7. Archiveren op de vloer
In de voorgaande hoofdstukken heeft u kunnen lezen welke stappen u moet nemen om informatie op een financiële en salarisadministratie correct en duurzaam te archiveren. Waar moet u nu op letten per gegevensgroep als u echt aan de slag gaat? Met de tips in dit hoofdstuk bent u goed voorbereid.
AVG
valkuilen
De leidraad die sinds de komst van de Algemene verordening gegevensbescherming (AVG) geldt is: weggooien, tenzij er een bewaartermijn is of een geldende reden voor verwerking is. Bij het archiveren van bepaalde gegevens moet u extra alert zijn. Dit geldt in het bijzonder voor personeelsgegevens, financiële gegevens, klantgegevens en projectgegevens. Wat zijn de grootste valkuilen bij het archiveren van dit soort gegevens? En nog belangrijker hoe kunt u deze voorkomen?
Personeelsgegevens bewaart u zowel voor intern als extern gebruik, zoals controles van de Belastingdienst of Inspectie SZW. Voor personeelsgegevens geldt een fiscal ebewaarplicht van zeven jaar (zie hoofdstuk 3).
7.1 Persoonsgegevens
Inmiddels weet u wel wat persoonsgegevens zijn, welke categorieën te onderscheiden zijn, op basis van welke grondslagen in de AVG u gegevens mag verwerken, welke beveiligingsplichten u heeft en welke maatregelen uw organisatie kan nemen voor een goed beheer (zie hoofdstuk 3, 4, 5 en 6).
Wat betekent dit voor u als u persoonsgegevens moet archiveren? Met andere woorden, hoe beperkt u het bewaren van deze gegevens tot een minimum? Zoals u in de voorgaande hoofdstukken kon lezen, moet u persoonsgegevens zo snel mogelijk verwijderen als de noodzaak voor verwerking is vervallen (zie hoofdstuk 6). Toch is dat makkelijker gezegd dan gedaan. Zo is een curriculum vitae (cv) van een sollicitant snel gedeeld en daarmee gedupliceerd via de e-mail.
7.1.1 Personeelsgegevens
Gegevens van werknemers veranderen. Bijvoorbeeld na een promotie, het afronden van een cursus of opleiding of na uitdiensttreding moeten de gegevens direct worden aangepast of verwijderd. In de praktijk gaat het vaak anders. U zult immers nog het een en ander moeten afwikkelen. Denk aan de eindafrekening bij uitdiensttreding van de werknemer of een lopende procedure bij een arbeidsconflict.
Weggooien, tenzij
Hanteer daarom de volgende stelregels voor het archiveren van persoonsgegevens: ‘Weggooien, tenzij’ en ‘minimaliseer waar mogelijk’. Als u een goede onderbouwing heeft om persoonsgegevens te archiveren, bijvoorbeeld voor een mogelijke rechtszaak, isoleer deze dan zo veel mogelijk in een apart dossier en leg de onderbouwing hiervan ook vast. Het gaat in het algemeen niet om heel veel zaken, dus neem hier de tijd voor!
7.1.2 Financiële transacties
Persoonsgegevens zijn ook te herleiden tot financiële transacties. Die gegevens moet u zeven jaar bewaren (zie hoofdstuk 3 en 4). Zorg al tijdens de vastlegging van de gegevens voor een tweedeling in persoonsgegevens die noodzakelijk zijn voor de financiële administratie en overige administratie. Vergeet daarbij niet om ook het onderscheid in categorieën van persoonsgegevens mee te nemen, omdat deze mogelijk tegenstrijdig van aard kunnen zijn. De AVG maakt een onderscheid tussen gewone persoonsgegevens en bijzondere persoonsgegevens, zoals medische gegevens of gegevens over politieke voorkeur (zie paragraaf 3.2).