Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) rechtstreeks van kracht in Nederland. Wat betekent dit eigenlijk voor een werkgever en zijn personeelsadministratie? In deze publicatie leggen we uit wat wel en niet is toegestaan bij het verwerken van persoonsgegevens van werknemers en sollicitanten.
Verwerken personeelsgegevens en AVG
Op grond van de AVG is in alle situaties - ook in relatie tot personeelsgegevens - de eerste vraag of er voor de verwerking een grondslag is. In het kader van de personeelsadministratie kan dat zijn:
- de (uitdrukkelijke) toestemming van de werknemer;
- de uitvoering van een overeenkomst met de werknemer;
- een wettelijke verplichting van de werkgever; of
- een gerechtvaardigd belang.
Verder geldt op grond van de AVG dat nooit meer persoonsgegevens mogen worden verwerkt dan noodzakelijk en dat deze persoonsgegevens nooit langer bewaard mogen blijven dan noodzakelijk.
Sollicitatie en AVG
Na het uitzetten van een vacature volgt een sollicitatieprocedure die vaak begint met een motivatiebrief en een cv. Het moment waarop die brief binnenkomt (per e-mail of met de post) is in de meeste gevallen meteen het eerste moment waarop persoonsgegevens van potentiële werknemers worden verwerkt. Maar ook bij het maken van aantekeningen tijdens het sollicitatiegesprek, het afnemen van een assessment of het ondergaan van een medische keuring kunnen persoonsgegevens worden verwerkt. Wordt de sollicitant niet aangenomen, dan mag de werkgever de gegevens van de niet aangenomen sollicitant normaal gesproken niet langer dan vier weken bewaren, tenzij de sollicitant toestemming heeft gegeven en daar een goede reden voor is. Bijvoorbeeld omdat er later in het jaar mogelijk een nieuwe vacature ontstaat waarvoor de sollicitant geschikt is.
Kopie paspoort
Een werkgever mag niet vragen om een kopie van het paspoort van de sollicitant. Dit is immers niet noodzakelijk. Wel mag de werkgever de sollicitant vragen zich te identificeren door het paspoort te laten zien. Overigens, wordt de sollicitant uiteindelijk aangenomen dan ligt dit anders, en mag (of moet) wel een kopie van het paspoort worden opgevraagd.
Screening internet
Vaak googelt de werkgever een sollicitant voorafgaand aan een sollicitatiegesprek, op zich begrijpelijk. Onder de AVG mag dit formeel echter alleen als de werkgever daar een reden voor heeft, bijvoorbeeld als het om een publieke functie gaat of om een functie waarbij de werknemer veel contact met anderen heeft. De sollicitant moet daar van tevoren over worden geïnformeerd. Dat kan bijvoorbeeld door in de vacaturetekst te vermelden dat een internetcheck onderdeel is van de sollicitatieprocedure. Wordt de gevonden informatie vervolgens gebruikt in de sollicitatieprocedure, dan moet de sollicitant in de gelegenheid worden gesteld de informatie toe te lichten.
Videosollicitatie
Soms geeft een werkgever de mogelijkheid door middel van een video te solliciteren. De werkgever mag dit echter niet eisen. Dus moet er ook een alternatieve methode zijn om te kunnen solliciteren. Bovendien worden bij een videosollicitatie mogelijk bijzondere persoonsgegevens verwerkt zoals geloofsovertuiging en ras. De sollicitant moet daar dan ook uitdrukkelijke toestemming voor geven.
Arbeidsovereenkomst/aanleggen personeelsdossier en AVG
Als een werknemer na een succesvolle sollicitatieronde wordt aangenomen, legt de werkgever vaak een personeelsdossier aan waarin gedurende het dienstverband verschillende stukken worden bewaard. Let op! Ook hier moet een grondslag voor zijn en alleen stukken die noodzakelijk zijn mag de werkgever opnemen in het personeelsdossier. Sommige gegevens zijn belangrijk voor het personeelsbeleid, andere gegevens zijn noodzakelijk om te voldoen aan een wettelijke verplichting. De volgende stukken mogen in ieder geval in het personeelsdossier zitten:
- kopie paspoort;
- arbeidsovereenkomst;
- klachten;
- waarschuwingen;
- verzuimfrequentie;
- verslagen van beoordelings- en functioneringsgesprekken die voor akkoord of gezien zijn getekend door de werknemer;
- persoonlijke werkaantekeningen van de leidinggevende.
Medische gegevens mogen niet in het personeelsdossier worden opgenomen.
Niet zomaar iedereen mag toegang hebben tot het personeelsdossier. Wel de direct-leidinggevende en medewerkers van de HR-afdeling. Ook hier geldt: alleen als het noodzakelijk is.
Ziekte en AVG
Wordt de werknemer na enige tijd onverhoopt ziek, dan wisselen verschillende partijen hier vaak informatie over uit. Bijvoorbeeld de werkgever en de bedrijfsarts, de verzekeraar of het UWV.
Voor de werkgever is in geval van ziekte van belang om te weten of het loon van de werknemer moet worden doorbetaald en op welke manier de werknemer kan re-integreren. Informatie over de aard en de oorzaak van de ziekte heeft de werkgever niet nodig en mag om die reden niet door de werkgever worden verwerkt. Geeft een werknemer hier op eigen initiatief informatie over, dan mag dat in principe niet worden opgenomen in het personeelsdossier.
Wat mag de werkgever dan wel?
- gegevens bij de werknemer opvragen die noodzakelijk zijn om te beoordelen hoe, en of, de werkzaamheden van de zieke werknemer moeten worden overgenomen;
- contactgegevens van de werknemer tijdens ziekte opvragen;
- bij de werknemer informeren naar de vermoedelijke duur van de ziekte;
- informeren of de werknemer onder een vangnetbepaling van de Ziektewet valt
- informeren of de ziekte verband houdt met een bedrijfsongeval;
- informeren of sprake is van een verkeersongeval veroorzaakt door een derde;
- een bedrijfsarts inschakelen en de ziekmelding doorgeven inclusief contactgegevens van de werknemer;
- controleren, of laten controleren, of de werknemer echt ziek is;
- registreren hoe vaak en hoe lang een werknemer ziek is;
- beperkingen en mogelijkheden bespreken met de werknemer (nadat de bedrijfsarts dit heeft vastgesteld);
- aanleggen en bijhouden van een re-integratiedossier bij langdurig ziekteverzuim, met daarin een plan van aanpak, adviezen (zoals van de bedrijfsarts), gegevens wat is gedaan om de werknemer weer aan het werk te laten gaan, verslagen en correspondentie met de bedrijfsarts en het UWV.
Ontslag en AVG
Als na verloop van tijd het dienstverband, om wat voor reden dan ook, tot een eind komt, mogen de persoonsgegevens van de werknemer nog maar voor een beperkte periode worden bewaard.
De bewaartermijn hangt af van het type gegevens en of hiervoor een wettelijke bewaartermijn geldt. Gegevens uit de salarisadministratie die fiscaal van belang zijn, moeten tot zeven jaar na uitdiensttreding worden bewaard. Voor de loonbelastingverklaring en een kopie van het paspoort van de werknemer geldt een bewaartermijn van vijf jaar.
Gegevens waar geen wettelijke bewaartermijn voor bestaat, moeten verwijderd worden uit het personeelsdossier zodra de werkgever deze gegevens niet meer nodig heeft. Hiervoor geldt een maximale termijn van twee jaar. Dat geldt bijvoorbeeld voor beoordelingsformulieren, arbeidsovereenkomsten en verzuimgegevens. Dit ligt anders als er sprake is van een arbeidsconflict of er een rechtszaak loopt: dan heeft de werkgever de gegevens langer nodig en is langer bewaren toegestaan.
Rechten werknemers op grond van de AVG
Op basis van de AVG heeft de werknemer een aantal rechten ten aanzien van de verwerking van zijn persoonsgegevens door de werkgever. Zo heeft de werknemer het recht om te weten welke gegevens de werkgever van hem verzamelt, met welk doel en op basis van welke grondslag. Daarnaast heeft de werknemer recht op inzage in zijn hele personeelsdossier, maar ook op correctie van zijn gegevens. Het recht op inzage omvat ook het recht op een kopie van de persoonsgegevens die worden verwerkt van de werknemer. Eerder dit jaar oordeelde de kantonrechter dat ook als de werknemer al bekend is met de gevraagde gegevens toch een kopie moet worden verstrekt (ECLI:NL:RBDHA:2018:10910). Dat geldt ook als deze gegevens eerder al eens zijn verstrekt aan de werknemer.
In sommige gevallen zal de werkgever op verzoek van de werknemer gegevens uit het personeelsdossier moeten verwijderen of de verwerking daarvan moeten beperken. Bijvoorbeeld als de gegevens niet meer nodig zijn, de bewaartermijn is verstreken of de verwerking onrechtmatig is.
Conclusie
Wees je als werkgever bewust van de gegevens die je van de werknemers verwerkt en op welke manier je dat doet. Blijf daarbij steeds dezelfde vragen stellen. Zijn de gegevens noodzakelijk? Is er een grondslag op basis waarvan de gegevens verwerkt mogen of moeten worden? Wie kan er bij de gegevens? Hoe lang mag/moet ik deze gegevens bewaren? Gaat het om bijzondere persoonsgegevens? Meer weten over privacy in de personeelspraktijk? Volg onze cursus ‘AVG en privacyrecht in de personeelspraktijk’.