AVG en personeelsdossier

De AVG, HRM en uw personeelsdossier

De nieuwe privacy wet, de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei a.s. ingaat, heeft ook betrekking op HRM en uw personeelsdossiers. Het is nú een goed moment om te checken hoe u met personeelsgegevens omgaat én hoe u ermee om moet gaan.


De AVG en personeelsdossier

Voor degene die het is ontgaan … De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet die per 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal wordt deze wet ook de General Data Protection Regulation (GDPR) genoemd. De officiële wettekst kunt u hier downloaden.

Wat zijn persoonsgegevens?

Ieder gegeven of elke informatie over een specifiek natuurlijke persoon. Het gaat dan om informatie die óf rechtstreeks over iemand gaat, óf waaruit een bepaald persoon is te herleiden.

Voorbeelden van persoonsgegevens

Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze bijzondere persoonsgegevens zijn door de wetgever extra beschermd.

De AVG, HRM en het personeelsdossier

U heeft van uw werknemers een aantal persoonsgegevens nodig; dat is duidelijk. Zodra u deze gegevens ergens opslaat, valt u onder de AVG. Handelingen zoals , opslaan, raadplegen, verwijderen, enz. vallen onder het begrip “verwerken” van de AVG.

De AVG zegt dat u alleen persoonsgegevens mag verwerken als daarvoor een wettelijke grondslag bestaat. De AVG geeft aan dat u alleen gegevens mag opslaan/verwerken als u daarvoor een goede -in de wet genoemde- reden heeft.

Een wettelijke grondslag voor het verwerken van persoonsgegevens

U mag de persoonsgegevens van uw werknemer verwerken in geval:

  • de betrokkene toestemming heeft verleend;
  • er een wettelijke verplichting is;
  • er sprake is van een overeenkomst met betrekking tot het verwerken van deze gegevens;
  • er vitale belangen in spel zijn (hiervan is sprake als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen);
  • er een gerechtvaardigd belang is;
  • het algemeen belang wordt gediend.

U heeft als werkgever verschillende redenen waarom u persoonsgegevens verwerkt. Zo is er de identificatieplicht, de verplichting om salaris uit te betalen aan de juiste persoon, u wil persoonsgegevens verstrekken aan uw verzekeringsmaatschappij, aan de bedrijfsarts, enz. U behoort te voldoen aan allerlei regels (wettelijke grondslagen), maar opgelet! Er zijn speciale regels.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of bijvoorbeeld het lidmaatschap van een vakbond blijken. Andere bijzondere gegevens zijn genetische en biometrische gegevens (wat betekent dit?) die direct herleidbaar zijn tot één persoon, gegevens over de gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Tip van Al-lex. Uit de foto van uw medewerker kan het ras of de etnische afkomst blijken. Een (pas)-foto is dus een bijzonder persoonsgegeven dat u niet zomaar mag opslaan of gebruiken. Als u een smoelenboek wil maken voor uw medewerkers, is het dus verstandig om de medewerkers om toestemming te vragen voor het gebruik van hun foto.

Wanneer is verwerking toegestaan? Verwerking van bijzondere persoonsgegevens mag alleen als dit strikt noodzakelijk is en:

  • de medewerker expliciet toestemming heeft gegeven en het verwerkingsdoeleind hem op voorhand duidelijk is gemaakt; of
  • de verwerking noodzakelijk is voor de uitvoering van specifieke verplichtingen op het gebied van arbeidsrecht of socialezekerheidsrecht of verplichtingen die voortvloeien uit een cao.

Bekijk dus welke gegevens u verzamelt en waarom

U verzamelt best veel gegevens van uw personeel. Om er een aantal te noemen:

  • Personalia
  • Burgerservicenummer (BSN)
  • (wellicht) Gegevens van een partner en van mogelijke kinderen
  • NAW-gegevens, telefoonnummers en e-mailadres(sen)
  • Bankrekening met IBAN
  • Ziekteverzuim gegevens
  • Foto (voor in het personeelsdossier, smoelenboek, op de website, enz.)
  • Kopie identiteitsbewijs
  • Functioneringsgesprekkenverslagen
  • Gegevens over vorige werkgevers, stageplaatsen, opleidingen en diploma’s, gevolgde cursussen, trainingen, workshops en seminars
  • Hobby’s, vrijwilligerswerk en sociale mediapagina’s

Tip van Al-lex. Gebruik onze checklist om te bepalen welke gegevens u wanneer wel en niet mag verzamelen.

Wat verder nog speelt

Met de huidige, maar zeker ook met de nieuwe privacywet spelen zijn nog een aantal andere zaken van belang:

Een verwerkingsregister. De AVG schrijft voor dat elke onderneming inventariseert welke gegevens door wie en hoe verwerkt worden. Dat geldt ook voor personeelsgegevens. De wet maakt een onderscheid tussen bedrijven met méér en met minder dan 250 werknemers.

  • Meer dan 250 werknemers. Bedrijven met méér dan 250 medewerkers moeten een verwerkingsregister bijhouden.
  • Minder dan 250 werknemers. Werken er minder dan 250 mensen dan moet u in kaart brengen wat voor gegevens u verwerkt. Verwerkt u die gegevens structureel of heeft de verwerking een hoog risico, dan moet u een verwerkingsregister bijhouden.

Het verwerkingsregister moet u bij controle door de Autoriteit Persoonsgegevens onmiddellijk kunnen laten zien.

Beveiligingsplicht. U bent verplicht om technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Denk aan o.a. een afsluitbare dossierkast, een kluis en ook aan een beveiligde internetverbinding met degene die uw salarisadministratie verzorgt.

Meldplicht datalekken. Sinds 1 januari 2016 kennen we in Nederland de meldplicht datalekken. Datalekken ontstaan bijvoorbeeld bij verliezen of diefstal van een telefoon of laptop, het e-mailen van persoonsgegevens, kwijtgeraakte post, hacking, enz.

De functionaris persoonsgegevens (FG). De AVG stelt zo’n functionaris verplicht bij:

  • overheden en publieke organisaties;
  • bedrijven die op grote schaal personen observeren;
  • bedrijven die op grote schaal bijzondere gegevens verwerken.

De bewaartermijn. Gaat een werknemer uit dienst houdt u dan aan de wettelijke bewaartermijnen. Volgens de belastingwet is dat 7 jaar. Voor niet-fiscale gegevens houdt het beste de richtlijn van 2 jaar aan.

Dataminimalisatie. U mag alleen bewaren wat noodzakelijk is. Als u zich houdt aan de checklist, dan verzamelt u niet meer dan noodzakelijk.

Handige hulpbronnen

Al met al een heel gedoe. Wilt u er meer over weten, dan kunt u bij o.a. de volgende instanties terecht:

Al-lex Arbeidsrecht & Mediation
Autoriteit Persoonsgegevens
De AVG Regelhulp
Veilig internetten


Tip van Al-lex. Bewaar in uw personeelsdossier alleen die persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst. Hanteer daarbij onze checklist. Hulp en/of advies nodig? Neem contact op!