De Wet bescherming persoonsgegevens en het personeelsdossier, dit moet je weten


21 augustus 2017 / avg persoonsgegevens personeelsdossier

Een personeelsdossier staat vol met persoonsgegevens. Het is daarom niet gek dat de Wet bescherming persoonsgegevens (WBP) op personeelsdossiers van toepassing is. Het is belangrijk dat je als organisatie voldoet aan deze wet, want de Autoriteit Persoonsgegevens (AP) kan pittige boetes uitdelen tot wel € 900.000,- wanneer organisaties deze wet aan hun laars lappen.

 

Dat de privacy wetgeving niet bij iedere HR-professional even hoog op het prioriteitslijstje staat, blijkt uit het jaarlijks onderzoek van ADP en Berendschot onder duizend HR-professionals. Uit dit onderzoek blijkt onder andere dat de privacywetgeving niet stijgt op het prioriteitenlijstje en dat een deel van de HR-professionals onbekend is met de wetgeving of de aanscherping ervan in 2016. Een verontrustende situatie, zeker wanneer je je bedenkt dat de nieuwe Europese privacywetgeving eraan komt in mei 2018.

 

Daarom in dit artikel: de delen van de Wet bescherming persoonsgegevens die impact hebben op personeelsdossiers en waarop je zou moeten acteren!

 

Bewaartermijn persoonsgegevens

De Wet bescherming persoonsgegevens schrijft voor dat gegevens niet langer bewaard mogen worden dan noodzakelijk is voor het doel waarvoor ze verzameld werden. Dit heeft uiteraard gevolgen voor de bewaartermijn van personeelsdossiers.

 

Letterlijk staat er in artikel 10, lid 1:

 

bewaartermijn-persoonsgegevens-wbp-bct

Echter, wat is noodzakelijk? Die vraag is niet in één zin te beantwoorden want dit is niet voor ieder document binnen een personeelsdossier hetzelfde. Op deze pagina lees je alles over de bewaartermijn van personeelsdossiers.

 

Niet meer gegevens dan noodzakelijk

In lid 1 van artikel 11 is te lezen dat een organisatie alleen informatie over personeel mag opslaan indien deze informatie voor het doel toereikend, ter zake en niet bovenmatig is.

Vooral de woorden 'ter zake' en 'niet bovenmatig' geven aan dat je alleen datgene mag opnemen in een personeelsdossier dat relevant is. Meer dan dat is niet toegestaan. 

 

artikel-11-wbp-bct

 

Dus welke gegevens mag je dan niet in een personeelsdossier bewaren? In artikel 16 van de WBP is te lezen dat in principe* alle gevoelige gegevens; zogenaamde ‘bijzondere persoonsgegevens’, niet verwerkt mogen worden. De volgende gegevens mogen volgens de Autoriteit Persoonsgegevens niet gebruikt worden, tenzij daar een wettelijke uitzondering voor is:

 

  • Godsdienst
  • Levensovertuiging
  • Gezondheid (medische gegevens)
  • Ras
  • Seksuele leven (bijvoorbeeld seksuele geaardheid)
  • Politieke gezindheid
  • Lidmaatschap vakvereniging
  • Strafrechtelijk of onrechtmatig of hinderlijk gedrag (in verband met een opgelegd verbod)

 

verwerking-bijzondere-persoonsgegevens-wbp-bct

*Hierboven staat 'in principe' omdat er een aantal uitzonderingen zijn waarbij bijzondere persoonsgegevens wel verwerkt mogen worden. Zo zijn er bij rasgegevens uitzonderingen bij positieve discriminatie en identificatie (AP noemt pasfoto op een personeelspasje) en mag bijvoorbeeld een kerkgenootschap wel gegevens verwerken over godsdienst en/of levensovertuiging. Voor meer uitzonderingen, zie artikel 17 t/m 23

 

Personeelsdossiers moeten juist en nauwkeurig zijn

Ook in artikel 11, maar in lid 2 is te lezen dat de informatie die verzameld is, ook juist en nauwkeurig hoort te zijn.

 

 

 

personeelsgegevens-juist-nauwkeurig-2-bct

Een voor de hand liggende maatregel waaraan je kan denken is HRM selfservice waarbij werknemers de mogelijkheid krijgen om hun eigen gegevens in te zien en eventueel te wijzigen. Je dekt daarmee (deels) ook twee andere punten van de Wet bescherming Persoonsgegevens af, namelijk: het recht op inzien van personeelsdossiers en het recht om gegevens te corrigeren.

 

Persoonsgegevens moeten beveiligd zijn

Ook de informatiebeveiliging moet op orde zijn. Personeelsdossiers moeten een passend beveiligingsniveau hebben, zo is in artikel 13 te lezen:

 

informatiebeveiliging-personeelsdossiers-bct

 

Daarnaast stelt de Autoriteit Persoonsgegevens dat de papieren personeelsdossiers pas vernietigd mogen worden wanneer de informatiebeveiliging van digitale dossiers op orde is zoals het beperken van de toegang tot personeelsdossiers.

Meer over informatiebeveiliging en wat je kunt doen vind je in het artikel van mijn collega Laurens. Daarnaast vind je in de white paper In 5 overzichtelijke stappen naar digitale personeelsdossiers allerlei andere tips over het digitaliseren van personeelsdossiers.

 

Meldplicht datalekken

De WBP is in januari 2016 aangescherpt met de meldplicht op datalekken. Indien je constateert dat één of meerdere personeelsdossiers (of delen daarvan) onverhoopt in handen terecht zijn gekomen van kwaadwillende, dan ben je verplicht dit te melden.  Je bent verplicht om dit te melden aan zowel de betreffende werknemer(s), als de Autoriteit Persoonsgegevens (voorheen bekend als het College bescherming persoonsgegevens).

In je melding aan de werknemer ben je verplicht om te vermelden:

  • Wat de aard is van de inbreuk.
  • Waar hij/zij terecht kan voor meer informatie over de inbreuk.
  • De aanbevolen maatregelen om de negatieve gevolgen zoveel mogelijk te beperken.

In je melding aan de Autoriteit Persoonsgegevens ben je tevens bovenstaande zaken verplicht. Daarnaast dien je ook te vermelden:

  • Wat de geconstateerde en vermoedelijke gevolgen zijn van de inbreuk.
  • Welke maatregelen je hebt getroffen (of voorstelt te treffen) om de gevolgen te verhelpen.

Letterlijk staat er in de WBP het volgende:

 

datalek-melden-34-bct

 

 

Personeelsdossier inzien 

Lid 1 van artikel 35 schrijft voor dat medewerkers het recht hebben om een personeelsdossier in te zien wanneer zij daarom vragen. Zoals hierboven al beschreven kan HRM selfservice helpen om dit voor elkaar te krijgen op een manier die niet arbeidsintensief is. De werknemers kunnen met HRM selfservice ten slotte zelf inloggen om hun gegevens in te zien en hoeven dit niet te vragen aan een mederwerker van de HRM-afdeling.

 

personeelsdossiers-inzien-inzagerecht-35-bct

 

Inzagerecht geldt niet onbeperkt

Overigens betekent bovenstaand artikel niet dat een werknemer zomaar het hele personeelsdossier mag inzien. Al in 2011 speelde er rechtzaak tussen ABN AMRO en een werknemer. Deze werknemer deed wegens een arbeidsconflict een verzoek tot het inzien van het volledige personeelsdossier. ABN AMRO weigerde echter om bepaalde correspondentie af te geven. Het ging met name om interne correspondentie omtrent het arbeidsconflict. Het Gerechtshof Amsterdam stelde ABN AMRO op grond van artikel 43e van de WBP in het gelijk. Dit artikel luidt:

 

wbp-43e-bct

 

 

Volgens het hof is artikel 35 niet van toepassing op:

Correspondentie tussen medewerkers en de verantwoordelijke, die persoonlijke aantekeningen/gedachten bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad.

Ook verwees het hof naar jurispudentie van de Hoge Raad waaruit blijkt dat artikel 35 van de WBP niet onbeperkt geldt.

 

Informeren over waarom gegevens verzameld worden

Lid 2 van artikel 35 gaat zelfs nog wat verder dan het eerste lid. Indien een werknemer een verzoek doet dan moet je de werknemer ook uitleggen waarom bepaalde gegevens zijn opgeslagen en hoe je aan de gegevens komt (wanneer zij deze niet zelf hebben verstrekt).

 

 

waarom-gegevens-verzameld-worden-2-bct

 

Recht om persoonsgegevens te corrigeren

Wanneer een werknemer meent dat zijn/haar gegevens niet correct of volledig zijn dan heeft hij/zij het recht om deze gegevens te laten verbeteren, aanvullen of foutieve informatie te laten verwijderen. Met HRM selfservice kunnen werknemers meestal enkele basale gegevens (zoals NAW) zelf aanpassen. Andere gegevens zullen logischerwijs niet zomaar aan te passen zijn door werknemers. In dat geval kan een werknemer een verzoek neerleggen tot het aanpassen van deze gegevens en moet je hier als werkgever gehoor aan geven.

 

 

recht-corrigeren-persoonsgegevens-36-bct

 

WBP wordt vervangen door AVG

De Wet bescherming persoonsgegevens wordt op 25 mei 2018 vervangen voor de Algemene verordening gegevensbescherming, ofwel AVG. Vanaf dat moment is de privacywetgeving gelijk voor iedere organisatie in Europa. De internationale naam voor deze verordening is General Data Protection Regulation, meestal afgekort naar GDPR.

 

De AVG gaat op veel punten verder dan de WBP. Er wordt in de AVG met name meer verantwoordelijkheid gelegd bij organisaties om zelf te kunnen aantonen dat men zich aan de wet houdt. Het FD kopte deze maand dat bedrijven in paniek zijn over deze nieuwe Europese privacywet. Een advocaat stelt in het artikel dat organisaties te laat begonnen zijn met de voorbereiding die wel één tot twee jaar in beslag kan nemen!

 

Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens. Meer over bewaartermijnen en de AVG, lees je in dit artikel.

 

Succes met het naleven van de WBP en de voorbereiding op de AVG!

Natuurlijk staat er nog veel meer in de WBP dat betrekking kan hebben (of heeft) op personeelsdossiers, maar dit waren enkele zaken die mij opvielen. De AVG gaat zoals je hebt kunnen lezen nog verder dan de WBP dus wellicht daarover later meer...

 

Heb ik iets belangrijks over het hoofd gezien dat direct betrekking heeft op personeelsdossiers? Iedere aanvulling is welkom!