Met de invoering van de Wet Werk en Zekerheid is het nóg belangrijker om van iedere medewerker een up to date personeelsdossier bij te houden. Maar aan welke spelregels is een werkgever gebonden als het gaat om de bescherming van persoonsgegevens met betrekking tot personeelsdossiers?
Hoofdregel
Op grond van de Wet bescherming persoonsgegevens (Wbp) geldt de hoofdregel dat alleen gegevens mogen worden opgenomen in het personeelsdossier die noodzakelijk zijn voor het doel van het personeelsdossier. Denk dan aan de volgende gegevens en informatie:
- de arbeidsovereenkomst en eventuele wijzigingen daarop
- documenten ten aanzien van overige arbeidsvoorwaarden (denk aan een leaseauto of een bonus)
- documenten/informatie over opleidingen en loopbaanontwikkeling
- gegevens over het pensioen
- klachten
- waarschuwingen
- verzuimfrequentie (hoe vaak is een werknemer afwezig)
- een kopie van het identiteitsbewijs
- het Burgerservicenummer (BSN)
- persoonlijke werkaantekeningen van de leidinggevende
- verslagen van beoordelings- en functioneringsgesprekken.
Beschermde gegevens
Niet alle informatie mag worden opgeslagen in het personeelsdossier. Veel gegevens van medewerkers zijn namelijk beschermd. Hier bestaan strikte regels voor, die zijn neergelegd in de Wbp.
Bijzondere persoonsgegevens (ras, politieke voorkeur, religie, seksuele geaardheid, strafrechtelijk gedrag, lidmaatschap van een vakvereniging en medische gegevens) mogen in beginsel niet in het personeelsdossier worden opgenomen. Voor uitzonderingen hierop gelden strikte wettelijke regels.
Het verwerken van medische gegevens – denk aan bijvoorbeeld de vraag welke ziekte een werknemer heeft – is exclusief voorbehouden aan de arbodienst of bedrijfsarts.
De Autoriteit Persoonsgegevens heeft speciale beleidsregels opgesteld over privacy van zieke werknemers. In deze beleidsregels is nader bepaald welke informatie een werkgever mag vragen aan zijn zieke werknemer en welke informatie hij mag noteren in het personeelsdossier van de zieke werknemer. Voor meer informatie verwijs ik je naar mijn eerder verschenen vlog.
Ten aanzien van de verwerking van gegevens waaruit het ras kan worden afgeleid mag een werkgever wel een kopie van de identiteitskaart van de werknemer bewaren. Verder is het slechts toegestaan om dit soort gegevens te verwerken als de organisatie een voorkeursbeleid toepast of wanneer dit noodzakelijk is ter verificatie. Denk bijvoorbeeld aan toegangscontrole via een pasje met een foto van de medewerker erop.
Overtreding? Boete
Werkgevers dienen zich bewust te zijn van hun verplichtingen ten aanzien van de privacy van hun medewerkers. Wanneer werkgevers zich niet aan deze verplichtingen houden – en daarmee de Wbp overtreden – heeft de Autoriteit Persoonsgegevens de mogelijkheid om forse boetes op te leggen.
Deze boetes worden behoorlijk verhoogd vanaf 25 mei 2018. Vanaf deze datum treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, die van toepassing zal zijn in alle Europese lidstaten. Een van de verplichtingen van de AVG is de documentatieplicht, waarbij alle gegevensverwerking binnen een organisatie – dus ook de personeelsdossiers – in kaart dienen te worden gebracht. Zie hiervoor de blog van collega Wilma.
Zijn je personeelsdossiers AVG-proof?
Het is dan ook verstandig om als werkgever tijdig aan de slag te gaan om te zorgen dat jouw personeelsdossiers AVG-proof zijn. Stel een privacy beleid en een ziekteverzuimbeleid op. Vergeet daarbij ook niet om de medewerkers te informeren over welke persoonsgegevens worden gebruikt, voor welk doel en of (bepaalde) persoonsgegevens aan andere organisaties worden verstrekt (denk bijvoorbeeld aan een arbodienst).
Hulp nodig?
Hulp nodig bij het opstellen van een privacybeleid en/of een ziekteverzuimbeleid? Dat kan!
Wilma en Peggy zetten hun specialistische kennis op het gebied van privacy en arbeidsrecht hiervoor graag in.
