Persoonsgegevens: wat mag en moet je ermee

Douwe de Haan

Arbeidsjurist

Op 25 mei 2018 ging in heel Europa dezelfde privacywetgeving in: de Algemene verordening gegevensbescherming (AVG). Door de invoering van de AVG werden privacy rechten versterkt en uitgebreid en ontstonden er meer verantwoordelijkheden voor organisaties. Wij zetten de belangrijkste informatie over het verwerken van persoonlijke gegevens nog eens voor je op een rij. Zo weet je als werkgever wat mag en wat moet.

Als werkgever verwerk en bewaar je persoonlijke gegevens van verschillende categorieën personen: werknemers, ex-werknemers en sollicitanten, maar ook die van contactpersonen van bijvoorbeeld klanten en leveranciers.

De hoofdregel voor het verwerken van persoonsgegevens is dat je daar een grondslag voor moet hebben. De AVG noemt er zes:

1. Toestemming;
2. Uitvoering overeenkomst;
3. Wettelijke verplichting;
4. Vitale belangen;
5. Algemeen belang of openbaar gezag;
6. Gerechtvaardigd belang.

De meest voorkomende grondslagen bij jou als werkgever zijn waarschijnlijk de eerste drie. Hiermee is duidelijk op grond van welke wettelijke basis je persoonlijke gegevens mag verwerken, maar wat mag en moet je nu met persoonlijke gegevens?

Werknemers en contactpersonen

Voor jouw werknemers en bijvoorbeeld contactpersonen geldt dat je de gegevens bewaart op grond van een overeenkomst die je hebt gesloten. Het is noodzakelijk om de gegevens te verwerken en te bewaren om de overeenkomst uit te kunnen voeren. Hier denk je misschien niet eens over na, het is een vanzelfsprekendheid. Pas wanneer er een werknemer uit dienst gaat, vraag je je wellicht af wat je dan met die gegevens moet.

Ex-werknemers

Voor ex-werknemers geldt dat de Belastingdienst voor sommige gegevens een fiscale bewaarplicht oplegt. Voorbeelden hiervan zijn de loonbelastingverklaring en de kopie van een identiteitsbewijs. Deze gegevens moeten tot 5 jaar na uitdiensttreding bewaard worden. Voor overige gegevens bestaat geen wettelijke bewaartermijn, maar wel een richtlijn: een bewaartermijn van 2 jaar nadat de werknemer uit dienst is. Het kan zijn dat je een goede reden hebt om de gegevens langer te bewaren, bijvoorbeeld wanneer er een juridische procedure loopt met de ex-werknemer.

Sollicitanten

Als werkgever krijg je ook te maken met sollicitanten of kandidaten die zich bijvoorbeeld op jouw website inschrijven of een cv opsturen. Hoe zit het met die gegevens? Hiervoor geldt dat het gebruikelijk is om de gegevens 4 weken na de sollicitatieprocedure te verwijderen. Wel kun je de kandidaat vragen om de gegevens langer te mogen bewaren, bijvoorbeeld omdat er wellicht een andere functie beschikbaar komt. Voor deze langere bewaartermijn is een jaar redelijk.

Jij bent eindverantwoordelijk

Voor alle persoonsgegevens geldt: je mag ze niet zomaar doorgeven aan derden. In sommige gevallen is het noodzakelijk om de gegevens door te geven, bijvoorbeeld om een overeenkomst uit te voeren of te voldoen aan een wettelijke verplichting. Hierbij kun je denken aan het delen van persoonsgegevens met de Belastingdienst bij het doen van loonaangifte.

Privacy rechten

Tot slot: de eigenaar van de persoonlijke gegevens heeft een aantal rechten. Hij heeft recht op:

Inzage. Dit kan door een kopie te verstrekken van de persoonsgegevens die je van de persoon verwerkt;
Vergetelheid. Het recht om ‘vergeten’ te worden;
Rectificatie en aanvulling;
Dataportabiliteit. Het recht om de gegevens over te dragen aan een derde partij;
Beperking van verwerking: het recht om zo weinig mogelijk gegevens te laten verwerken;
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Makkelijk gezegd: recht op een menselijke blik bij besluiten;
Bezwaar maken tegen de gegevensverwerking;
Duidelijke informatie. Het recht om te weten wat jij met de persoonsgegevens doet.

Wil iemand deze privacy rechten uitoefenen? Check dan altijd de identiteit. Kies hierbij voor de minst vergaande manier. Let erop dat je een identiteitsbewijs alleen volledig mag kopiëren of scannen als je daartoe wettelijk verplicht bent. In alle andere gevallen mag iemand bijvoorbeeld de foto of het BSN afschermen.

In dit bericht staan de belangrijkste regels over het verwerken van persoonsgegevens. Heb je vragen over de concrete toepassing van de regels in jouw organisatie? Onze mensen staan voor je klaar. Neem contact op met je contactpersoon bij Florys, bel naar ons algemene nummer 0184 - 208 208 of stuur een e-mail naar info@florys.nl.

Heb je wel de juiste software?

Zonder BI-tool loop je achter, toch?

Ik snap niets van IT

Wie pakt de regie bij een IT-storing?

Hoe kan ik mijn wachtwoorden veilig en professioneel beheren

Mijn salarisadministratie kost veel tijd en geld

Investeren in je personeel

Werkgever en het Coronavirus

Duidelijke afspraken maken met je personeel

Conflict met mijn werknemer

Zieke werknemer! Wat nu?

Zonder BI-tool loop je achter, toch?

Geen actueel beeld van je financiën?

Haal ik alles uit de werkkostenregeling?

Beoordelen van inkoopfacturen kost mij uren

Ik ben op zoek naar een interimoplossing

Gedoe met de fiscus, dat wil je toch niet?

Mijn eigen uitzendbureau starten. En nu?

Backoffice uitzendbureau uitbesteden

Werkgever en het Coronavirus

Doolhof: Kiezen van recruitmentsoftware

Welk verloningspakket past bij mijn flexonderneming?

Zieke uitzendkracht! Wat nu?

MKB bedrijven

Stichtingen & verenigingen

Flexondernemer

Onze belofte aan jou

Onze diensten

Dit zijn onze mensen

Partners

Werken bij Florys