Privacy op de werkvloer: het personeelsdossier
Een werkgever is verplicht om een personeelsdossier bij te houden en persoonsgegevens vast te leggen. Om de privacy van werknemers te beschermen zijn in de Wet bescherming persoonsgegevens (Wbp) regels opgenomen waaraan je moet voldoen om deze privacygevoelige gegevens op een verantwoorde manier te verwerken.
Uitgangspunt is dat een werkgever personeelsgegevens mag verwerken, en dus een personeelsdossier mag aanleggen als die gegevens noodzakelijk zijn ter uitvoering van de arbeidsovereenkomst of aanstelling (bij ambtenaren).
Persoonsgegevens
Persoonsgegevens is een ruim begrip. Hieronder vallen onder andere de volgende gegevens:
- NAW-gegevens;
- Burgerservicenummer;
- Functie;
- Nationaliteit;
- Bankrekeningnummer.
Deze gegevens mogen verwerkt worden door de werkgever, maar alleen onder strenge voorwaarden. De werkgever bepaalt welke gegevens worden verwerkt en is dan ook degene op wie de meeste verplichtingen rusten. Werkgever is verantwoordelijk voor de juistheid van de gegevens en moet ervoor zorgdragen dat niet meer gegevens in het personeelsdossier verwerkt worden dan noodzakelijk.
Bijzondere gegevens
Sommige gegevens mogen niet verwerkt worden, tenzij de wet daar expliciet de mogelijkheid toe biedt. Voor deze gegevens gelden strengere voorwaarden omdat het gevoelige informatie is waar zorgvuldig mee dient te worden omgegaan. Bijzondere gegevens zijn bijvoorbeeld:
- Het ras;
- De politieke gezindheid;
- De medische gegevens;
- Seksuele voorkeur.
Deze gegevens mogen alleen verwerkt worden door bij Wet bepaalde instanties (bedrijfsarts) of door de werkgever wanneer sprake is van een gerechtvaardigd belang. Een voorbeeld van het verwerken van bijzondere persoonsgegevens is wanneer werkgever een toegangspasje met foto uitreikt aan werknemers. Van de foto op het pasje kan namelijk het ras van de persoon worden afgeleid. Het identificatiebelang kan dan worden gezien als een gerechtvaardigd belang. De inbreuk op de privacy kan noodzakelijk zijn met het oog op de normale bedrijfsvoering. Kan, want in een kleine onderneming zal dit waarschijnlijk minder noodzakelijk zijn dan in een grote onderneming met veel werknemers.
De werkgever is verantwoordelijk voor de juiste verwerking van de persoonsgegevens. Onderdeel daarvan is dat alleen de personen voor wie het noodzakelijk is voor hun werk, zoals de direct leidinggevende of een HR-medewerker, toegang mogen hebben tot het dossier.
Beperk de toegang tot dossiers
De werkgever is verantwoordelijk voor de juiste verwerking van de persoonsgegevens. Onderdeel daarvan is dat alleen de personen voor wie het noodzakelijk is voor hun werk, zoals de direct leidinggevende of een HR-medewerker, toegang mogen hebben tot het dossier. Zij hebben ook een geheimhoudingsplicht die voortvloeit uit de Wbp. Dit geldt alleen niet in situaties waarin zij wettelijk verplicht zijn informatie te delen of waarin dit nodig is om hun taak uit te voeren.
Ook fysiek dient de toegang beperkt te worden. De (papieren) dossiers dienen goed opgeborgen te zijn in een afgesloten kast of ruimte. Vanzelfsprekend geldt ook voor het digitale dossier dat deze goed beveiligd dient te worden en niet toegankelijk mag zijn voor alle werknemers.
Bewaar persoonsgegevens niet te lang
Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Er zijn dus geen wettelijke termijnen vastgesteld op grond van de Wbp. Uit andere wetten zoals de Archiefwet, het Burgerlijk Wetboek en belastingwetgeving volgen onder andere de volgende termijnen:
- 7 jaar: fiscaal relevante gegevens zoals NAW-gegevens, de burgerlijke staat, datum indiensttreding en de salarisadministratie;
- 5 jaar: kopie identiteitsbewijs en loonbelastingverklaringen;
- 2 jaar: arbeidsovereenkomsten en wijzigingen hierin, verslagen van functioneringsgesprekken, getuigschriften, documenten over ontslag.
Inzagerecht en toestemming werknemer
De werknemer heeft, met redelijke tussenpozen, recht op inzage in het personeelsdossier. Als een werknemer hierom verzoekt dan moet je als werkgever binnen vier weken een volledig overzicht van de verwerkte gegevens verstrekken aan de werknemer. De werknemer kan vervolgens verzoeken om verwijdering of wijziging van persoonsgegevens. Jij moet daarop ingaan als de gegevens feitelijk onjuist zijn, niet volledig of als de gegevens niet relevant zijn voor het doel waarvoor ze worden verwerkt.
Nog een punt van aandacht is wanneer de werknemer ondubbelzinnige toestemming heeft gegeven om gegevens te verwerken. Op grond van de Wbp zou je als werkgever de gegevens mogen verwerken. De werknemer staat echter in een financieel afhankelijke relatie tot de werkgever waardoor hij druk kan voelen om toe te stemmen en de mate van bescherming is dan ook groter. Daarom is een algemene instemming, bijvoorbeeld door middel van een bepaling in de arbeidsovereenkomst, niet voldoende en moet heel duidelijk zijn waarvoor toestemming wordt gegeven en voor welk doel de gegevens gebruikt gaan worden. Voorzichtigheid is in deze situatie geboden.
Privacyverordening
Per 25 mei 2018 zal de nieuwe Algemene verordening gegevensbescherming; ook wel de Privacyverordening, in alle lidstaten van de Europese Unie van toepassing zijn. Dat betekent een verdere aanscherping van de privacyregels en niet-naleving van deze regels kan leiden tot forse boetes. De Privacyverordening werkt het recht om te worden vergeten op internet uit. Let dus nu al goed op de bewaartermijnen en bewaar gegevens niet langer dan noodzakelijk. Verzoekt een werknemer om verwijdering van persoons gegevens, ga daar serieus op in en weiger alleen indien sprake is van een wettelijke verplichting of een andere noodzakelijke, prevalerende reden.
Houd onze website in de gaten voor meer informatie over privacy en de Privacyverordening. Nu al vragen over privacy? Bel of neem contact op via het contactformulier!