Organisaties moeten, volgens de Algemene verordening gegevensbescherming (AVG), de privacy van personen beschermen door zorgvuldig om te gaan met hun persoonsgegevens. Dat geldt niet alleen voor de gegevens van je klanten en andere externe relaties, maar ook voor de persoonsgegevens van je medewerkers. Voor het vastleggen en het bewaren van personeelsgegevens gelden specifieke eisen. Bovendien moet je de ondernemingsraad om instemming vragen bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van je personeel. 

Op deze pagina:

persoonsgegevens van je medewerkers

Persoonsgegevens van medewerkers zijn meestal opgeslagen in een personeelsdossier. Je hebt daardoor als werkgever niet alleen te maken met verplichtingen die voortvloeien uit de AVG, maar ook met het Burgerlijk Wetboek. Hierin staat dat een werkgever zich als ‘goed werkgever’ moet gedragen. Dat houdt onder meer in dat je de privacyrechten van je medewerkers moet respecteren. Ook bij de werving en selectie van nieuwe medewerkers moet je rekening houden met de privacyregels.

Als werkgever mag je, volgens de AVG, gegevens van je personeel verwerken in de volgende situaties:

  • als je daarvoor toestemming hebt van je medewerker

  • als dat nodig is voor de uitvoering van de arbeidsovereenkomst

  • als je dat op grond van de wet verplicht bent (bijvoorbeeld omdat je verplicht bent een kopie van het identiteitsbewijs van je medewerker in je loonadministratie te bewaren) 

  • als sprake is van een gerechtvaardigd belang (bijvoorbeeld omdat de verwerking nodig is om bedrijfsactiviteiten uit te voeren, zoals een personeelsadministratie).

Je mag persoonsgegevens van je medewerkers verwerken als zij daarvoor toestemming hebben gegeven. Dat moeten zij actief, op ondubbelzinnige wijze en in vrijheid hebben gedaan. Daarnaast moeten je medewerkers begrijpen voor welk doel de toestemming is gevraagd. Het is niet genoeg om een bepaling in de arbeidsovereenkomst op te nemen waarin staat dat de medewerker toestemming geeft voor het verwerken van zijn gegevens. Je moet je medewerkers erop wijzen dat zij hun toestemming op elk moment mogen intrekken. En daar mag je geen voorwaarden aan verbinden: het intrekken van toestemming moet net zo gemakkelijk zijn als het is om toestemming te geven.  

tip:

Op AutoriteitPersoonsgegevens.nl staat meer informatie over de voorwaarden waaraan je moet voldoen voordat je persoonsgegevens mag verwerken.

regels voor het personeelsdossier

Je mag persoonsgegevens van je medewerkers in een personeelsdossier verwerken in het kader van de arbeidsovereenkomst. Daaraan zijn wel bepaalde voorwaarden verbonden. Zo moet je als werkgever:

  • zorgen dat de gegevens in de personeelsadministratie correct en volledig zijn

  • alleen die gegevens in het personeelsdossier vastleggen die nodig zijn voor de uitvoering van de arbeidsovereenkomst

  • je medewerkers informeren over de doeleinden waarvoor je hun gegevens vastlegt

  • passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking

  • de gegevens niet langer bewaren dan noodzakelijk is

  • je medewerkers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

bewaartermijn

In de AVG is niets vastgelegd over de bewaartermijnen voor de personeelsadministratie. Het uitgangspunt is dat je persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor je deze gegevens verzamelt en verwerkt. Als redelijke bewaartermijn voor een personeelsdossier wordt meestal (maximaal) twee jaar na de uitdiensttreding van een medewerker aangehouden. 

In de AVG staat wel dat je:

  • voordat je begint met het verwerken van persoonsgegevens moet bepalen hoe lang je de persoonsgegevens bewaart. Als dat niet mogelijk is, moet je in elk geval de criteria formuleren voor het vaststellen van de bewaartermijn (bijvoorbeeld het moment waarop de bewaartermijn gaat lopen). De bewaartermijn of de criteria moet je vastleggen in een beleid

  • de bewaartermijnen moet opnemen in het verwerkingsregister

  • je medewerkers informeren over de bewaartermijnen (bijvoorbeeld via een privacybeleid of privacyverklaring).

instemming van de ondernemingsraad

De ondernemingsraad heeft instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van medewerkers. Daarvan is bijvoorbeeld sprake bij als je als werkgever de persoonsgegevens van je medewerkers wilt gebruiken om ze te gaan controleren op aanwezigheid, gedrag of prestaties. 

Ook is de instemming van de OR nodig voor het opstellen van een verwerkingsregister, het aanstellen van een functionaris gegevensbescherming (FG),  het uitvoeren van een privacy impact assessment en voor het privacybeleid.

De ondernemingsraad kan zich ook op eigen initiatief uitspreken over het gebruik van personeelsgegevens, bijvoorbeeld naar aanleiding van vragen of klachten van medewerkers.