Aanleg van een personeelsdossier en eisen vanuit de AVG

De aanleg van een personeelsdossier en de eisen vanuit de AVG

Door Inge Brattinga*, VRF Advocaten

Deze keer deel ik een artikel van Iris Krah die voor VRF Advocaten onderzoek heeft gedaan naar de eisen die de AVG stelt aan een personeelsdossier.

Waarom een personeelsdossier?
Bij indiensttreding maakt de werkgever voor elke medewerker een personeelsdossier aan. Een personeelsdossier is een dossier waarin de werkgever alle documenten met betrekking tot de medewerker en de onderlinge overeengekomen afspraken bewaart. Een goed opgebouwd dossier is belangrijk, vooral om de ontwikkeling van de werknemer te kunnen volgen zodat de medewerker op de juiste plek zit en goed functioneert, maar ook wanneer de werkgever ontslag voor een medewerker wil aanvragen. Ook dient een personeelsdossier als naslagwerk voor de medewerker zelf, de personeelsadministratie en de werkgever.

Gegevens in een personeelsdossier
De hoofdregel is dat alleen gegevens die noodzakelijk zijn voor het doel van het personeelsdossier mogen worden opgenomen, waarna hierover meer. In het personeelsdossier mogen alleen gegevens worden bewaard die de werkgever nodig heeft om de arbeidsovereenkomst te kunnen uitvoeren. Daarbij gaat het niet alleen om de arbeidsvoorwaarden, maar ook om het verloop van de arbeidsrelatie.

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever beslissingen over de werknemer kan onderbouwen, bijvoorbeeld promotie, bonus of ontslag. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid en de ontwikkeling van de medewerker. Daarnaast zijn een aantal persoonsgegevens nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals de administratieverplichting en het afdragen van belasting en premies.

In de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) zijn bepalingen opgenomen omtrent de bijzondere persoonsgegevens. Het is uitdrukkelijk verboden op grond van artikel 22 UAVG om informatie in het personeelsdossier op te nemen over iemands ras of etnische afkomst, religieuze of levensbeschouwelijke overtuigingen, politieke opvattingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie van de werknemer, seksueel gedrag of seksuele gerichtheid, lichamelijke of geestelijke gezondheid en strafblad. In principe mogen ook geen medische gegevens worden opgenomen in het personeelsdossier.

Alleen in uitzonderlijke gevallen mogen gegevens over een ziekte in het personeelsdossier worden opgenomen. Bijvoorbeeld wanneer de werknemer epilepsie heeft en enkele collega’s hiervan op de hoogte moeten zijn om bij een aanval juist te kunnen handelen. Voor het overige moeten deze gegevens beperkt blijven tot de functionele beperkingen en mogelijkheden.

Gestelde eisen vanuit de Algemene Verordening Gegevensbescherming (AVG)
De werkgever kan bepalen wat hij belangrijk vindt om toe te voegen aan het personeelsdossier. Hij wordt echter in deze vrijheid beperkt door de bepalingen van de AVG, de UAVG en het goed werkgeverschap van artikel 7:611 BW. De AVG geldt voor elke werkgever in Nederland op grond van art. 2 en 3 AVG. Voor de verwerking van persoonsgegevens in het personeelsdossier moet de werknemer uitdrukkelijk toestemming geven, tenzij het gaat om gegevens die op grond van wet- en regelgeving moeten worden verwerkt of noodzakelijk zijn voor de uitvoering van de overeenkomst. Ingeval van toestemming moet de werkgever deze kunnen aantonen (artikel 7 lid 1 AVG).

In artikel 5 AVG worden zes beginselen inzake verwerking van persoonsgegevens genoemd, te weten:

1. de persoonsgegevens moeten verwerkt worden op een wijze die voor de werknemer behoorlijk, rechtmatig en transparant is, dus behoorlijk en zorgvuldig omgaan met de persoonsgegevens en de werknemer informeren hierover;
2. persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven gerechtvaardigde doeleinden worden verzameld. In dit geval worden de persoonsgegevens verwerkt met als doel het uitvoeren van de arbeidsovereenkomst;
3. gelet op het doel moeten de gegevens in het personeelsdossier toereikend, ter zake dienend en niet bovenmatig zijn. Dus niet meer persoonsgegevens verwerken dan die nodig zijn. Werknemer moet daarnaast worden geïnformeerd over het doel. Wanneer de werkgever de persoonsgegevens wil gebruiken voor een ander doel, dan moet de werknemer daarvan vooraf op de hoogte worden gesteld, met inachtneming van alle verplichtingen;
4. de persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Op zich logisch, wat heb je als werkgever bijvoorbeeld aan een verkeerd adres of telefoonnummer van de medewerker in het personeelsdossier? Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens onverwijld te wissen of te rectificeren;
5. de persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is, bijvoorbeeld bij een einde dienstverband alleen het noodzakelijk bewaren;
6. de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Vroeger deed je ook een dossierkast op slot. Als het personeelsdossier digitaal is, moet je dit ook beveiligen.

De verwerkingsverantwoordelijke is op grond van lid 2 verantwoordelijk voor naleving van de verplichtingen. De verwerkingsverantwoordelijke en de verwerker bepalen op grond van artikel 5 AVG wie toegang heeft tot de persoonsgegevens. Zo kan het bijvoorbeeld zijn dat een leidinggevende toegang heeft tot het verslag van het functioneringsgesprek, terwijl de salarisadministratie alleen toegang heeft tot de salarismutaties.

Op grond van de AVG hebben organisaties zelf de verantwoordelijkheid om de wet na te leven en aan te kunnen tonen dat zij dit doen. Dit brengt een documentatieplicht met zich mee wat inhoudt dat ze met documenten aan moeten kunnen tonen dat zij de juiste maatregelen hebben genomen om aan de AVG te voldoen. Hierbij kan gedacht worden aan de doeleinden waarvoor de gegevens worden verwerkt, de bewaartermijn, welke systemen worden gebruikt en of er gebruik wordt gemaakt van een verwerker. Dit neem je op in een verwerkingsregister.

Volgens art. 6 AVG is de verwerking van persoonsgegevens alleen rechtmatig als er aan één van de uit het wetsartikel voortvloeiende voorwaarden is voldaan. In art. 6 lid 1 onder b AVG volgt dat de verwerking noodzakelijk moet zijn voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór sluiting van een overeenkomst maatregelen te nemen. In het geval van de arbeidsovereenkomst is dit een voorwaarde die verwerking van persoonsgegevens rechtmatig maakt. Hier valt ook de pre-contractuele fase onder.

Hoelang mag/moet je een personeelsdossier bewaren
Voor personeelsdossiers gelden geen strikte regels waar je deze moet bewaren. Hoelang een personeelsdossier bewaard mag blijven is wel (deels) wettelijk geregeld. Organisaties mogen persoonsgegevens niet langer bewaren dan noodzakelijk is. De AVG heeft geen concrete bewaartermijn.

De AVG schrijft voor dat de verantwoordelijke van tevoren moet bepalen hoelang hij persoonsgegevens bewaart en dat hij de bewaartermijn en/of de bewaarcriteria vastlegt in een beleid. Ook moet hij de bewaartermijnen opnemen in een verwerkingsregister en hij moet de werknemers informeren over deze termijnen. Hierbij moet worden gekeken hoelang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Dit is nog een behoorlijk open norm. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden, bijvoorbeeld de fiscale bewaarplicht die volgt uit de belastingwetgeving.

Het bestaan van al deze verschillende wettelijke bewaartermijnen betekent dat per soort persoonsgegeven moet worden beoordeeld hoelang deze mag of juist moet worden bewaard. In de afbeelding hiernaast is een korte tabel weergegeven waarin de wettelijke bewaartermijnen uiteengezet zijn.

Tip
Het is raadzaam om regelmatig zaken uit het personeelsdossier te verwijderen die zijn afgesloten of niet meer relevant zijn. Schoon elk personeelsdossier één keer per jaar op, maar let er wel op dat er niets uit het dossier verdwijnt dat van belang is.

Voor andere gegevens uit een personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn een bewaartermijn van twee jaar nadat het dienstverband met de werknemer beëindigd is. Wanneer er een gerechtelijke procedure loopt of dreigt te gaan lopen mogen de gegevens die betrekking hebben op het conflict zo lang als het conflict loopt worden bewaard. Op deze manier kan een werkgever zijn bewijspositie veiligstellen. De bewaartermijnen ten aanzien van een digitaal personeelsdossier zijn niet anders dan de bewaartermijnen voor een fysiek dossier.

Bekijk dit overzicht van bewaartermijnen gegevens personeelsdossier (13-06-2022)

Digitale personeelsdossiers
Tegenwoordig worden steeds meer documenten digitaal bewaard. De AVG stelt beveiligingseisen aan zowel een digitaal als papieren personeelsdossier. Een digitaal personeelsdossier vraagt andere beveiligingsmaatregelen dan een papieren dossier. Denk hierbij bijvoorbeeld aan firewalls als beveiligingsmaatregel wanneer het personeelsmanagementsysteem gekoppeld is aan het internet. Hoe je dit doet is wel wettelijk geregeld.

Uit het beginsel van ‘goed werkgeverschap’ en art. 5 lid 1 onder f AVG volgt dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen moeten treffen om de veiligheid van gegevens te waarborgen. Dit maakt dat de werkgever moet zorgen dat onbevoegden geen toegang kunnen krijgen tot de dossiers. Welke maatregelen als ‘passend’ worden beschouwd, is afhankelijk van de aard van de persoonsgegevens. Anderzijds betekent dit dat de verwerkingsverantwoordelijke goed moet nagaan wie toegang hebben tot het digitale personeelsdossier. Tevens moet hij nagaan wie het dossier vult en wie het dossier beheert.

Het aantal personen dat toegang heeft tot het (digitale) personeelsdossier moet zo veel mogelijk worden beperkt. Laat in beginsel alleen die personen toe die de toegang tot bepaalde informatie nodig hebben om hun functie goed te kunnen uitoefenen. Denk hier bijvoorbeeld aan de leidinggevenden die de voortgang van de werknemer moeten kunnen bijhouden. We zien in de praktijk regelmatig dat medewerkers onnodig of gedurende te lange tijd toegang hebben tot persoonsgegevens. Denk bijvoorbeeld aan een intercedent die inzage heeft in de loonadministratie terwijl de uitzendkracht niet meer in dienst is! Of een recruiter die inzage heeft in de loonadministratie van uitzendkrachten!

Gezien de strikte wettelijke vereisten wordt in de praktijk het digitaliseren van personeelsdossiers soms uitbesteed aan externe partijen die hierin gespecialiseerd zijn. Wanneer dit het geval is moet er een verwerkersovereenkomst worden gesloten met de ingeschakelde derde(n) op grond van art. 28 lid 3 AVG. In de overeenkomst moet worden opgenomen: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Rechten van betrokkenen
In hoofdstuk 3 van de AVG staan de rechten van de betrokkenen beschreven. Een betrokkene is degene van wie persoonsgegevens worden verwerkt. De werkgever moet deze rechten respecteren en faciliteren. Dit betekent dat de werkgever ervoor moet zorgen dat de rechten kunnen worden uitgeoefend. Een van deze rechten is het recht op inzage dat volgt uit artikel 15 AVG. Lees voor meer informatie over het inzagerecht dit artikel van Inge Brattinga in FlexNieuws.

Andere AVG-privacyrechten

• Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden.
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die worden verwerkt te laten wijzigen.
• Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij.
• Het recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken.
• Betrokken houdt het recht op een menselijke blik bij besluiten gebaseerd op geautomatiseerde besluitvorming en profilering.
• Het recht om bezwaar te maken te maken tegen de gegevensverwerking.
• Tenslotte hebben mensen recht op duidelijke informatie over wat er met hun persoonsgegevens wordt gedaan.

Meer informatie over personeelsdossiers is ook te vinden op:
Personeelsdossiers | Autoriteit Persoonsgegevens
Verwerking persoonsgegevens en het inzageverzoek AVG (flexnieuws.nl)

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.