Personeelsgegevens en de nieuwe wet op de privacy (AVG)

Wist u dat met ingang van 25 mei 2018 de privacyregels gaan veranderen? Dit heeft vergaande gevolgen voor uw bedrijfsvoering, dus zorg ervoor dat u tijdig bent voorbereid.

Op dit moment geldt nog de wet bescherming persoonsgegevens (Wbp), maar deze wet wordt vervangen door de Algemene verordening gegevensbescherming (AVG). Daarmee zal binnen Europa in beginsel dezelfde regels gaan gelden omtrent de privacy.

Allereerst: wat hoort in een personeelsdossier?

Uiteraard de gegevens die noodzakelijk zijn voor het dienstverband. Dat betekent derhalve NAW gegevens, emailadres, rekeningnummer, salaris arbeidsovereenkomst. Indien van toepassing mag ook een verklaring omtrent gedrag worden opgeslagen.  Ook het persoonsnummer (BSN) en kopie van het ID bewijs dienen aanwezig te zijn in het dossier. Voor deze laatste twee geldt echter dat deze gegevens mogen worden opgeslagen, zolang er sprake is van een dienstverband (dus niet gedurende een solliciatieprocedure en ook niet na ontslag). Let op: gebruik een persoonsnummer nooit als zoekcriterium in systemen. Dit is een ongeoorloofd gebruik van het nummer.

Het is van deze tijd om de gegevens vooral digitaal te bewaren. Zorg ervoor dat de gegevens goed beveiligd zijn, om te voorkomen dat de gegevens in verkeerde handen komen. Gebeurt dat wel, dan is er sprake van een datalek en bent u verplicht dit te melden bij de Autoriteit Persoonsgegevens.

Dan de AVG.

De nieuwe wet kent verdergaande verplichtingen en mogelijkheden dan de huidige regelgeving, maar uiteraard blijven ook een aantal zaken gelijk.

Zo blijft het recht op inzage, correctie en verwijdering.

Ook blijft gelden dat gegevens enkel mogen worden verwerkt voor een van te voren vastgesteld en gerechtvaardigd doel (en dus niet voor andere zaken) én gegevens nooit langer mogen worden bewaard dan noodzakelijk voor het doel. Zo mogen op dit moment gegevens van een afgewezen sollicitant bijvoorbeeld niet langer dan 4 weken worden bewaard en personeelsgegevens, na uitdiensttreding, niet langer dan 2 jaar.  Onder de toekomstige regels zijn deze termijnen niet meer zo strikt weergegeven, maar de verwachting is dat deze termijnen wel een goede richting geven voor de invulling.

Let op: voor zaken die fiscaal van belang zijn, geldt een termijn van 7 jaar, gegevens die voor de loonbelasting relevant zijn, geldt een termijn van 5 jaar. Dat zijn uitzonderingssituaties. Zorg er altijd voor dat als je gegevens langer bewaart dat inzichtelijk is waarom dat gebeurt.  

Daarnaast blijft gelden dat het verwerken van gegevens alleen dan mogelijk is:

  • Indien de werknemer ermee heeft ingestemd. De vereiste wijze van instemming zal strenger worden. Er zal voor specifieke situaties toestemming moeten worden gevraagd. Gezien de gezagsverhouding tussen werkgever en werknemer wordt vrijwillige instemming niet snel aangenomen. Dus vraag specifieke toestemming voor een bepaalde situatie. Een algemene formulering in de arbeidsovereenkomst zal niet volstaan.
  • Indien en voor zover het gaat om gegevens die nodig zijn voor de uitvoering van de overeenkomst.
  • Indien de verwerking noodzakelijk is om te voldoen aan de wettelijke verplichting die op de werkgever/verwerker rust.
  • Indien degene die de gegevens verwerkt heeft een gerechtvaardigd belang heeft bij verwerking, welk belang dient te prevaleren boven dat van de werknemer.

 

Is van een van deze mogelijkheden niet langer sprake dan dient op basis van het recht van “vergetelheid” de gegevens te worden verwijderd. Dat recht bestond al op basis van de rechtspraak, maar straks wordt dit recht ook wettelijk vastgelegd. Er kan zelfs worden verlangd dat de verwijdering ook wordt doorgegeven aan de instanties die deze gegevens van de werkgever hebben ontvangen.

De nieuwe wet zorgt ook voor meer rechten voor degene wiens privacy in het geding is, in dit geval de werknemer dus. Met name de controlemogelijkheden nemen toe.

Zo zal het bestaande inzagerecht worden uitgebreid. De werkgever zal moeten aangeven hoe lang hij de gegevens beoogt te bewaren, of de gegevens worden gebruikt voor automatische besluitvorming (denk bijvoorbeeld aan salarisverhoging, bonus etc). Daarnaast moet de werknemer worden geïnformeerd hoe er gecorrigeerd kan worden en dat er een klacht kan worden ingediend bij de privacy toezichthouder. De nieuwe wet zal ook voorzien in een recht op beperking van de verwerking van de gegevens, zodat desgevraagd bepaalde informatie wordt uitgesloten voor bepaalde doeleinden.

Straks heeft de werknemer te allen tijde ook het recht op een kopie van het volledige personeelsdossier. De huidige mogelijkheid om afgifte te weigeren indien de privacy van anderen in het gedrang is, komt te vervallen. Op dit moment ben je niet verplicht om interne notities te overleggen die bedoeld zijn voor intern overleg, tenzij op grond van die notities een definitief rapport is opgemaakt. Het ligt in de lijn der verwachting dat dit ook onder het nieuwe recht niet hoeft.

Ook krijgt de werknemer recht op dataportabiliteit (overdraagbaarheid van persoonsgegevens). Dat betekent dat de werkgever ervoor moet zorgen dat de werknemer de gegevens die de werkgever over hem heeft kan opvragen en vervolgens kan doorgeven aan derden.

De werkgever is gehouden binnen 1 maand op de verzoeken van de werknemer te reageren. Als geen gehoor wordt gegeven, moet dat schriftelijk kenbaar worden gemaakt en dient inzichtelijk te worden gemaakt welke mogelijkheden de werknemer heeft (klacht privacy toezichthouder/naar de rechter stappen).

Deze verdergaande rechten voor de werknemer, impliceren verplichtingen aan de zijde van de werkgever. Zo moet je, onder andere, tijdig informatie verschaffen omtrent de verwerking van de persoonsgegevens, hoe lang deze gegevens bewaard worden, de mogelijkheid om gegeven toestemming in te trekken, moet je aangeven wie binnen de organisatie verantwoordelijk is voor het verwerken van de gegevens etc.

Is er sprake van een Buitenlandse moeder en is het van belang gegevens te delen, dan moet niet alleen op voorhand worden aangegeven, maar moet ook inzichtelijk zijn met welke waarborgen dit is omkleed (bijvoorbeeld uitwisseling van gegevens met een bedrijf in de Verenigde Staten is alleen mogelijk indien de onderneming is aangesloten bij de EU-US privacy shield). Zo zijn er meerdere landen met wie speciale afspraken zijn gemaakt om te vloden aan de voorwaarden voor een passend beschermingsniveau.

Daarnaast bent u als werkgever verplicht te documenteren welke persoonsgegevens u verwerkt en met welk doel u dat doet, waar deze gegevens vandaan komen en met wie u deze gegevens deelt. Er komt een documentatieverplichting, hetgeen inhoudt dat u als organisatie moet kunnen aantonen dat u in overeenstemming met de AVG handelt.

Je doet er als werkgever verstandig aan, bij de indiensttreding de werknemer uitgebreid te informeren over de verwerking van de gegevens en de daarbij behorende rechten van de werknemers. Dat betekent ook dat bij alle gegevens die gevraagd worden, steeds op voorhand bedacht moet worden met welk doel deze gegevens gevraagd worden. Is er geen sprake van een doel, dan mogen de gegevens niet gevraagd worden. Kortom, en dat geldt ook al onder het huidige recht: informeer je werknemer tijdig en in begrijpelijke taal over zijn rechten op privacy terrein.

Het vorenstaande is slechts een selectie van alle wijzigingen die op stapel staan en is toegespitst op de werkgevers. Wilt u meer weten, aarzel dan niet contact met mij op te nemen.

Marlies Oogjen, advocaat