03.april.2018
Privacy in HR: bewaartermijnen onder de AVG
Vanaf 25 mei 2018 geldt de Europese privacy verordening, de AVG. Hoe zit het met hele praktische, dagelijkse zaken op HR terrein, zoals bewaartermijnen?
Het antwoord staat niet in de wet
Om te beginnen: in de privacy wetgeving staan geen bewaartermijnen. Ze staan niet de huidige Wet bescherming persoonsgegevens (WBP) straks ook niet in de AVG. In de AVG staat eenvoudig gezegd alleen de gegevens mogen bewaard worden zolang ze relevant zijn. Relevant voor het doel waarvoor ze ooit zijn verzameld. Uiteraard op voorwaarde dat de werkgever ook een verwerkingsgrondslag had toen de verwerking aanvang nam. Als er überhaupt geen grond is om iets op te slaan in het personeelsdossier, komt de vraag hoe lang je iets mag opslaan of bewaren uiteraard helemaal niet aan de orde.
Wat is nieuw rondom bewaartermijnen?
De oude en nieuwe privacy wet schrijven geen termijnen voor, maar dwingen tot nadenken. In zoverre niets nieuws dus. Wat wél nieuw is: onder de AVG moet de werkgever zich aantoonbaar kunnen verantwoorden over de keuzes die zijn gemaakt. Er gaat een verantwoordingsplicht gelden. De werkgever zal desgevraagd uitleg moeten geven over de gemaakte keuzes. Primair tegenover de privacy toezichthouder, de Autoriteit Persoonsgegevens. Maar de werknemer heeft ook het recht op informatie over zijn privacy. Om te weten wat er precies met persoonsgegevens gebeurt. En dus ook hoe lang die worden bewaard.
Hoe dan de bewaartermijn bepalen?
Voor sommige gegevens in het personeelsdossier geldt een fiscale bewaarplicht. Bijvoorbeeld een kopie van het identiteitsbewijs, dit moet u als werkgever vijf jaar na einde dienstverband bewaren. Maar hoe om te gaan met documenten die niet onder de fiscale bewaarverplichtingen vallen?
Onder het de huidige wet moet een verwerking, zoals een personeelsadministratie, worden gemeld bij de Autoriteit Persoonsgegevens. Op grond van het Vrijstellingsbesluit hoeft een groot aantal verwerkingen echter niet gemeld te worden. Deze zijn vrijgesteld. Het Vrijstellingsbesluit gaat uit van een bewaartermijn van twee jaar na einde dienstverband. Nu de norm uit de WBP en AVG gelijkluidend is, vind ik er veel voor te zeggen dat het (blijven) aanhouden van deze bewaartermijn uit het Vrijstellingsbesluit ook onder de AVG passend is.
Bewaartermijn blijft maatwerk
Toch blijft het bepalen van bewaartermijn maatwerk. Wilt u als werkgever AVG compliant zijn? Dan zijn kritische vragen vereist. Kan het personeelsdossier ook niet tijdens het dienstverband niet al periodiek worden opgeschoond? Zodat niet álles dat wordt verzameld, ook daadwerkelijk tot twee jaar na einde dienstverband wordt bewaard. En is er misschien reden om bepaalde informatie langer dan twee jaar na einde dienstverband te bewaren? Dit laatste mag, zolang er maar een verwerkingsgrondslag is en het bewaren proportioneel is. Eenvoudig gezegd, is het écht relevant?
Redenen voor kortere of langere bewaartermijn
Is het echt nodig om functioneringsverslagen meer dan 10 jaar te bewaren? Arbeidsrechtelijk zijn dergelijke oude verslagen al heel snel niet meer relevant, tenzij er bijvoorbeeld een (ernstig) incident in wordt vermeld. De noodzaak voor de werkgever om dit nog te bewaren is er misschien wel niet meer. Hetzelfde geldt voor een loonbeslag uit het verleden. Hoe relevant zijn deze gegevens nog na verloop van een aantal jaren?
Er zijn ook omstandigheden denkbaar waarin voor bepaalde informatie een langere bewaartermijn wenselijk is. Bijvoorbeeld in het kader van werkgeversaansprakelijkheid voor ongevallen op de werkvloer. Of beroepsziekten, waarvan de gevolgen pas jaren na einde dienstverband duidelijk worden. Indien tijdens het dienstverband veiligheidstrainingen zijn geboden, voorlichting is gegeven en een werknemer heeft getekend voor ontvangst van beschermingsmiddelen, kan dat juridisch heel relevant zijn. Dit zal niet voor alle organisaties gelden, maar voor bedrijven waarbinnen wordt gewerkt met gevaarlijke stoffen of machines wel.