Douwe de Haan

Arbeidsjurist
Florys HR

Op 25 mei 2018 ging in heel Europa dezelfde privacywetgeving in: de Algemene verordening gegevensbescherming (AVG). Door de invoering van de AVG werden privacy rechten versterkt en uitgebreid en ontstonden er meer verantwoordelijkheden voor organisaties. Wij zetten de belangrijkste informatie over het verwerken van persoonlijke gegevens nog eens voor je op een rij. Zo weet je als werkgever wat mag en wat moet.

Als werkgever verwerk en bewaar je persoonlijke gegevens van verschillende categorieën personen: werknemers, ex-werknemers en sollicitanten, maar ook die van contactpersonen van bijvoorbeeld klanten en leveranciers.

De hoofdregel voor het verwerken van persoonsgegevens is dat je daar een grondslag voor moet hebben. De AVG noemt er zes:

1. Toestemming;
2. Uitvoering overeenkomst;
3. Wettelijke verplichting;
4. Vitale belangen;
5. Algemeen belang of openbaar gezag;
6. Gerechtvaardigd belang.

De meest voorkomende grondslagen bij jou als werkgever zijn waarschijnlijk de eerste drie. Hiermee is duidelijk op grond van welke wettelijke basis je persoonlijke gegevens mag verwerken, maar wat mag en moet je nu met persoonlijke gegevens?

Werknemers en contactpersonen

Voor jouw werknemers en bijvoorbeeld contactpersonen geldt dat je de gegevens bewaart op grond van een overeenkomst die je hebt gesloten. Het is noodzakelijk om de gegevens te verwerken en te bewaren om de overeenkomst uit te kunnen voeren. Hier denk je misschien niet eens over na, het is een vanzelfsprekendheid. Pas wanneer er een werknemer uit dienst gaat, vraag je je wellicht af wat je dan met die gegevens moet.

Ex-werknemers

Voor ex-werknemers geldt dat de Belastingdienst voor sommige gegevens een fiscale bewaarplicht oplegt. Voorbeelden hiervan zijn de loonbelastingverklaring en de kopie van een identiteitsbewijs. Deze gegevens moeten tot 5 jaar na uitdiensttreding bewaard worden. Voor overige gegevens bestaat geen wettelijke bewaartermijn, maar wel een richtlijn: een bewaartermijn van 2 jaar nadat de werknemer uit dienst is. Het kan zijn dat je een goede reden hebt om de gegevens langer te bewaren, bijvoorbeeld wanneer er een juridische procedure loopt met de ex-werknemer.

Sollicitanten

Als werkgever krijg je ook te maken met sollicitanten of kandidaten die zich bijvoorbeeld op jouw website inschrijven of een cv opsturen. Hoe zit het met die gegevens? Hiervoor geldt dat het gebruikelijk is om de gegevens 4 weken na de sollicitatieprocedure te verwijderen. Wel kun je de kandidaat vragen om de gegevens langer te mogen bewaren, bijvoorbeeld omdat er wellicht een andere functie beschikbaar komt. Voor deze langere bewaartermijn is een jaar redelijk.

Jij bent eindverantwoordelijk

Voor alle persoonsgegevens geldt: je mag ze niet zomaar doorgeven aan derden. In sommige gevallen is het noodzakelijk om de gegevens door te geven, bijvoorbeeld om een overeenkomst uit te voeren of te voldoen aan een wettelijke verplichting. Hierbij kun je denken aan het delen van persoonsgegevens met de Belastingdienst bij het doen van loonaangifte.

Privacy rechten

Tot slot: de eigenaar van de persoonlijke gegevens heeft een aantal rechten. Hij heeft recht op:

Wil iemand deze privacy rechten uitoefenen? Check dan altijd de identiteit. Kies hierbij voor de minst vergaande manier. Let erop dat je een identiteitsbewijs alleen volledig mag kopiëren of scannen als je daartoe wettelijk verplicht bent. In alle andere gevallen mag iemand bijvoorbeeld de foto of het BSN afschermen.

In dit bericht staan de belangrijkste regels over het verwerken van persoonsgegevens. Heb je vragen over de concrete toepassing van de regels in jouw organisatie? Onze mensen staan voor je klaar. Neem contact op met je contactpersoon bij Florys, bel naar ons algemene nummer 0184 - 208 208 of stuur een e-mail naar info@florys.nl.