AVG: de gevolgen voor uw salaris- en personeelsadministratie

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) ingegaan. De AVG bevat privacyregels voor de gehele EU. In Nederland is de AVG in plaats van de Wet bescherming persoonsgegevens (WBP) gekomen. De AVG is op punten strenger dan de WBP en stelt zeer hoge sancties op het niet naleven van de (nieuwe) privacyregels. Het is daarom van belang dat u weet waar u op het gebied van uw salaris- en personeelsadministratie onder meer rekening mee moet houden.

U verzamelt veel personeelsgegevens van uw (potentiële) werknemers. Bijvoorbeeld sollicitatiebrieven en CV’s, arbeidsovereenkomsten, functioneringsgespreksverslagen, waarschuwingen en een kopie van het identiteitsbewijs. Maar ook gegevens over salaris, onkostenvergoedingen en de afgedragen loonbelasting/premie volksverzekeringen. U mag deze gegevens alleen verzamelen als u daarvoor een wettelijke grondslag heeft. Zo zijn deze gegevens nodig voor de uitvoering van de arbeidsovereenkomst. Daarnaast kunt u op grond van de wet verplicht zijn deze gegevens te verzamelen. Denk aan fiscale wetgeving met betrekking tot de salarisadministratie. Ook mag u gegevens verwerken als u daarvoor toestemming of een gerechtvaardigd belang heeft.

Burgerservicenummer

U mag het burgerservicenummer (BSN) van uw werknemers alleen gebruiken voor de uitwisseling van loongegevens met de Belastingdienst. Het BSN moet u daarom in de salarisadministratie opnemen, bijvoorbeeld middels een kopie van het identiteitsbewijs. U mag het BSN niet opnemen in de arbeidsovereenkomst en niet gebruiken als personeelsnummer. Evenmin mag u het BSN koppelen aan verslagen van beoordelingsgesprekken. Als een werknemer moet re-integreren, mag u het BSN doorgeven aan de arbodienst of bedrijfsarts. Zij hebben het BSN nodig om hun re-integratietaken uit te voeren. Het BSN mag u niet verstrekken als u de arbodienst of bedrijfsarts raadpleegt voor algemeen advies over het verzuim of de arbeidsomstandigheden binnen uw onderneming.

Verwerkingsovereenkomsten

Het kan zijn dat u de diensten van personen of instanties inhuurt die in opdracht van u persoonsgegevens verwerken. Dat is het geval als u gebruikmaakt van een externe salarisadministratie. U moet met die dienstverlener dan een zogenoemde verwerkingsovereenkomst aangaan. Daarin maakt u onder meer afspraken over geheimhouding en de beveiligingsmaatregelen die deze verwerker moet nemen ter bescherming van de persoonsgegevens. Ook moet u afspraken maken over de duur van de gegevensverwerking en de specifieke doeleinden van die verwerking. Tevens moet in de overeenkomst staan dat u bij de verwerker audits mag uitvoeren om te controleren of de verwerker zich wel aan de afspraken houdt. Daarnaast mag de verwerker alleen met uw toestemming een andere partij inschakelen voor de ondersteuning bij de verwerking van persoonsgegevens.

Arbeidsongeschikt

Als een werknemer arbeidsongeschikt is, mag u in uw administratie geen gezondheidsgegevens verwerken. Zelfs niet als een werknemer deze informatie zelf met u deelt. U mag de werknemer niet naar zijn beperkingen vragen. Ook mag u niet naar de aard en de oorzaak van die beperkingen vragen. Op grond van de wet mogen alleen de arbodienst en de bedrijfsarts aan de werknemer gezondheidsgegevens vragen en deze informatie vervolgens verwerken. U mag alleen de informatie afkomstig van de bedrijfsarts of arbodienst die u nodig heeft voor de re-integratie of loondoorbetaling verwerken. Denk aan de verwachte duur van het verzuim, de mate van arbeidsongeschiktheid, de werkzaamheden waartoe de werknemer al dan niet meer in staat is en eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die u moet treffen voor de re-integratie.

Gegevens

Bij arbeidsongeschiktheid mag u slechts enkele gegevens verwerken die direct afkomstig zijn van de werknemer. Bijvoorbeeld de vermoedelijke duur van het verzuim en wat de lopende afspraken en werkzaamheden van de werknemer zijn. Zo kunt u uw organisatie op de situatie afstemmen. Ook mag u weten op welk telefoonnummer en (verpleeg)adres de werknemer te bereiken is. Zo kunt u de werknemer bijvoorbeeld voor een consult bij de bedrijfsarts oproepen. Andere informatie die u mag verwerken, is of de werknemer valt onder een vangnetbepaling uit de Ziektewet en of de ziekte en arbeidsongeschiktheid verband houden met een arbeidsongeval. Ook mag u weten of er sprake is van een ongeval waarbij een eventueel aansprakelijke derde betrokken is. U kunt dan bepalen of u op (de verzekering van) die partij wellicht regres kunt nemen.

Bewaartermijnen

De wet bepaalt dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Zo mag u sollicitatiegegevens tot vier weken na afronding van het sollicitatieproces bewaren. Met toestemming van de sollicitant mag u de gegevens maximaal een jaar bewaren. Daarnaast mag u verklaringen met gegevens voor de loonheffingen en kopieën van identiteitsbewijzen tot vijf jaar na het einde van het dienstverband van een werknemer bewaren. Afspraken over het salaris en arbeidsvoorwaarden mag u nog zeven jaar nadat iemand uit dienst is getreden bewaren. Voor andere gegevens uit het personeelsdossier geldt een richtlijn van twee jaar, waar u gemotiveerd van mag afwijken. De loonadministratie zelf moet u altijd zeven jaar bewaren!

Informeren

U moet uw werknemers wijzen op al hun privacyrechten. Dat moet in begrijpelijke taal en in een gemakkelijk toegankelijke vorm gebeuren. U moet uw werknemers onder meer informeren over het doel van de verwerking van hun persoonsgegevens, over diegenen die in het kader van het dienstverband hun gegevens zullen verwerken en of u gegevens naar het buitenland doorstuurt. Ook moet u uitleggen hoe lang u de gegevens zult bewaren en moet u er nadrukkelijk op wijzen dat werknemers een eenmaal gegeven toestemming voor de verwerking van hun gegevens ook weer mogen intrekken. Het is aan te raden om dit te doen met een algemene informatiebrief die u verstrekt bij indiensttreding.

Medische gegevens mag u niet verwerken

Een werkgever hanteerde een naar eigen zeggen ‘proactief verzuimbeleid’. Als een werknemer zich ziek meldde, probeerde zijn leidinggevende te beoordelen of aangepast of vervangend werk mogelijk was en welke werkzaamheden het herstel van de werknemer zouden kunnen bevorderen. Daarnaast beoordeelde de leidinggevende de mate van de beperking en noteerde dit als het arbeidsongeschiktheidspercentage van de werknemer.

Bedrijfsarts
De Autoriteit Persoonsgegevens (AP) tikte de werkgever op de vingers: hij mocht alleen registreren dat een werknemer zich had ziek gemeld. Andere medische gegevens – zoals het arbeidsongeschiktheids-percentage – mocht hij alleen verwerken na overleg met een arbo- of bedrijfsarts. De werkgever stapte naar de rechter, maar die was het met de AP eens. De rechter oordeelde dat de werkgever doorgaans niet over de juiste kennis beschikt om een oordeel te geven over de medische situatie. Daarvoor zijn de arbodienst of de bedrijfsarts. Het verzuimbeleid dat de werkgever voerde, kon ertoe leiden dat een werknemer zich onder druk gezet voelde. Hij zou dan een te rooskleurig beeld van de situatie kunnen schetsen of geheel kunnen afzien van ziekmelding. Rechtbank Midden-Nederland, 15 december 2016, ECLI (verkort): 6795

Resultaten psychologische testen bewaren?

In het kader van personeelsbeoordeling en -ontwikkeling moesten de werknemers van Bureau Jeugdzorg Noord-Brabant verplicht een assessment maken. De werkgever verzamelde vervolgens de psychologische testresultaten en bewaarde deze in het personeelsdossier. De functiegerelateerde competenties daarvan waren door de leidinggevende van de werknemers in te zien. De werkgever wilde zo inzicht krijgen in de psychologische gesteldheid, vaardigheden en beperkingen van haar werknemers.

Ontslag
Werknemers die het assessment weigerden, riskeerden ontslag op staande voet. De bedoeling daarvan was om de professionaliteit van de werknemers te vergroten. Het College Bescherming Persoonsgegevens (CBP) – de voorganger van de Autoriteit Persoonsgegevens – meende dat er geen wettelijke grondslag bestond voor de verwerking van de testgegevens. Van vrijwillige toestemming was bovendien geen sprake omdat bij weigering ontslag op staande voet dreigde. Als een werknemer al toestemming verleende, was die dus niet rechtsgeldig. Daarnaast oordeelde het CBP dat het verplicht laten afnemen van het assessment niet noodzakelijk was voor een goede bedrijfsvoering. De professionaliteit van werknemers kan namelijk ook op andere wijze worden vergroot, bijvoorbeeld door het inzetten van vakgerichte opleidingen of andere cursussen. De werkgever handelde dan ook in strijd met de wet. College Bescherming Persoonsgegevens, 23 augustus 2012: z2011-00959

Wilt u meer weten over dit onderwerp? Het privacyrecht team van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Dick van Deventer. Dick schrijft met regelmaat voor Rechtspraak. U kunt hier het originele artikel van Rechtspraak inzien.

 

ICANN OR ICANN’T? | Advocaat Privacy | Valegis Advocaten