Wat zijn de regels voor privacy in het personeelsdossier?
Een goed personeelsdossier is belangrijk. Daar hoort ook aandacht voor de privacy van de betreffende medewerker bij. Let er dus op dat je deze privacy niet schendt.
Volgens de Autoriteit Persoonsgegevens (AP) mag je de volgende gegevens wel opnemen in een personeelsdossier:
- klachten;
- waarschuwingen;
- verzuimfrequentie;
- persoonlijke werkaantekeningen van de leidinggevende;
- kopie van het identiteitsbewijs.
Medische gegevens
Als werkgever mag je medische gegevens in principe niet opnemen in het personeelsdossier. Alleen een arbodienst of bedrijfsarts mag deze gegevens verwerken. Je mag wel vanwege ziekteverzuimbegeleiding enkele, noodzakelijke medische persoonsgegevens verwerken. Denk aan gegevens over de verwachte verzuimduur en de mate van arbeidsongeschiktheid van een werknemer. Dergelijke medische gegevens mag je alleen vastleggen nadat je daarover een bedrijfsarts of arbodienst hebt geraadpleegd.
Positieve discriminatie
Het werken met rasgegevens gaat al snel richting discriminatie. Het is echter volgens de AP niet altijd verboden. Je mag rasgegevens in het personeelsdossier opnemen als dat noodzakelijk is voor identificatie van de werknemer of voor een voorkeursbeleid (positieve discriminatie). Hierbij geeft de AP als voorbeeld een bedrijf met veel werknemers in dienst dat hun identiteit wil bepalen voordat ze op het terrein komen. Het bedrijf kan dan toegangspasjes met foto’s aan alle werknemers geven. Van de foto op het toegangspasje kan je het ras van de werknemer afleiden en daarom kan je de foto zien als een rasgegeven.
Voor positieve discriminatie van medewerkers uit een etnische of culturele minderheidsgroep kan het nodig zijn om gegevens over hun geboorteland of dat van hun (groot)ouders in het personeelsdossier op te nemen. Dat kan alleen als de medewerker hier geen bezwaar tegen heeft. Tekent hij of zij schriftelijk bezwaar aan tegen de verwerking van rasgegevens, dan moet je daar meteen mee stoppen. Daarbij hoeft de werknemer geen reden te geven voor zijn bezwaar.
Recht op inzage personeelsgegevens
Verder hebben werknemers recht op inzage in hun personeelsdossier en mogen ze weten waarom je bepaalde gegevens hebt bewaard. Ook mogen ze eventuele fouten corrigeren. Dit recht op correctie geldt als de gegevens:
- feitelijk onjuist zijn;
- onvolledig zijn of niet relevant zijn voor het doel waarvoor ze zijn verzameld;
- op een andere manier strijdig zijn met een wet.
Bewaartermijn
Vanwege privacy mag je de gegevens in het personeelsdossier ook niet onbeperkt bewaren. In principe moet je de gegevens in het personeelsdossier maximaal twee jaar nadat het dienstverband is beëindigd, vernietigen. Hiervoor gelden uitzonderingen zoals de loonbelastingverklaring en de kopie van het identiteitsbewijs. Deze moet je vijf jaar bewaren vanwege de fiscale bewaarplicht. Soms moet je een personeelsdossier langer bewaren, bijvoorbeeld bij een arbeidsconflict of rechtszaak.
Datalek voorkomen
De privacygegevens van je werknemers moeten goed beveiligd zijn op basis van de Wet bescherming persoonsgegevens (Wbp). Je moet daarom gepaste technische en organisatorische maatregelen treffen om de in personeelsdossiers opgeslagen informatie te beveiligen. Sinds 1 januari 2016 geldt een meldplicht datalekken. Hebben organisaties een ernstig datalek dan moeten zij dit melden bij de AP. Daarbij moeten ze soms ook de mensen waarschuwen van wie de gegevens in verkeerde handen zijn gevallen.
Nieuwe privacywetgeving EU
De Europese Unie (EU) stelt nieuwe privacywetgeving op. Het gaat om de Algemene Verordening Gegevensbescherming (AVG). Deze gaat in op 25 mei 2018 en geldt voor de hele EU. Hierbij vervangt deze AVG ook de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp).
Tips
- Let er bij de koppeling van een digitaal personeelsdossier met andere gegevensbestanden en programma’s op dat privacygevoelige informatie niet in verkeerde databases terecht komt.
- Informeer medewerkers tijdig en juist over het verzamelen van bepaald gegevens over hen en waarom je dat doet.
- De werknemer moet je toestemming geven voordat je zijn of haar persoonsgegevens verwerkt. De verwerking moet noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst of een ander gerechtvaardigd belang van jou als werkgever.
- Verstrek personeelsgegevens alleen aan derden als de werknemer hiervoor toestemming heeft gegeven.
Bron: PW.