Documenten en persoonsgegevens voor de Belastingdienst mogen maximaal 7 jaar worden bewaard, zoals arbeidsovereenkomst(en), declaraties, doelgroepenverklaringen, loonstroken en jaaropgaven. Het ID-bewijs mag maximaal 5 jaar worden bewaard. En gegevens in verband met een potentiële of lopende juridische procedure en dan zolang als die procedure loopt of in verband met de afwikkeling ervan.
Bewaartermijn van 2 jaar
Voor overige persoonsgegevens in verband met een dienstverband geldt in principe een bewaartermijn van 2 jaar. Denk hierbij bijvoorbeeld aan diploma’s, urenlijsten, de verlofurenadministratie, ziekteverzuimdocumenten en verslagen van functionerings- en beoordelingsgesprekken.
Alle genoemde termijnen starten na de uitdiensttredingsdatum, maar soms ook al gedurende het loondienstverband, zoals loonstroken daterend uit een periode van 7 jaar of langer geleden.
Persoonsgegevens sollicitant
De werkgever of HR-functionaris mag in de fase van de werving & selectie persoonsgegevens van
sollicitanten maximaal 4 weken bewaren en met schriftelijke toestemming van de sollicitant maximaal
12 maanden (deze periode kan met steeds nieuwe toestemming voor dezelfde duur worden verlengd).
Zonder toestemming een cv langer dan 4 weken in portefeuille houden, is volgens de AVG dus niet toegestaan.
Screening of keuringsonderzoek
Bij screening of keuringsonderzoeken van een nieuwe medewerker moet de werkgever er op bedacht
zijn dat hij bijvoorbeeld niet zelf concrete gegevens over de gezondheid mag en zal ontvangen, maar
hooguit in algemene zin een terugkoppeling mag verwachten uit zulk onderzoek.
Verklaring Omtrent Gedrag (VOG)
In bepaalde sectoren, zoals de kinderopvang, mag alleen worden gewerkt met een Verklaring omtrent gedrag (VOG). Vanwege de gevoelige informatie daarin en de impact voor betrokkene als dat document zelf of gegevens daaruit in handen komen van onbevoegden, vraagt het ontvangen en het intern niet verder delen dan strikt noodzakelijk en bewaren ervan grote zorgvuldigheid.
Loonbeslag
Hetzelfde geldt ten aanzien van loonbeslag, waarmee werkgevers te maken kunnen hebben of krijgen. Het delen ervan, zowel intern als bijvoorbeeld met de salarisadministratie of een adviseur, moet bovendien zorgvuldig, minimalistisch en beveiligd gebeuren.
Geen BSN
Let op: in arbeids-, uitzend-, stage- en vrijwilligerscontracten mag op basis van de AVG het (bijzondere) persoonsgeven BSN niet worden opgenomen.
Personeelsdossier
De werkgever heeft een aantal verplichtingen en verantwoordelijkheden ten aanzien van het personeelsdossier want daarin zijn:
- persoonsgegevens juist en nauwkeurig vastgelegd;
- alleen persoonsgegevens opgenomen die ter zake doen; en
- niet meer persoonsgegevens opgenomen dan strikt noodzakelijk.
Verder moeten werkgevers in het kader van personeelsdossiers:
- de schriftelijke toestemming van hun medewerkers bewaren en waar en zodra nodig actualiseren met een bijgewerkte toestemmingsverklaring;
- medewerkers informeren over tenminste welke persoonsgegevens zij verzamelen, voor welke
doeleinden en op basis van welke rechtsgrond, hoe vanzelfsprekend een en ander wellicht ook lijkt; - persoonsgegevens passend beveiligen, zodat die niet verloren (kunnen) raken of in verkeerde handen (kunnen) terechtkomen;
- persoonsgegevens verwijderen of vernietigen zodra het bewaren ervan niet langer verplicht of
noodzakelijk is; - medewerkers de mogelijkheid bieden hun gegevens in te zien – wat in principe voor het gehele
personeelsdossier geldt – en eventueel ook te rectificeren, te beperken of te verwijderen; - medewerkers wijzen op het recht van bezwaar bij de verwerking van gegevens op grond van hun
eventuele gerechtvaardigd belang daarbij; - medewerkers de mogelijkheid bieden hun recht op dataportabiliteit uit te oefenen, wat bijvoorbeeld aan de orde is bij wisseling van werkgever.
Wel en wee werknemers
De AVG verbiedt het op onbevoegde plaatsen hanteren van privéadressenlijsten, het delen binnen de organisatie van bijvoorbeeld de verjaardagen of jubilea van medewerkers, hoe gebruikelijk en wenselijk dat in het kader van meeleven en onderlinge betrokkenheid ook is. AVG-technisch mag dat delen wel als de medewerkers daarvoor schriftelijk toestemming hebben gegeven.
Vaak wordt ook (de aard van) ziekte intern bekend gemaakt in het bedrijf of op de betreffende afdeling en dat verbiedt de AVG, ook omdat de werkgever er niet van uit mag gaan dat de medewerker impliciet toestemming heeft gegeven doordat hij er bijvoorbeeld geen bezwaar tegen maakt.
Lees meer in het dossier Algemene Verordening gegevensbescherming en werk, geschreven door mr. Frank Troost.
Zie ook:
AVG en verplichtingen voor de werkgever: hoe zit het precies?
Volg ook de Online cursus Personeel en AVG/privacy met Frank Troost op 6 juni van 13.00-15.00 uur.
