-gegevens, het burgerservicenummer en salarisinformatie. Deze gegevens zijn uiteraard niet voor iedereen bestemd.

Het is dus zaak om ze goed te beschermen en afdoende beveiligingsmaatregelen te nemen.

AVG

Per 25 mei 2018 geldt er een nieuwe Europese privacywet. Zorg dat je bedrijf aan de eisen voldoet. Gebruik de checklist nieuwe privacywet AVG.

Digitalisering personeels­administratie

Steeds meer ondernemers digitaliseren hun personeels­administratie. Daardoor wordt een goede beveiliging met slimme technologie nog belangrijker. Het risico dat personeels­gegevens door een datalek in verkeerde handen vallen, is immers reëel.

Meldplicht datalekken

Sinds 1 januari 2016 geldt daarom de meldplicht datalekken. Krijgt je bedrijf te maken met een datalek, dan ben je verplicht om dit te melden bij de Autoriteit Persoons­gegevens.

Wat zijn de gevolgen van een datalek?

Als een hacker je systeem binnendringt en gegevens steelt, heb je te maken met een datalek. Maar ook als iemand fysiek inbreekt in je bedrijf en papieren personeels­dossiers meeneemt, heet dat een datalek. Hetzelfde geldt als je een laptop in de taxi laat staan of een USB-stick kwijtraakt.

Kortom: zodra het risico bestaat dat persoons­gegevens door onbevoegden worden misbruikt, is sprake van een datalek.

Een datalek kan voor alle betrokken partijen ernstige gevolgen hebben. Personen van wie de gegevens gelekt zijn, kunnen het slachtoffer worden van gegevensmisbruik of zelfs identiteitsfraude.

Is het lek een gevolg van verkeerd beheer van persoons­gegevens of een falende beveiliging? Dan kan de Autoriteit Persoons­gegevens jou als werkgever aansprakelijk stellen. Dat kan je op een bestuurlijke boete komen te staan van vele duizenden euro's.

kosten personeel

Krijg grip op personeels­kosten

Lees het gratis whitepaper met daarin de waarde van personeel, alle personeels­kosten op een rij en 5 manieren om te besparen.

Vier vuistregels voor een goede privacy

Het is dus van belang om alle zaken rond het personeels­dossier goed te regelen en valkuilen te vermijden. Vier vuistregels die je in het achterhoofd kunt houden: 

1. Neem alleen gegevens op die zijn toegestaan

Er gelden strikte regels voor het aanleggen van een personeels­dossier. Je mag niet zomaar alle informatie over een werknemer in zijn dossier opnemen.

De hoofdregel is dat de gegevens die je opneemt echt nodig moeten zijn voor het uitvoeren van de arbeids­overeenkomst en het afdragen van belastingen en premies.

Denk bijvoorbeeld aan:

Sommige persoons­gegevens mag je beslist niet vastleggen. Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeels­dossier. Ook is het verboden om medische gegevens op te nemen.

De verslagen van functionerings- en beoordelingsgesprekken mag je in een personeels­dossier bewaren. Dat hoeft echter niet: deze verslagen behoren namelijk niet tot de personeels­administratie.

2. Beperk de toegang tot het personeels­dossier

Het personeels­dossier bevat vertrouwelijke informatie. Je werknemers verwachten van je dat je daar op gepaste wijze mee omgaat. Zorg er daarom voor dat de dossiers in jouw bedrijf niet voor iedereen toegankelijk zijn.

Geef alleen toegang aan medewerkers die deze informatie nodig hebben om hun werk goed te kunnen doen, zoals leidinggevenden en medewerkers van Personeels­zaken.

Vergeet niet om hen erop te wijzen dat zij gebonden zijn aan de geheimhoudingsplicht uit de AVG.

Iedere werknemer heeft op grond van de AVG recht op inzage in zijn eigen personeels­dossier. Als een werknemer daarom vraagt, ben je in principe verplicht hieraan mee te werken. Je moet dan binnen vier weken de gevraagde informatie beschikbaar stellen.

Een werknemer mag je vragen om gegevens te wijzigen of te verwijderen. Dit hoef je alleen te doen als informatie aantoonbaar onjuist is of niet (meer) relevant voor de arbeidsrelatie.

Bedrijfsrichtlijn

Wil je de toegang tot personeels­dossiers in één keer goed regelen, leg dit dan officieel vast in een bedrijfsrichtlijn.

3. Zorg voor een goede beveiliging van personeels­dossiers

Het beperken van de toegang tot de personeels­dossiers heeft natuurlijk weinig zin als ze – in het geval van papieren dossiers – open en bloot in een kast staan. Zorg dus dat ze goed opgeborgen zijn in een afgesloten kast of kamer, zodat niet iedereen erbij kan.

Digitale dossiers

De beveiliging van digitale dossiers ligt wat ingewikkelder. Uiteraard moet je voorkomen dat de dossiers voor alle personeels­leden toegankelijk zijn via het bedrijfsnetwerk. Sla de bestanden dus op in een beveiligde omgeving of op een aparte (online) server.

Daarnaast is het zaak om de dossiers te beveiligen tegen datalekken naar buiten. Dit risico speelt bijvoorbeeld als de personeels­informatie van je bedrijf online te raadplegen is.

Zorg voor goede firewalls en neem alle technische en organisatorische maatregelen die nodig zijn om hackers en ongewenste bezoekers buiten de deur te houden. Zorg ook dat je medewerkers zich houden aan de regels voor veilig computer- en internetgebruik.

4. Bewaar gegevens niet langer dan nodig

Na beëindiging van een arbeids­overeenkomst met een medewerker moet je de gegevens verwijderen zodra ze niet meer noodzakelijk zijn voor je bedrijf. Langer bewaren van de persoons­gegevens mag niet. Bovendien levert dat bij een mogelijk datalek alleen maar meer risico op ten aanzien van de privacy van de werknemer.

Uitzonderingen bewaartermijn

Op deze bewaartermijn zijn een paar uitzonderingen:

  • kopie van het identiteitsbewijs en de loonbelastingverklaringen: minimaal 5 jaar
  • informatie over salaris, arbeidsvoorwaarden en andere fiscale gegevens: minimaal 7 jaar

Niet klaar voor personeel

Heb je personeel in dienst?

Dat is goed nieuws, want daarmee bouw je aan de continuïteit van je bedrijf. Met dit pakket aan personeels­­verzekeringen dek je de risico’s af en zorg je goed voor je personeel.

Meest gelezen

AVG en zieke werknemer, wat zijn de regels?

De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van gegevens van zieke werknemers. Wat mag jij als werkgever van een zieke werknemer vragen en vastleggen? En wat mag niet?

Hoe lang bewaar je werknemers­gegevens en personeels­dossiers?

In de loop van de tijd verzamel je als werkgever veel informatie over je werknemers. Hoe lang mag je die gegevens eigenlijk bewaren? Of, in sommige gevallen: hoe lang moet je werknemers­gegevens en personeels­dossiers bewaren? Lees meer over de wettelijke bewaartermijn en bewaarplicht.

5 valkuilen van een personeels­dossier

Het personeels­dossier: hoofdpijndossier? Welnee, houd je aan de regels en zorg ervoor dat het dossier van je werknemer up-to-date is. Stap in ieder geval niet in deze vijf valkuilen.

Whitepapers en online tests