U bent hier

Onderneming & Personeel
Personeelsadministratie4. Privacywetgeving naleven4.4 Rechten werknemer
Voor Onderneming & Personeel

4.4 Rechten werknemer

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

op grond van de AVG

Werknemers hebben op grond van de AVG bepaalde rechten rond hun gegevens die in de personeelsadministratie zijn opgenomen. Doordat uw organisatie hun persoonsgegevens verwerkt, gelden zij immers als zogeheten betrokkenen (zie hiervoor).

De verplichtingen voor uw organisatie (zie paragraaf 4.3) vormen vaak de rechten voor de werknemer. Bijvoorbeeld dat werknemers het recht hebben om te weten welke gegevens u van hen verzamelt en bewaart. Uw organisatie is verplicht hen hierover (voortdurend) te informeren.

Inzage

binnen vier weken reageren

kopie

Werknemers hebben het recht om hun personeelsdossier in te zien om te weten hoe hun persoonsgegevens worden verwerkt. Vragen zij om inzage, dan moet uw organisatie binnen vier weken schriftelijk reageren. U moet de werknemers bepaalde informatie verstrekken en inzage geven. Denk hierbij aan het doel van de verwerking, aan wie de persoonsgegevens worden doorgespeeld en hoelang de data worden opgeslagen. Werknemers hebben ook het recht om een kopie te ontvangen van de gegevens in hun personeelsdossier.

afschermen

U hoeft echter niet alle gegevens prijs te geven. Persoonlijke aantekeningen van een leidinggevende die zijn bedoeld voor intern overleg, vallen niet onder het inzagerecht. Ook kan uw organisatie informatie afschermen omdat in de stukken gegevens van een collega zijn genoemd.

Door het recht op overdraagbaarheid (dataportabiliteit) moeten werknemers de gegevens die uw organisatie van hen heeft, kunnen opvragen in gestructureerde, gangbare en machineleesbare vorm. Zij moeten die gegevens aan een andere organisatie kunnen (laten) overdragen.

Aanpassing

verbetering

Werknemers hebben ook het recht om uw organisatie te verzoeken om aanpassing van bepaalde gegevens, zoals de aanvulling, verbetering of afscherming van de gegevens. Het moet dan gaan om informatie die onjuist, onvolledig of niet relevant is.

Rectificatie van onjuiste persoonsgegevens

meteen

op de hoogte brengen

Een rectificatie van onjuiste persoonsgegevens moet meteen plaatsvinden. Dit recht is niet absoluut, maar wordt begrensd door wat gezien het doel en de grondslag voor verwerken redelijk is. Als u meent dat rectificatie onevenredig veel inspanning vraagt of onmogelijk is, moet u dit kunnen onderbouwen!

Uw organisatie is verder verplicht om elke partij die de onjuiste persoonsgegevens heeft ontvangen op de hoogte te brengen van de rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Vergetelheid

stoppen met verwerken

bezwaar

Op grond van het recht op zogeheten vergetelheid moet uw organisatie op verzoek van de werknemer stoppen met het verwerken van zijn persoonsgegevens en deze verwijderen. U moet zonder onredelijke vertraging zorgen voor verwijdering van de persoonsgegevens van de (ex-)werknemer in onder andere de volgende gevallen:

  • De persoonsgegevens zijn niet langer nodig voor de doelen waarvoor zij zijn verzameld of zijn op een andere manier verwerkt dan de bedoeling was.
  • De betrokkene heeft zijn toestemming ingetrokken en er bestaat geen andere grondslag voor de verwerking.
  • De betrokkene maakt bezwaar tegen de verwerking.
  • De persoonsgegevens zijn onrechtmatig verwerkt.

Werknemer vraagt om verwijdering van gegevens

wettelijk verplicht

Het staat werknemers vrij om de organisatie te vragen hun gegevens te verwijderen, maar u hoeft hier niet altijd direct gehoor aan te geven. Zo bent u bijvoorbeeld wettelijk verplicht om een kopie van een bij indiensttreding geldig identiteitsbewijs van werknemers te bewaren tot vijf jaar na het kalenderjaar dat zij uit dienst zijn gegaan (zie ook hoofdstuk 5). Daarom hoeft u pas na die termijn gehoor te geven aan een verzoek om verwijdering van dit document.

beveiliging

Aangezien zo’n kopie persoonsgegevens bevat, geldt uiteraard wel dat uw organisatie gedurende de wettelijke bewaartermijn adequate beveiliging ervan moet regelen en aan verzoeken tot inzage moet voldoen.

grondig te werk gaan

geen gemakkelijke opgave

Een aandachtspunt bij het recht om vergeten te worden, is om grondig te werk te gaan als het gaat om digitale persoonsgegevens. Bij digitale informatie ligt namelijk het gevaar op de loer dat er (onbedoelde) kopieën van de betreffende gegevens achterblijven: op het netwerk, in een digitaal archief, maar ook bijvoorbeeld in de e-mail van een werknemer. En als dan die e-mail wordt gewist, wil dat nog niet zeggen dat iemand met de juiste kennis die niet terug kan halen. Digitale informatie op zo’n manier wissen dat die niet meer kan opduiken, is dus geen gemakkelijke opgave voor uw organisatie!

Als zijn persoonsgegevens niet juist zijn overgenomen of onrechtmatig worden verwerkt, kan de werknemer zich ook beroepen op het recht op beperking van de verwerking. Dit houdt in dat de verzamelde persoonsgegevens soms (tijdelijk) niet verwerkt of gewijzigd mogen worden.

Beveiliging

maatregelen

Verder hebben werknemers het recht dat uw organisatie maatregelen treft om hun persoonsgegevens te beschermen tegen bijvoorbeeld diefstal. Uw organisatie moet er ook voor zorgen dat alleen hiertoe bevoegde personen de persoonsgegevens van werknemers kunnen inzien.

alleen bevoegden

Werkt u met papieren dossiers, dan moet u zorgen voor een kast die op slot kan. Zijn de personeelsdossiers gedigitaliseerd, dan moet u ook zorgen voor een adequate beveiliging van die dossiers. Dat is mogelijk door alleen bevoegde functionarissen toegang tot de digitale dossiers te geven en een wachtwoord aan hun account te koppelen. Op die manier heeft de organisatie aan haar verplichting van de beveiliging van de gegevens voldaan (zie ook hoofdstuk 6).

Werknemers kunnen bezwaar maken tegen de verwerking van hun persoonsgegevens, bijvoorbeeld als zij vinden dat uw organisatie er niet zorgvuldig mee omgaat.