15.maart.2018

Privacy in HR: wat mag er onder de AVG in een personeelsdossier zitten?

De nieuwe privacy wetgeving houdt de gemoederen flink bezig. Er verandert vanaf 25 mei 2018 met de komst van de Europese privacy verordening (AVG) veel. Werknemers krijgen meer rechten en werkgevers meer plichten. Het leidt tot allerlei praktische vragen. Bijvoorbeeld wat er straks nog in een personeelsdossier bewaard mag worden.

Het antwoord staat niet in de wet

Om te beginnen: de wet verbiedt niets. In de wet staat niet wat wel of niet in een personeelsdossier mag worden bewaard. Dat is onder de huidige Wet bescherming persoonsgegevens al het geval. En dat verandert niet onder de AVG.

Wat is wél nieuw?

De wet verbiedt dus niets, maar dwingt tot nadenken. En ook dát was al zo en is dus niet nieuw. Wat wél nieuw is: onder de AVG moet de werkgever zich aantoonbaar kunnen verantwoorden over de keuzes die zijn gemaakt. Er gaat een verantwoordingsplicht gelden.

Accountability

De verantwoordingsplicht (accountability) veronderstelt een expliciete belangenafweging. De werkgever moet kunnen uitleggen waarom bepaalde gegevens worden bewaard. Is het echt noodzakelijk bepaalde gegevens te bewaren? Voor welk doel? En zo ja, op welke manier en hoe lang? Wordt dit periodiek heroverwogen? Wie kan de gegevens inzien?

De wet geeft geen concrete normen, maar slechts kaders. De werkgever zal zelf afwegingen moeten maken en desgevraagd uitleg moeten geven over de gemaakte keuzes. Primair tegenover de privacy toezichthouder, de Autoriteit Persoonsgegevens. Maar de werknemer heeft ook het recht op informatie over zijn privacy. Om te weten wat er precies met persoonsgegevens gebeurt.

Ik zal een aantal voorbeelden geven van praktische situaties. En de vragen die u als werkgever zou moeten stellen om tot een te verantwoorde afweging te komen.

Praktijkvoorbeeld 1: sollicitatiebrief en CV

Het uitgangspunt is dataminimalisatie. De werkgever moet zich daarom altijd kritisch de vraag stellen: is dit nu écht relevant om op te slaan? Neem bijvoorbeeld de sollicitatiebrief en het CV. De sollicitatiebrief heeft waarschijnlijk al snel niet zo veel toegevoegde waarde meer.

Maar voor een CV kan dat anders zijn. Daarop heeft de werknemer immers vermeld welke opleidingen zijn genoten en wat de werkervaring is. Dat kan in een later stadium nuttige informatie zijn. Bijvoorbeeld om vast te stellen of er sprake kan zijn van opvolgend werkgeverschap. Of dat er sprake is van dienstjaren in de sector die relevant zijn voor een wachtgeldaanspraak. Denk ook aan twijfel aan de kwalificaties, dan kan -voor zo ver dat niet al is gedaan- gecontroleerd worden of er ook echt een diploma is behaald. Het zal afhankelijk zijn van organisatie en/of sector van werkgever, de soort functie en opleidingsniveau, of er inderdaad goede redenen zijn om een CV in het personeelsdossier te bewaren.

Praktijkvoorbeeld 2: verslagen van functioneringsgesprekken

Dat dit soort verslagen wordt bewaard in het personeelsdossier, is al snel legitiem. Hetzelfde geldt voor andere brieven of aantekeningen met betrekking tot het functioneren. Maar als u als werkgever AVG compliant wil zijn, zult u kritische vragen moeten blijven stellen. Bijvoorbeeld wáár worden dit soort stukken bewaard? En hoe lang? Op bewaartermijnen zal ik in een volgend artikel nader ingaan.

Ik zie in de praktijk regelmatig dat leidinggevenden eigen, decentrale dossiers aanleggen. Personeelsdossiers zullen, als het goed is, op een veilige manier worden opgeslagen. Kan dit niveau van beveiliging ook worden gewaarborgd voor leidinggevenden die stukken bewaren in hun mailbox, op hun laptop of de server? Om in personeelsdossier te kunnen, zal vermoedelijk een autorisatieniveau gelden. Maar wie kan in de stukken van leidinggevende kijken, die niet in het personeelsdossier zitten?

Verder geldt dat werknemers het recht van kopie hebben. Als vanuit HR niet centraal overzicht bestaat wie welke stukken waar opslaat, zal aan de verplichting om inzage te geven niet zo makkelijk kunnen worden voldaan. In een volgend artikel zal ik nader ingaan op dit recht van kopie.

Conclusie

De AVG verbiedt niets als het gaat om personeelsdossiers, maar dwingt tot kritisch nadenken en verantwoording. Is uit te leggen waarom het écht relevant -noodzakelijk – is om iets in het personeelsdossier te bewaren?