AVG | Veelgestelde vragen
Veelgestelde vragen over de AVG in het HRM-proces
Bij personeelszaken wordt er bij uitstek persoonsgegevens gebruikt. Je kunt hierbij denken aan de basispersoonsgegevens, maar ook gevoelige gegevens als rapporten van de bedrijfsarts bij arbeidsongeschiktheid.
Hoe lang en welke gegevens mag je (digitaal) bewaren van je werknemers?
Werkgevers verwerken veel persoonsgegevens van hun werknemers. Deze zijn vaak opgeslagen in een personeelsdossier. Werkgevers mogen alleen een personeelsdossier aanleggen als dat noodzakelijk is om een arbeidsovereenkomst.
Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over de werknemer kan onderbouwen. Naast persoonlijke gegevens gaat het om informatie over arbeidsovereenkomsten en arbeidsvoorwaarden, functioneren en ontwikkeling, ziekteverzuim en bijzonderheden. Werkgevers moeten daarbij rekening houden met de privacy van hun werknemers.
In de AVG staat niets over welke gegevens wel of niet bewaard mogen worden, maar de AVG geeft wél aan onder welke voorwaarden persoonsgegevens in het personeelsdossier mogen worden bewaard. Je moet dus goed nadenken over welke gegevens je in het personeelsdossier wilt bewaren. Zo mogen de arbeidsovereenkomst en gegevens die nodig zijn voor de loonadministratie, worden bewaard op grond van de grondslagen uitvoering van een overeenkomst en uitvoering van een wettelijke bepaling. Maar medische gegevens over bijvoorbeeld ziekteverzuim mogen niet worden bewaard. Foto’s van werknemers mogen alleen met toestemming van de werknemer worden bewaard of gebruikt.
Ook hier is het belangrijk om in een privacy-reglement te hebben, waarin is vastgelegd:
- Welke gegevens er bewaard of verwerkt worden en wat het doel hiervan is;
- Hoe de beveiliging van de gegevens is geregeld en wat de bewaartermijnen zijn;
- Specifiek voor het personeelsdossier: inzagerecht van de werknemer en het recht op correctie van personeelsdossier.
De voorwaarden die de AVG geeft voor het aanleggen van personeelsdossiers, kun je lezen op de website van de Autoriteit Persoonsgegevens.
Kun je in een arbeidsovereenkomst opnemen dat de werknemer, met ondertekening van het contract, toestemt met het verwerken van zijn persoonsgegevens?
Je mag dit opnemen in de arbeidsovereenkomst. Maar hier kleven een aantal haken en ogen aan. Belangrijk is dan dat, wanneer je dit opneemt in de arbeidsovereenkomst, je de arbeidsovereenkomst moet aanpassen of een nieuwe arbeidsovereenkomst moet opstellen als de werknemer de toestemming intrekt. Het is praktischer om dit los van de arbeidsovereenkomst te regelen in een apart toestemmingsformulier.
Hoe organiseer je inzage in het personeelsdossier?
Het begint bij het register. Het overzicht van de verwerkingen van persoonsgegevens. Daarin kun je vermelden wat je doet met persoonsgegevens. Inzage in het personeelsdossier kan een medewerker aanvragen bij de HR afdeling/verantwoordelijke.
Wat moet je doen bij loonverwerking en ziekteverzuim via derden?
Je hoeft geen toestemming te vragen aan je personeel. Maar je moet wél je personeel informeren over de uitbesteding van de loonadministratie en het ziekteverzuim en een privacybeleid hebben. Overigens blijf je in dit geval eindverantwoordelijke voor de verwerking van de gegevens en dien je een verwerkersovereenkomst af te sluiten met het loonadministratiebedrijf en de verzuimbegeleider.
Wat doe je met de track & trace gegevens van de bedrijfsauto's?
Je legt eerst vast in een privacybeleid wat het doel van het verwerken van deze gegevens is en alle overige zaken die nodig zijn om een privacybeleid te formuleren op dit punt. Daarna informeer je de werknemer over het doel van het vastleggen, bewaartermijn etc.
Gelden voor een papieren personeelsadministratie en een digitaal archief dezelfde regels?
Ja, een papieren personeelsadministratie valt ook onder de definitie van bestand, en valt daardoor dus ook onder de AVG. Je moet de personeelsadministratie in het privacybeleid opnemen.
Wat is de rol van de OR met betrekking tot de AVG?
De AVG gaat niet in op de rol van de ondernemingsraad (OR) of personeelsvertegenwoordiging. Op grond van de Wet op de ondernemingsraden (WOR) moet een werkgever aan de OR instemming vragen voor een regeling voor voorzieningen die gericht zijn op, of geschikt zijn voor, de waarneming van of controle op de aanwezigheid van gedrag of prestaties van de in de onderneming werkzame personen.
Dit instemmingsrecht heeft met name betrekking op het aanleggen van een persoonsregistratie en op de door de werkgever opgestelde regelingen over het verzamelen, bewaren, gebruiken en beveiligen van deze persoonsgegevens. Ook een regeling voor bijvoorbeeld cameratoezicht, personeelsvolgsystemen of tijdsregistratiesystemen valt onder het instemmingsrecht van de OR.
Ga je beleid over persoonsgegevens opstellen of aanpassen, dan moet je dat beleid ter instemming voorleggen aan de ondernemingsraad of je personeelsvertegenwoordiging. Het kan daarom handig zijn om een vertegenwoordiger uit het medezeggenschapsorgaan bij de voorbereiding te betrekken.
Wat als medewerkers zelf hun rekening van vakbondslidmaatschap indienen t.b.v. de cao-vergoeding voor de vakbondscontributie?
De medewerkers verstrekken de informatie zelf en dan is het niet nodig om nog expliciet toestemming te verlenen voor het verwerken van de gegevens. Als je de rekening voor een ander doel wilt gebruiken dan alleen het betalen van de vergoeding volgens cao, dan moeten ze daar wel toestemming voor geven.
Wat doe je met cv's na een sollicitatie?
Als je de cv’s wilt behouden, dan moet je toestemming aan de betrokken personen vragen. Als het om nieuwe sollicitanten gaat, kan je bij de sollicitatieprocedure de sollicitant direct om toestemming vragen. Wil je dat niet, dan moeten de cv’s vier weken na het einde van de sollicitatieprocedure vernietigd worden.
Veelgestelde vragen AVG en Wka (Wet ketenaansprakelijkheid)
In het kader van de Wet ketenaansprakelijkheid heb je persoonsgegevens nodig van de werknemers van de onderaannemers die je inhuurt. Waar je aan moet denken bij het opvragen, opslaan en verwerken van deze gegevens en andere relevante zaken, kan je lezen in de onderstaande vragen en bijbehorende antwoorden.
Mag je de BSN-nummers nog vermelden op mandagen registers?
Ja, dat mag. In de Wka wordt een (hoofd)aannemer gevrijwaard van de aansprakelijkheid voor loonheffingen als hij kan aantonen welke arbeidskrachten op een project werkzaam zijn geweest. Hij kan dit doen door aan zijn onderaannemers te vragen de NAW-gegevens en BSN van de werknemers van de onderaannemers op de mandagenstaten te noteren. Dit is ook vastgelegd in de Wet ketenaansprakelijkheid en daarom een wettelijke grondslag in het kader van de AVG.
Welke gegevens mag je vermelden op mandagenstaten die bij een factuur worden gevoegd?
Veel opdrachtgevers verlangen nog altijd mandagenregisters bij facturen voor onderaanneming. Je mag mandagenregisters naar de opdrachtgevers versturen. En je mag op de mandagenstaten NAW-gegevens en BSN vermelden op grond van de Wka.
Ontstaat er geen tegenstrijdigheid door de AVG bij de registratie in het kader van Wka?
Nee, de Wka geeft een grondslag, een wettelijke verplichting, voor het verzamelen van persoonsgegevens.
Mag je van een zpp’er de persoonsgegevens noteren?
Nee, dat mag niet. Een zzp’er valt niet onder de werkingssfeer van de Wka. De Wka gaat immers over aansprakelijkheid t.a.v. de betaling van de loonheffingen en loonbelasting van werknemers. Een zzp’er is geen werknemer. Je mag wél aan de poort de identiteit van de zzp’er controleren.
Mag je een hoofdaannemer voorzien van een kopie ID-bewijs van je werknemers?
Nee, dit mag niet. Je mag wél BSN, NAW en evt. het documentnummer van een ID-bewijs verschaffen aan een hoofdaannemer. Je moet je werknemers hierover wel informeren door bijvoorbeeld het een en ander in een privacybeleid vast te leggen.
Mag je ID-bewijzen opvragen van medewerkers van onderaannemers voor het aanmaken van toegangspassen?
Nee, je mag vooraf (vooraanmelding) geen ID-bewijzen opvragen van werknemers van onderaannemers. Je mag wel om NAW-gegevens vragen om zo toegangspassen te maken, mits je een privacybeleid hebt opgesteld waarin het doel van het gebruik van de persoonsgegevens is opgenomen en je de werknemers van de onderaannemer hierover geïnformeerd hebt. Je mag de identiteit van de betreffende persoon wel controleren aan de poort van de bouwplaats.
Mag je voor gebruik op toegangspassen van een bouwplaats de nummers van ID-bewijzen opvragen?
Je mag wel de nummers van de ID-bewijzen opvragen, mits je in je privacy-beleid hebt vastgelegd voor welk doel (bijvoorbeeld het identificeren van mensen op de bouwplaats of de Wka) en de betreffende personen hierover hebt ingelicht.
Mag je de mensen die toegang hebben tot de bouwplaats door middel van een vingerafdrukscan of een digitale controle van het ID-bewijs controleren?
Vingerafdrukken zijn biometrische gegevens en gelden als bijzondere persoonsgegevens. Maar voor het maken van een digitale vingerscan of digitale controle van het ID-bewijs, zijn er strenge regels. De vingerscan en de scan van het ID-bewijs mogen niet (digitaal) opgeslagen worden.
Het gebruik van een vingerafdrukscan of digitale controle van het ID-bewijs mag alleen als controle in het kader van de Wka of de Wet identificatie of in het kader van de beveiliging van de bouwplaats. Dit doel moet goed vastgelegd zijn in een privacybeleid. Dit privacybeleid moet ter inzage liggen op de bouwplaats.
Voor de Wka mag je géén (digitale) kopie maken van het ID-bewijs, je mag wél de gegevens die je nodig heeft overschrijven. Deze gegevens moeten goed beveiligd op de bouwplaats worden bewaard.