terug
startje zoektocht.
  • maak een account aan door je in te schrijven
  • sneller solliciteren
  • vacatures die beter matchen
inschrijven
of
inloggen mijn randstad

Nieuw bij Randstad? Schrijf je in

werkgevers werkpocket privacy: bescherming persoonsgegevens privacy en personeelsgegevens

privacy en personeelsgegevens.

blijf op de hoogte met onze arbeidsmarktupdate

Organisaties moeten, volgens de Algemene verordening gegevensbescherming (AVG), de privacy van personen beschermen door zorgvuldig om te gaan met hun persoonsgegevens. Dat geldt niet alleen voor de gegevens van je klanten en andere externe relaties, maar ook voor de persoonsgegevens van je medewerkers. Voor het vastleggen en het bewaren van personeelsgegevens gelden specifieke eisen. Bovendien moet je de ondernemingsraad om instemming vragen bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van je personeel. 

Op deze pagina:

persoonsgegevens van je medewerkers

Persoonsgegevens van medewerkers zijn meestal opgeslagen in een personeelsdossier. Je hebt daardoor als werkgever niet alleen te maken met verplichtingen die voortvloeien uit de AVG, maar bijvoorbeeld ook met het Burgerlijk Wetboek. Hierin staat dat een werkgever zich als ‘goed werkgever’ moet gedragen. Dat houdt onder meer in dat je de privacyrechten van je medewerkers moet respecteren. Ook bij de werving en selectie van nieuwe medewerkers moet je rekening houden met de privacyregels.

Als werkgever mag je, op grond van de AVG, gegevens van je personeel verwerken in de volgende situaties:

  • als je daarvoor toestemming hebt van je medewerker

  • als dat nodig is voor de uitvoering van de arbeidsovereenkomst

  • als je dat op grond van de wet verplicht bent (bijvoorbeeld omdat je verplicht bent een kopie van het identiteitsbewijs van je medewerker in je loonadministratie te bewaren) 

  • als sprake is van een gerechtvaardigd belang (bijvoorbeeld omdat de verwerking nodig is om bedrijfsactiviteiten uit te voeren, zoals een personeelsadministratie).

Toestemming van je medewerkers kun je vaak niet als grondslag gebruiken. Er is immers sprake van een gezagsverhouding tussen werknemer en werkgever. En toestemming moet een medewerker actief, op ondubbelzinnige wijze en in vrijheid hebben gedaan. Bovendien mag hij de toestemming op elk moment intrekken. En daar mag je geen voorwaarden aan verbinden: het intrekken van toestemming moet net zo gemakkelijk zijn als het is om ‘m te geven.

Je mag alleen persoonsgegevens verwerken wanneer het echt niet anders kan. Dat betekent dat je er dus een goede reden - ofwel ‘grondslag’ - voor moet hebben.

regels voor het personeelsdossier

Je mag persoonsgegevens van je medewerkers in een personeelsdossier verwerken in het kader van de arbeidsovereenkomst. Daaraan zijn wel bepaalde voorwaarden verbonden. Zo moet je als werkgever:

  • zorgen dat de gegevens in de personeelsadministratie correct en volledig zijn

  • alleen die gegevens in het personeelsdossier vastleggen die nodig zijn voor de uitvoering van de arbeidsovereenkomst

  • je medewerkers informeren over de doeleinden waarvoor je hun gegevens vastlegt

  • passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking

  • de gegevens niet langer bewaren dan noodzakelijk is

  • je medewerkers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

bewaartermijn

In de AVG is niets concreet vastgelegd over de bewaartermijnen voor de personeelsadministratie. Het uitgangspunt is dat je persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor je deze gegevens verzamelt en verwerkt. Als redelijke bewaartermijn voor een personeelsdossier wordt meestal (maximaal) twee jaar na de uitdiensttreding van een medewerker aangehouden, tenzij je de gegevens langer moet bewaren, bijvoorbeeld op grond van de wet. 

In de AVG staat wel dat je:

  • voordat je begint met het verwerken van persoonsgegevens moet bepalen hoe lang je de persoonsgegevens bewaart. Als dat niet mogelijk is, moet je in elk geval de criteria formuleren voor het vaststellen van de bewaartermijn (bijvoorbeeld het moment waarop de bewaartermijn gaat lopen). De bewaartermijn of de criteria moet je vastleggen in een beleid

  • de bewaartermijnen moet opnemen in het verwerkingsregister

  • je medewerkers informeren over de bewaartermijnen (bijvoorbeeld via een privacybeleid of privacyverklaring).

instemming van de ondernemingsraad

De ondernemingsraad heeft instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van medewerkers. Daarvan is bijvoorbeeld sprake als je als werkgever de persoonsgegevens van je medewerkers wilt gebruiken om ze te controleren op aanwezigheid, gedrag of prestaties, bijvoorbeeld met een personeelsvolgsysteem

De ondernemingsraad kan zich ook op eigen initiatief uitspreken over het gebruik van personeelsgegevens, bijvoorbeeld naar aanleiding van vragen of klachten van medewerkers.

tip:

De Autoriteit Persoonsgegevens (AP) heeft een handreiking gemaakt voor ondernemingraden: het OR-privacyboekje.

 

tip:

direct naar