Print deze paginaExclusief voor stichtingen en verenigingen
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Door de digitale wereld waarin we leven worden er ‘gemerkt’, maar vooral ‘ongemerkt’, veel persoonsgegevens opgeslagen (lees: verwerkt). Ook in de arbeidsrelatie speelt dit. Werknemers krijgen een gsm, laptop of tablet van de werkgever om onderweg of thuis te werken of bereikbaar te zijn.
Hierbij wordt vaak geen rekening gehouden met het feit dat de werkgever mogelijk mee kan kijken of dat bepaalde gegevens worden geregistreerd. De vraag is: wat mag de werkgever wel en wat mag hij niet?
Met de inwerkingtreding van de AVG zijn er nieuwe privacyregels waaraan de werkgever zich dient te houden.
Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Wat kun je doen?
Als organisatie kun je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om je hierbij te helpen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen voor je op een rijtje gezet. Kijk voor meer informatie op de website autoriteit persoonsgegevens.
Welke gegevens mag je bewaren in het personeelsdossier rekening houdend met de AVG?
Meer weten over het personeelsdossier klik hier voor ons artikel over het dossier.
Welke regels gelden er rondom mailtjes in het kader van AVG?
Je mag de zakelijk mail van (ex) werknemers inzien als daar een gegronde reden voor is. Daarbij dien je een afweging te maken tussen het belang dat jouw organisatie heeft om de e-mail te bekijken en het privacybelang van de werknemer.
Ook kan het inzien van e-mail noodzakelijk zijn in het kader van de opvolging van de ex-werknemer. Deze omstandigheden wegen niet op tegen het belang van de werknemer de e-mail voor zichzelf te houden. Het bedrijfsbelang prevaleert dan ook boven het privacybelang van de werknemer. Je mag de e-mail van (ex)werknemers dus bekijken. Ook staat de wet het toe dat je een back-up maakt van zakelijke e-mails en je mag het de werknemer zelfs verbieden e-mail te verwijderen. Zo voorkom je dat belangrijke gegevens verloren gaan.
De privacywet stelt regels aan het bewaren van e-mail. Het basisprincipe is dat je de e-mails voor een ‘redelijke termijn’ termijn mag bewaren. Doorgaans betekent dit een bewaartermijn van maximaal 6 maanden. De termijn kan worden verlengd wanneer je daar een goede reden voor heeft, bijvoorbeeld bij een arbeidsconflict. Ook wanneer de werknemer toestemming geeft voor het langer bewaren van zijn e-mail is dit toegestaan.
Dat ligt anders bij privémail. Je dient het recht op privacy van de werknemer te respecteren. Om die reden is het lezen van privémail niet toegestaan. Het staat de werknemer dan ook vrij privéberichten uit de zakelijke inbox te verwijderen. Ook wanneer privémail binnenkomt nadat de werknemer is vertrokken, dient je deze ongeopend te laten. Meer informatie over bescherming van persoonsgegevens vind je autoriteit persoonsgegevens.
AVG en personeelsdossiers
Nu de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van toepassing is geworden, lopen werkgevers vaker tegen bepaalde privacyvraagstukken aan. Dit geldt ook met betrekking tot de gegevens die je in het personeelsdossier mag bewaren.
Voor het bewaren van werknemersgegevens in het personeelsdossier geldt één belangrijke stelregel: Als werkgever mag je de gegevens niet langer bewaren dan noodzakelijk is voor het doel van de verwerking. In de praktijk kan dit echter tot lastige afwegingen leiden, want wanneer zijn de gegevens niet meer noodzakelijk? Bijvoorbeeld: een aantekening van een arbeidsconflict dat zich een aantal jaren geleden heeft voorgedaan, kan later nog van belang zijn bij de opbouw van een ontslagdossier. Aan de andere kant is het de vraag of je de werknemer niet te veel ‘belast’ door dit soort gegevens (lang) te bewaren. Het is dan ook lastig om een eenduidig antwoord op dit soort vragen te geven.
Hoelang mag werkgever beoordelingsverslagen bewaren?
Voor verslagen van functionerings- en beoordelingsgesprekken bestaat geen wettelijke bewaartermijn. In dat geval wordt een bewaartermijn van twee jaar na uitdiensttreding vaak als redelijk gezien. Voor een werknemer die nog bij de organisatie in dienst is, geldt in principe dat je de verslagen tijdens het hele dienstverband mag bewaren. Bij lange dienstverbanden zal je echter een belangenafweging moeten maken tussen het belang van de organisatie bij het bewaren van de gegevens en het belang van de werknemer bij het verwijderen van die gegevens. Het is bijvoorbeeld de vraag of een verslag van een beoordelingsgesprek dat vijftien jaar geleden is gevoerd op dit moment nog relevant is.
Fiscale bewaarplicht
Voor sommige gegevens uit het personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst je verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet je 5 jaar bewaren nadat een werknemer uit dienst is.
Welke ziektegegevens mag werkgever vastleggen?
Als werkgever mag je geen medische gegevens van een zieke werknemer registreren, zoals de aard of oorzaak van de ziekte. Dit mocht overigens onder de Wet bescherming persoonsgegevens (WBP) ook al niet. Je mag wel de gegevens verwerken die je van de bedrijfsarts ontvangt en die vaak samenhangen met de re-integratie. Het gaat dan om:
Kan werknemer verzoek doen tot verwijdering gegevens?
Werknemers kunnen een verzoek indienen voor het verwijderen van bepaalde gegevens uit het personeelsdossier, maar je bent niet altijd verplicht om aan zo’n verzoek te voldoen. Zolang het noodzakelijk is de betreffende gegevens te bewaren voor het doel waarvoor ze zijn verzameld, mag je het verzoek van de werknemer weigeren. Verzoekt de werknemer om verwijdering of verbetering van feitelijk onjuiste persoonsgegevens, dan moet je wel aan dit verzoek gehoor geven. Lees autoriteit persoonsgegevens alles over AVG en personeelsdossiers.
Supportpunt heeft de grootst mogelijke zorg besteed aan de ontwikkeling en samenstelling van dit artikel. Supportpunt geeft echter geen garantie over de juistheid van de verstrekte informatie. Supportpunt is niet aansprakelijk voor onjuistheden of ontbrekende informatie betreffende de inhoud. Alle informatie kan, zonder voorafgaande kennisgeving, op elk moment door Supportpunt worden gewijzigd of verwijderd.