Inhoud
- Verplichtingen
- Voorwaarden voor verwerking personeelsgegevens
- Melding personeelsadministraties
- Inhoud personeelsdossier
- Volledig dossier nóg belangrijker door WWZ
- Bescherming persoonsgegevens nog niet op orde
- Meldplicht Datalekken
- Boetes 2016
- CSC digitaliseert personeelsdossiers en creëert uniforme HR-omgeving
- Billijke vergoeding vanwege onvoldoende dossieropbouw
- Autoriteit Persoonsgegevens publiceert beleidsregels ‘De zieke werknemer’
- Jurisprudentie
- Digitaliseren personeelsdossiers: veiligheid voor alles
- Algemene verordening gegevensbescherming (AVG)
- Michael Page geconfronteerd met datalek
- Vier aandachtspunten bij digitaliseren Personeelsdossiers
- Checklist ontslag, 6 eisen
- Dossieropbouw bij ontslag: hoever ga je terug?
- Recht van inzage personeelsdossiers onder de AVG
Verplichtingen
Werkgevers verwerken in het kader van de arbeidsrelatie veel persoonsgegevens van hun werknemers. Deze zijn veelal opgeslagen in een personeelsdossier. Werkgevers hebben hierbij te maken met verschillende verplichtingen die voortvloeien uit diverse wet- en regelgevingen. Zo staat in het Burgerlijk Wetboek dat een werkgever zich als “goed werkgever” moet gedragen wat onder meer inhoudt dat hij de privacy van zijn werknemers dient te respecteren. Door de diversiteit aan wet- en regelgeving weten veel werkgevers niet goed wat nu wel en wat niet mag bij het verwerken van personeelsgegevens.
Voorwaarden voor verwerking personeelsgegevens
Uit de Wbp vloeien onder meer de volgende verplichtingen voort:
- De werkgever is verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in de personeelsadministratie;
- Gegevens in het personeelsdossier dienen toereikend, ter zake dienend en niet bovenmatig, gelet op het doel waarvoor ze verwerkt worden, te zijn;
- De werkgever moet de personeelsleden informeren over de doeleinden waarvoor hij hun gegevens verzamelt. Zie het informatieblad Informatieplicht van het CBP;
- De werkgever moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
- Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor de werkgever de gegevens verzamelt of vervolgens gebruikt. Zie het informatieblad Bewaartermijnen van persoonsgegevens en de HR-kiosk subrubriek Wet bescherming personeelsgegevens;
- De werkgever moet de werknemers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren. Het recht op inzage geldt in principe voor het gehele personeelsdossier, zie artikel van het CBP.
Melding personeelsadministraties
Op grond van de Wbp heeft de werkgever een meldingsplicht. Enkele gegevensverwerkingen zijn echter vrijgesteld, zoals de personeels-, salaris- en sollicitantenadministratie. Zie de Wet
Vrijstellingsbesluit Wbp.
Inhoud personeelsdossier
De hoofdregel is dat alleen die gegevens in een personeelsdossier mogen voorkomen die noodzakelijk zijn voor het doel waarvoor het personeelsdossier is ingesteld. Artikel 7 van het Vrijstellingsbesluit (zie vorige alinea) geeft een indicatie welke subdoelen en welke gegevens dat zijn. In het personeelsdossier mogen geen medische gegevens worde bewaard, hetzelfde geldt voor ras, geloof en geaardheid.
Wat wel in een personeelsdossier hoort, is in feite oneindig: personeelskaart, bijna alles wat met de sollicitatie te maken heeft, arbeidsovereenkomst, vergoedingen, tewerkstellingsvergunning of verblijfsvergunning (voor buitenlandse werknemers), auto van de zaak, roosters ploegendienst, pensioengegevens, verlofgegevens, promotie, opleidingen en bezoek seminars et cetera.
Voor meer informatie kunt u de subrubrieken lezen die op deze pagina worden vermeld. Er zijn verder vele externe bronnen, bijvoorbeeld die van
PW, 4 mei 2017.
Arbeidsconflicten kunt u voorkomen door passende arbeidsvoorwaarden en goede communicatie over de wederzijdse verwachtingen.
Voor vragen over de juiste wijze van dossieropbouw kunt u contact opnemen met LWA. Dé specialisten in Arbeidsverhoudingen.
Volledig dossier nóg belangrijker door WWZ
Door de invoering van de Wet werk en zekerheid (
WWZ) wordt het belang van een volledig personeelsdossier de komende jaren alleen maar groter. Het is daarom belangrijk om leidinggevenden nu alvast te instrueren over een goede dossieropbouw. Wat moet er in elk geval in het personeelsdossier zitten?
Door de hervorming van het ontslagrecht per 1 juli 2015 zullen rechters straks kritischer kijken naar het ontslagdossier. Op dit moment gaat een rechter bij twijfel over een personeelsdossier regelmatig over tot ontbinding. Hij kent de werknemer dan vaak een fikse ontslagvergoeding toe, maar het dienstverband is wel beëindigd. Als de
WWZ straks een feit is, zal de rechter het ontslag beoordelen aan de hand van een aantal strikte criteria. Omdat er minder ruimte is om af te wijken van de ontslagvergoeding, zal de rechter eerder besluiten om het dienstverband niet te beëindigen als de dossieropbouw niet in orde is. Ook de invoering van de wettelijke scholingsplicht zal ervoor zorgen dat PZ straks nog beter moet letten op het bijhouden van het personeelsdossier.
Het is de taak van PZ om leidinggevenden te wijzen op de verslaglegging van de gesprekken die zij met hun werknemers voeren. Zorg ervoor dat het personeelsdossier in elk geval de volgende stukken bevat:
- Een getekende arbeidsovereenkomst;
- Een duidelijke functieomschrijving;
- Afspraken over gevolgde opleidingen;
- Verslagen van jaarlijkse functionerings- en beoordelingsgesprekken;
- Alle correspondentie met de werknemer (denk bijvoorbeeld aan klachten, waarschuwingen en e-mails);
- Verslagen van het verbetertraject;
- verzuimfrequentie (hoe vaak u er niet bent);
- een kopie van het identiteitsbewijs;
- het burgerservicenummer (BSN).
NB: De werkgever hoeft verslagen van beoordelings- en functioneringsgesprekken niet in het personeelsdossier op te nemen. Deze verslagen kunnen ook apart worden bewaard bij de direct-leidinggevende. Dergelijke verslagen dienen namelijk een specifiek doel en vallen daardoor niet automatisch onder de personeelsadministratie.
Bescherming persoonsgegevens nog niet op orde
Te veel Nederlandse organisaties zijn nog niet of slechts ten dele gekwalificeerd om op een volwassen manier met de persoonsgegevens van hun klanten om te gaan. Zo is er te weinig overleg tussen de verantwoordelijke afdelingen, worden medewerkers onvoldoende getraind en worden weinig tot geen analyses uitgevoerd om risico’s rondom bijvoorbeeld diefstal en verlies van persoonsgegevens te identificeren. Dat blijkt uit PwC’s Privacy Health Check. (Bron: PWC, 9 feb. 2015)
Meldplicht Datalekken
Nederland bijt het spits af wat betreft de ´
EU Network and Information Security Directive´ door de ´
Wet Bescherming Persoonsgegevens´ (Wbp) uit te breiden met de ´Meldplicht Datalekken. De nieuwe Meldplicht Datalekken is per 1 januari 2016 van toepassing op bedrijven, instellingen en overheden die persoonsgegevens verwerken. De meldplicht verplicht datalekken te melden bij de
Autoriteit Persoonsgegevens.
Volgens artikel 34a, eerste lid, Wet bescherming persoonsgegevens moet een datalek pas gemeld worden als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het moet dus gaan om gegevens die van gevoelige aard zijn, zoals:
- Financiële of economische gegevens;
- Bijzondere persoonsgegevens over bijvoorbeeld iemands godsdienst of levensovertuiging, ras, gezondheid, seksuele leven of strafrechtelijke persoonsgegevens;
- (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, zoals gokverslaving, prestaties op werk of relatieproblemen;
- Gegevens die kunnen worden misbruikt voor (identiteits)fraude, zoals biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn);
- Gebruiksnamen, wachtwoorden en andere inloggegevens.
Boetes 2016
Het College bescherming persoonsgegevens (Cbp), dat vanaf 1 januari 2016 van naam wijzigt en Autoriteit Persoonsgegevens gaat heten, kan vanaf 1 januari 2016 in veel meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Denk hierbij aan de situatie dat persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers is misbruikt.
Bij een datalek gaat het om zaken als:
- Een kwijtgeraakte USB-stick;
- Een gestolen laptop;
- Verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
- Een malware-besmetting;
- Een calamiteit zoals een brand in een datacentrum.
Tot 2016 mocht het
CBP alleen een boete opleggen als een administratief voorschrift werd overtreden. Vanaf 2016 kan de werkgever ook een boete krijgen bij het schenden van meer algemene verplichtingen rondom gebruik en verwerking van persoonsgegevens. De boete varieert van maximaal € 20.225 in de laagste categorie tot maximaal € 810.000 in de hoogste categorie.
NB: Op de website van het
CBP vindt u informatie voor bedrijven en de omgang met
persoonsgegevens.
CSC digitaliseert personeelsdossiers en creëert uniforme HR-omgeving
Het internationale IT-bedrijf CSC besloot de personeelsinformatie te standaardiseren en inzichtelijker te maken en de Global SAP for Finance-omgeving uit te breiden met een HR-module. Een probleem was dat de personeelsdossiers voor een groot deel alleen op papier bestonden. Een gemiddeld personeelsdossier bevat 60 tot 100 bladzijden informatie in de vorm van sollicitaties, arbeidsovereenkomsten, functiebeoordelingen, autolease-contracten, promotiebevestigingen, enzovoort.
Besloten werd alle dossiers te scannen, te indexeren en op een DVD te zetten. Ook werden ruime beveiligingsmaatregelen getroffen. (Bron: HR Praktijk, 26 jan. 2016)
Billijke vergoeding vanwege onvoldoende dossieropbouw
Inzake een ontslaggeval kende de Rechtbank Overijssel naast de transitievergoeding* van € 75.000 een billijke vergoeding van € 80.000 toe. Reden: Vanaf 2004 waren geen functioneringsgesprekken met de betrokken werknemer gevoerd. Recente klachten en notities inzake zijn disfunctioneren, maakten op de kantonrechter geen indruk. Lees de jurisprudentie van
14 maart 2016.
* De maximale hoogte van de transitievergoeding wordt vermeld in subrubriek
Transitievergoeding (tabellen).
Autoriteit Persoonsgegevens publiceert beleidsregels ‘De zieke werknemer’
De
beleidsregels bevatten actuele informatie voor werknemers, werkgevers en andere partijen die gegevens over de gezondheid van (zieke) werknemers verwerken. Zo staat er welke gezondheidsgegevens van werknemers werkgevers mogen verwerken. Daarnaast zijn de normen in deze beleidsregels het uitgangspunt voor de Autoriteit Persoonsgegevens* (AP) als zij onderzoekt of een organisatie in overeenstemming met de wet gezondheidsgegevens van werknemers verwerkt.
* De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. De Autoriteit Persoonsgegevens is onafhankelijk, dat betekent dat zij binnen de kaders van de wet haar eigen koers bepaalt. De leden van de Autoriteit Persoonsgegevens zijn een voorzitter en maximaal 2 andere leden. Voorzitter en leden worden benoemd bij koninklijk besluit op voordracht van de minister van Veiligheid en Justitie.
Jurisprudentie
Werknemers hebben geen recht op inzage van (elektronische) correspondentie in hun
personeelsdossier die persoonlijke aantekeningen en gedachten bevat en alleen bedoeld is voor intern overleg en beraad.
Digitaliseren personeelsdossiers: veiligheid voor alles
Personeelsdossiers vormen voor veel HR-managers nog altijd een flink pijnpunt. De dossiers moeten allereerst voldoen aan uiteenlopende wet- en regelgeving. Daarnaast werken veel bedrijven nog steeds met fysieke dossiers. Probleem hierbij is dat – zeker in grotere organisaties – je het beheer niet meer effectief kunt uitvoeren. (Bron en meer: P&O Actueel,
16 juni 2016)
Algemene verordening gegevensbescherming (AVG)
Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele
EU: de
algemene verordening gegevensbescherming (AVG). Deze nieuwe wet heeft consequenties voor werkgevers, die persoonsgegevens van werknemers opslaan en verwerken. De huidige Nederlandse Wet Bescherming Persoonsgegevens komt dan te vervallen.
Belangrijkste punten
AVG:
- Organisaties kunnen verplicht worden een Data Protection Officer1 aanstellen die onafhankelijk onderzoek kan doen naar het gebruik van persoonsgegevens;
- Bij de ontwikkeling van een nieuw product kunnen organisaties worden verplicht een Privacy Impact Assessment (PIA) in te schakelen die samen met de organisatie moet bekijken wat de impact daarvan is op het gegevensgebruik;
- Consumenten krijgen meer rechten. Zij krijgen bijvoorbeeld recht op de gegevens die zij aan een organisatie hebben verstrekt om die over te dragen aan een andere organisatie (recht op dataportabiliteit);
- Consumenten kunnen organisaties bovendien verzoeken om hun persoonsgegevens zonder onredelijke vertraging te wissen (recht op vergetelheid);
- Organisaties met vestigingen in meerdere EU-landen krijgen nog maar met één privacytoezichthouder te maken.
Bij overtreding van de wet kunnen organisaties sancties opgelegd krijgen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van ondernemingen.
1 Lees meer over Data Protection Officer
Nog steeds zijn er bedrijven die persoonsgegevens opslaan in spreadsheetsoftware als Excel of andere toepassingen die daar niet voor zijn bedoeld. Deze bedrijven zullen aan de
AVG een zware dobber krijgen. Organisaties die al gebruik maken van
HRM-software, hebben het gemakkelijker. Zij zullen deze systemen misschien anders moeten inrichten, maar beschikken al wel over de juiste tools om vanaf 25 mei 2018 te voldoen aan de nieuwe Europese privacyregels. (Bron: PW De Gids, 18 aug. 2016)
Michael Page geconfronteerd met datalek
Personeelsintermediair Michael Page is geconfronteerd met een inbraak in de eigen computers. Het gevolg is dat persoonsgegevens van 711.000 sollicitanten, ook in Nederland, zijn gelekt.
Een onbevoegde partij heeft op 1 november illegaal een server gehackt, die door Capgemini wordt gebruikt om websites van PageGroup te testen. De hackers hebben hierdoor toegang gekregen tot gegevens van sollicitanten die bij het werving- en selectiebureau geregistreerd staan. Het gekraakte bestand heeft betrekking op 711.000 personen in China, Nederland en het Verenigd Koninkrijk.
Het datalek is gemeld bij de Autoriteit Persoonsgegevens. (Bronnen: FD & FlexNIeuws, 14 nov. 2016)
Vier aandachtspunten bij digitaliseren Personeelsdossiers
Veel werkgevers zijn bezig met de overstap van papieren personeelsdossiers naar digitale personeelsdossiers. Vaak houden ze daarbij echter onvoldoende rekening met wet- en regelgeving. Daardoor kunnen er verkeerde keuzes worden gemaakt, of kan zelfs in strijd met de wet worden gehandeld.
Sayed Nasibdar, accountmanager van Karmac, noemt de volgende aandachtspunten:
- Screen de medewerkers van externe scanbedrijven, de dossiers bevatten vertrouwelijke informatie;
- Maak waterdichte leveranciers- en bewerkersovereenkomsten en check die. Let op, volgens de Wet op datalekken is de werkgever als opdrachtgever eindverantwoordelijk voor fouten;
- Sla de personeelsdossiers niet in één bestand op. Volgens de Wet bescherming persoonsgegevens moeten verschillende bewaartermijnen in acht nemen worden genomen. Dus, deel de opslag van personeelsgegevens in verschillende bestanden en daarbinnen op einddatum;
- Zorg voor een beveiligde internetverbinding van de gescande informatie in het eigen e-HRM-pakket.
(Bronnen: Karmac en PW De Gids, mrt 2017)
EXPERT
Checklist ontslag, 6 eisen
Indien een werkgever ontbinding van de arbeidsovereenkomst verzoekt met een disfunctionerende werknemer, voert hij de zogenaamde d-grond aan. De
WWZ schrijft voor aan welke zes gronden een werkgever moet hebben voldaan om ontbinding te kunnen krijgen. Zie hieronder de zes eisen met een korte omschrijving:
- De werknemer is ‘ongeschikt tot het verrichten van de bedongen arbeid’ omdat hij onvoldoende voldoet aan de gestelde functie-eisen.
- Deze ongeschiktheid voor de functie vloeit niet voort uit gebreken van de werknemer. In dat geval kan eventueel de b-grond (langdurige ziekte) of de c-grond (veelvuldig ziek) als ontslaggrond van toepassing zijn.
- De werkgever heeft de kritiek op het functioneren besproken met de werknemer, bij voorkeur tijdens beoordelingsgesprekken, en zorgvuldig vastgelegd.
- De werknemer is in voldoende mate in de gelegenheid gesteld zijn functioneren te verbeteren, bijvoorbeeld door begeleiding, coaching of een verbeterplan.
- De ongeschiktheid is niet het gevolg van onvoldoende zorg voor scholing van de werknemer of voor de arbeidsomstandigheden.
- De werkgever heeft onderzocht of de werknemer kan worden herplaatst in een andere, passende functie die vacant is of tijdens de opzegtermijn vacant wordt.
(Bron, kanttekeningen en jurisprudentie: MT,
26 jul. 2017)
Dossieropbouw bij ontslag: hoever ga je terug?
Wie een medewerker wil ontslaan wegens disfunctioneren of slecht werknemerschap, moet het dossier op orde hebben. Maar de rechter accepteert het niet wanneer er oude koeien uit de sloot worden gehaald.
In een rechtszaak weigert de kantonrechter te kijken naar incidenten van voor 2009. Tussen de tweede helft van 2009 en de tweede helft van 2013 zijn er geen incidenten geregistreerd. Het kan volgens de kantonrechter niet zo zijn dat incidenten in een ver verleden, zeker als een zeer ruime periode is verstreken waarin geen incidenten zijn geregistreerd, een
werknemer zijn gehele carrière blijven achtervolgen. Lees de betreffende jurisprudentie d.d.
13 nov. 2017. (Bron: PW,
20 nov. 2017)
Recht van inzage personeelsdossiers onder de AVG
Onder de Algemene Verordening Gegevensbescherming (
AVG), die vanaf 25 mei 2018 van toepassing is, hebben betrokkenen onder andere het recht op inzage in hun persoonsgegevens (art. 15
AVG). Dit betekent dat een betrokkene een organisatie kan vragen welke gegevens van hem/haar worden verwerkt en de betrokkene de organisatie kan verzoeken deze gegevens in te zien. Het recht op inzage is niet nieuw en bestond ook onder de voormalige Wet bescherming persoonsgegevens (Wbp) (art. 35 Wbp). De ratio achter het inzagerecht is dat een betrokkene er op deze manier achter kan komen welke persoonsgegevens voor welke doeleinden en op welke grondslagen door een bepaalde organisatie worden verwerkt, en of deze gegevens (nog) kloppen.
Wbp
In de Wbp was opgenomen dat een betrokkene een ‘overzicht’ kan vragen van persoonsgegevens die worden verwerkt. Uit rechtspraak van het Europese Hof van Justitie én Nederlandse rechters blijkt ook dat een overzicht met categorieën persoonsgegevens en de bijbehorende verwerkingsdoeleinden daarvoor voldoende was; de betrokkene heeft geen recht op een exacte kopie van alle stukken.
In tegenstelling tot de Wbp hebben werknemers onder de
AVG echter wel het recht een kopie van hun personeelsdossier te ontvangen. Bij een elektronisch verzoek brengt dit met zich mee dat de werkgever de kopie in een ‘gangbare elektronische vorm’ aan de werknemer dient te verstrekken. Dient een werkgever voortaan altijd een kopie te verstrekken van het volledige personeelsdossiers? Of mag een werkgever weigeren of kosten in rekening brengen? In dit artikel zal hier specifiek op worden ingegaan.
Steeds vaker wordt in de praktijk door werknemers verzocht om een kopie van hun personeelsdossier. Moet je als werkgever hieraan onverkort gevolg geven of zijn hierop uitzonderingen en wat zijn de gevolgen als geen inzage wordt verstrekt of slechts gedeeltelijk?
Allereerst is het goed om even voor ogen te houden wat nou eigenlijk in een personeelsdossier thuishoort en wat niet. In een personeelsdossier bewaart een werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren. Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan een werkgever zijn beslissingen over de werknemer kan onderbouwen, of het nu om een salarisverhoging gaat of om ontslag. In het personeelsdossier kunnen bijvoorbeeld klachten, waarschuwingen, verzuimfrequentie, kopie identiteitsbewijs of persoonlijke werkaantekeningen worden opgenomen. Medische gegevens mogen in principe niet worden opgenomen in het personeelsdossier. Hetzelfde geldt voor gegevens over seksuele geaardheid, ras, politieke voorkeur en godsdienst.
Recht op inzage en informatie welke gegevens
De werknemer heeft het recht te worden geïnformeerd over welke gegevens verzameld worden. Daarom is het verstandig om te vermelden als gegevens worden opgenomen in het personeelsdossier, bijvoorbeeld in geval van verslagleggingen over het functioneren.
Maar het inzagerecht is niet onbeperkt. Uit de rechtspraak volgt dat interne notities die de persoonlijke gedachten van medewerkers van de verantwoordelijke bevatten en uitsluitend bedoeld zijn voor intern overleg en beraad niet onder het inzagerecht vallen en dus niet hoeven te worden verstrekt. Een uiteindelijk op grond van interne notities opgemaakt rapport valt hier wel weer onder. Een andere uitzondering op het inzagerecht is dat het belang van de werkgever om bepaalde gegevens niet te verstrekken zwaarder weegt dan het belang van de werknemer om inzage. Ook kan inzage worden beperkt omdat een derde bedenkingen heeft tegen inzage. Dus niet gedwee een verzoek tot inzage opvolgen, maar eerst nagaan of er gegevens zijn die niet verstrekt hoeven te worden.
Kort geding
Als een werkgever weigert om een werknemer inzage te verstrekken in zijn personeelsdossier kan in kort geding om afgifte verzocht worden. Een weigering om inzage te geven kan ook meespelen in een ontbindingsprocedure. Dit kan voor een rechter aanleiding zijn om een hogere vergoeding toe te kennen. Als de werkgever op verzoek van de werknemer niet het volledige personeelsdossier verstrekt, kan dit geoordeeld worden als onrechtmatig handelen van de werkgever. Wel zijn er situaties denkbaar dat het de werkgever niet kan worden aangerekend dat hij informatie achterhoudt, bijvoorbeeld als dit noodzakelijk is om de rechten en vrijheden van anderen te beschermen.
Zie ook: (
Bron Ploum)
Arbeidsconflicten kunt u voorkomen door passende arbeidsvoorwaarden en goede communicatie over de wederzijdse verwachtingen.
Voor vragen over de juiste wijze van dossier opbouw kunt u contact opnemen met LWA. De specialisten in Arbeidsverhoudingen.