U bent hier

Onderneming & Administratie
Rapporteren14. Beoordeling, privacy en verslaglegging14.2 Privacybescherming
Voor Onderneming & Administratie

14.2 Privacybescherming

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: februari 2015

De Wet bescherming persoonsgegevens (WBP) geeft algemene regels ter bescherming van de privacy van burgers en daarmee dus ook van werknemers. Zo stelt de wet eisen aan het verzamelen, opslaan, vastleggen, verwerken, bewaren, vergelijken, koppelen, raadplegen, verspreiden en zelfs verwijderen van persoonsgegevens van werknemers. Ook bij de vastlegging van gespreksverslagen in het personeelsdossier moet u rekening houden met deze privacywetgeving.

Bepaalde acties van uw organisatie waarbij personeelsgegevens zijn betrokken, moet u officieel aanmelden bij het CPB, het College Bescherming Persoonsgegevens. Omgekeerd hebben werknemers inzage- en correctierecht op hun bijgehouden gegevens.

14.2.1 Wettelijke grondslagen

U mag persoonsgegevens alleen verwerken als u zich kunt beroepen op één van de zes grondslagen die in artikel 8 van de WBP zijn vastgelegd. Deze grondslagen luiden als volgt:

  • Toestemming: de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend.
  • Uitvoering van een overeenkomst: de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst die is of op het punt staat te worden gesloten. Zo kan een webwinkel persoonsgegevens aan een postbedrijf verstrekken zodat het een bestelling kan afleveren.
  • Een wettelijke verplichting: de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen. Denk aan de belastinginspecteur die persoonsgegevens mag opvragen.
  • Een vitaal belang: de gegevensverwerking is noodzakelijk om een vitaal belang van de betrokkene te dienen. Denk aan het doorgeven van medische gegevens als iemand buiten bewustzijn is.
  • Uitvoering van een publiekrechtelijke taak: de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. Zo mag het UWV gegevens doorgeven aan een arbodienst.
  • Een gerechtvaardigd belang: als de gegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, voorgaat. Zie voor het begrip ‘gerechtvaardigd belang’ onderstaand kader.

Een gerechtvaardigd belang

Op grond van een wettelijke grondslag mag u persoonsgegevens verwerken om een zogenoemd ‘gerechtvaardigd belang’ te dienen. Het gaat dan om persoonsgegevens die noodzakelijk zijn om uw normale bedrijfsactiviteiten uit te voeren. Zo kunt u als postorderbedrijf een gerechtvaardigd belang hebben om geadresseerde reclame te versturen. Omgekeerd geldt echter ook dat u geen inbreuk mag maken op een gerechtvaardigd belang van de betrokkene. U moet hier zelf een belangenafweging maken. Kunt u met minder gegevens of via een minder ingrijpende weg hetzelfde resultaat bereiken?

14.2.2 Rechten en plichten

Het vastleggen van gegevens is dus niet verboden, maar wel aan voorwaarden gebonden. De WBP stelt de werknemer in staat te weten te komen welke gegevens over hem voor welk doel worden vastgelegd en om daartegen eventueel bezwaar te maken. In het kader van functionerings- en beoordelingsgesprekken gelden de volgende voorwaarden:

  • Personeelvolgsystemen die systematisch informatie verzamelen over het functioneren van werknemers zijn niet zonder meer toegestaan.
  • U mag persoonsgegevens niet (tijdelijk) aan derden overdragen zonder toestemming van de werknemer.
  • Gespreksverslagen van functionerings- en beoordelingsgesprekken moet u vertrouwelijk behandelen.
  • Werknemers hebben het recht geïnformeerd te worden over de gegevens die over hen worden bijgehouden in het personeelsdossier.
  • Op grond van artikel 35 van de Wbp hebben werknemers na een verzoek daartoe het recht om binnen vier weken inzage te krijgen in hun personeelsdossier. Dit geldt ook voor de gespreksverslagen die meestal in het personeelsdossier worden opgeslagen.
  • Werknemers hebben het recht gegevens in het dossier te wijzigen, aan te vullen of te verwijderen als deze gegevens feitelijk onjuist, niet compleet of overbodig zijn. Dit geldt ook voor gespreksverslagen, tenzij deze zijn ondertekend door de werknemer en de leidinggevende.

14.2.3 Het personeelsdossier

De bepalingen van de WBP zijn ook van toepassing op het personeelsdossier dat u voor elke werknemer in uw organisatie samenstelt bij indiensttreding. De stamkaart vormt het startpunt van dit dossier. Op deze kaart vermeldt u de volgende gegevens:

  • voor- en achternaam;
  • geboortedatum;
  • adres;
  • telefoonnummer;
  • e-mailadres;
  • bankrekening;
  • nationaliteit;
  • functie en datum aanstelling.

Subdossiers

In subdossiers bewaart u allerlei documenten en informatie over de werknemer, zoals:

  • brieven en rapportages van de werving en selectie;
  • de arbeidsovereenkomst;
  • aanvullende arbeidsvoorwaarden, deelname aan een spaar- of autoregeling, een personeelslening e.d.;
  • een kopie van het identiteitsbewijs van de werknemer;
  • gegevens over opleidingen en loopbaanplanning;
  • gegevens over pensioenaanspraken;
  • verslagen van gesprekken voor de beoordelingscyclus;
  • gegevens over ziekteverzuim of arbeidsongeschiktheid.

Documenten over de oorzaken van ziekteverzuim of arbeidsongeschiktheid vallen onder het medisch beroepsgeheim en worden bewaard bij de arbodienst waarbij uw organisatie is aangesloten. Deze stukken horen dus niet thuis in het personeelsdossier!

Bijzondere gegevens

Voor het gebruik van sommige ‘bijzondere gegevens’ gelden strikte voorwaarden. U kunt hierbij denken aan gegevens over iemands ras, politieke gezindheid, gezondheid en seksuele voorkeur. Dit type gegevens mag alleen worden verwerkt door bij de wet aangewezen instanties of met uitdrukkelijke toestemming van de betrokkene. Zo mag een instelling in de gezondheidszorg gegevens over de gezondheid van personen vastleggen.

14.2.4 Bewaartermijnen

De WBP geeft geen concrete bewaartermijn voor persoonsgegevens, maar stelt dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor u ze heeft verzameld of gebruikt. Dat is rekbaar. Toch is er een aantal wettelijke bepalingen, onder meer in de Archiefwet, het Burgerlijk Wetboek, de belastingwetgeving en sollicitatiecodes, die maximale bewaartermijnen voor bepaalde documenten en dossiers geven:

  • sollicitatiegegevens: vier weken na afloop van de procedure (niet gemeld en geen toestemming van het College voor de Rechten van de Mens) (CRM) of onbeperkt (wel gemeld en met toestemming van het CRM);
  • arbeidsovereenkomsten, verslagen van functionerings- en beoordelingsgesprekken, correspondentie over aanstelling, promotie, demotie, ontslag: twee jaar;
  • kopie identiteitsbewijs: vijf jaar na uitdiensttreding;
  • overige personeelsgegevens: zeven jaar;
  • loon- en fiscale gegevens: zeven jaar;
  • medische gegevens/arbostukken: tien jaar.

14.2.5 Sollicitatiecode

Veel organisaties werken bij de werving en selectie van werknemers met een sollicitatiecode, waarin de rechten en plichten van kandidaten zijn omschreven. Een bekende code is die van de NVP, de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling. In 2013 is de code uitgebreid met regels voor online verkregen informatie over sollicitanten, bewaartermijnen van gegevens en uitnodiging/afwijzing via e-mail. Belangrijke elementen zijn:

  • het gebruik van social media bij werving en selectie is onder voorwaarden toegestaan;
  • informatie op social media is niet per definitie juist of betrouwbaar: u bent verplicht nadelige informatie die relevant is voor de functie waarop de kandidaat solliciteert, met hem te bespreken;
  • disciplinaire maatregelen bij schending van de code.

Het is niet toegestaan zomaar sollicitatiegegevens door te spelen naar een headhunter. U mag deze gegevens niet langer bewaren dan noodzakelijk is voor de selectie.