Persoonsgegevens werknemers, personeelsdossier en regels AVG
In de diverse fasen tussen in– en uitdiensttreding van werknemers heb je te maken met persoonsgegevens. Hoe ga je daar volgens de AVG-regels goed mee om?
Documenten en persoonsgegevens voor de Belastingdienst mogen maximaal 7 jaar worden bewaard, zoals arbeidsovereenkomst(en), declaraties, doelgroepenverklaringen, loonstroken en jaaropgaven. Het ID-bewijs mag maximaal 5 jaar worden bewaard. En gegevens in verband met een potentiële of lopende juridische procedure en dan zolang als die procedure loopt of in verband met de afwikkeling ervan.
Bewaartermijn van 2 jaar
Voor overige persoonsgegevens in verband met een dienstverband geldt in principe een bewaartermijn van 2 jaar. Denk hierbij bijvoorbeeld aan diploma’s, urenlijsten, de verlofuren administratie, ziekteverzuimdocumenten en verslagen van functionerings- en beoordelingsgesprekken.
Alle genoemde termijnen starten na de uitdiensttredingsdatum, maar soms ook al gedurende het loondienstverband, zoals loonstroken daterend uit een periode van 7 jaar of langer geleden.
Persoonsgegevens sollicitant
De werkgever of HR-functionaris mag in de fase van de werving & selectie persoonsgegevens van sollicitanten maximaal 4 weken bewaren en met schriftelijke toestemming van de sollicitant maximaal 12 maanden (deze periode kan met steeds nieuwe toestemming voor dezelfde duur worden verlengd). Zonder toestemming een cv langer dan 4 weken in portefeuille houden, is volgens de AVG dus niet toegestaan.
Verklaring Omtrent Gedrag (VOG)
In bepaalde sectoren, zoals de kinderopvang, mag alleen worden gewerkt met een Verklaring omtrent gedrag (VOG). Vanwege de gevoelige informatie daarin en de impact voor betrokkene als dat document zelf of gegevens daaruit in handen komen van onbevoegden, vraagt het ontvangen en het intern niet verder delen dan strikt noodzakelijk en bewaren ervan grote zorgvuldigheid.
Loonbeslag
Hetzelfde geldt ten aanzien van loonbeslag, waarmee werkgevers te maken kunnen hebben of krijgen. Het delen ervan, zowel intern als bijvoorbeeld met de salarisadministratie of een adviseur, moet bovendien zorgvuldig, minimalistisch en beveiligd gebeuren.
Geen BSN
Let op: in arbeids-, uitzend-, stage- en vrijwilligerscontracten mag op basis van de AVG het (bijzondere) persoonsgevens BSN niet worden opgenomen.
Personeelsdossier
De werkgever heeft een aantal verplichtingen en verantwoordelijkheden ten aanzien van het personeelsdossier want daarin zijn:
- Persoonsgegevens juist en nauwkeurig vastgelegd;
- Alleen persoonsgegevens opgenomen die ter zake doen; en
- Niet meer persoonsgegevens opgenomen dan strikt noodzakelijk.
Verder moeten werkgevers in het kader van personeelsdossiers:
- De schriftelijke toestemming van hun medewerkers bewaren en waar en zodra nodig actualiseren met een bijgewerkte toestemmingsverklaring;
- Medewerkers informeren over tenminste welke persoonsgegevens zij verzamelen, voor welke doeleinden en op basis van welke rechtsgrond, hoe vanzelfsprekend een en ander wellicht ook lijkt;
- Persoonsgegevens passend beveiligen, zodat die niet verloren (kunnen) raken of in verkeerde handen (kunnen) terechtkomen;
- Persoonsgegevens verwijderen of vernietigen zodra het bewaren ervan niet langer verplicht of noodzakelijk is;
- Medewerkers de mogelijkheid bieden hun gegevens in te zien – wat in principe voor het gehele personeelsdossier geldt – en eventueel ook te rectificeren, te beperken of te verwijderen;
- Medewerkers wijzen op het recht van bezwaar bij de verwerking van gegevens op grond van hun eventuele gerechtvaardigd belang daarbij;
- Medewerkers de mogelijkheid bieden hun recht op dataportabiliteit uit te oefenen, wat bijvoorbeeld aan de orde is bij wisseling van werkgever.
Wel en wee werknemers
De AVG verbiedt het op onbevoegde plaatsen hanteren van privéadressenlijsten, het delen binnen de organisatie van bijvoorbeeld de verjaardagen of jubilea van medewerkers, hoe gebruikelijk en wenselijk dat in het kader van meeleven en onderlinge betrokkenheid ook is. AVG-technisch mag dat delen wel als de medewerkers daarvoor schriftelijk toestemming hebben gegeven.
Vaak wordt ook (de aard van) ziekte intern bekend gemaakt in het bedrijf of op de betreffende afdeling en dat verbiedt de AVG, ook omdat de werkgever er niet van uit mag gaan dat de medewerker impliciet toestemming heeft gegeven doordat hij er bijvoorbeeld geen bezwaar tegen maakt.
Tip Persaldi
Binnen onze software van Loket.nl hebben wij de optimale oplossing met het werknemer- en werkgeversdossier. Veel van onze klanten maken hier gebruik van en slapen rustig.