Geplaatst op:10 april 2018

Privacy in het personeelsdossier: wat mag en wat niet?

Dossiervorming is belangrijk. Maar pas op voor de privacy in het personeelsdossier. Sla geen informatie op die er niet in thuis hoort.

Niemand zit te wachten op schending van de privacy in het personeelsdossier. De Autoriteit Persoonsgegevens (AP) zet op een rij wat er mag worden opgeslagen:

 • klachten;
 • waarschuwingen;
 • verzuimfrequentie;
 • een kopie van het identiteitsbewijs;
 • het burgerservicenummer (BSN);
 • persoonlijke werkaantekeningen van de leidinggevende.

 

Wat te doen met medische gegevens?

Medische gegevens mag een werkgever in principe niet opnemen in het personeelsdossier. Alleen de arbodienst of bedrijfsarts mag deze gegevens verwerken. Ook wanneer de medewerker bij zijn ziekmelding vrijwillig informatie verstrekt over zijn arbeidsongeschiktheid, mag de werkgever dit niet opslaan in het dossier.

Een werkgever mag alleen in het kader van de verzuimbegeleiding van zieke werknemers een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Zoals gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Dat soort gezondheidsgegevens mogen alleen worden vastgelegd nadat daarover een bedrijfsarts of arbodienst is geraadpleegd.

Wanneer werkgevers informatie over hun medewerkers doorgeven aan de arbodienst, moeten zij de werknemers daarover informeren.

Een werkgever mag alleen in het kader van de verzuimbegeleiding een beperkt aantal noodzakelijke medische persoonsgegevens verwerken.

Rasgegevens in het personeelsdossier

Het vastleggen van rasgegevens riekt al snel naar discriminatie. Toch is het niet áltijd verboden, meldt de AP. Een werkgever mag alleen rasgegevens in het personeelsdossier opnemen als dat nodig is om de werknemer te kunnen identificeren of om een voorkeursbeleid (positieve discriminatie) toe te passen.

Identiteit vaststellen

De AP noemt als voorbeeld een bedrijf dat veel werknemers in dienst heeft en hun identiteit wil vaststellen voordat ze het terrein betreden. In dat geval kan de werkgever toegangspasjes met foto’s aan alle werknemers verstrekken. Omdat van de foto op het toegangspasje het ras van de werknemer kan worden afgeleid, is de foto te beschouwen als een rasgegeven.

Voorkeursbeleid

Om personeelsleden uit een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen (positieve discriminatie), kan het nodig zijn gegevens over hun geboorteland of dat van hun (groot)ouders op te nemen in hun personeelsdossier.

Dit mag alleen als de werknemer daar geen bezwaar tegen heeft. Als de werknemer schriftelijk bezwaar aantekent tegen het opnemen van rasgegevens, moet de werkgever daar onmiddellijk mee stoppen. De werknemer hoeft geen reden te geven voor zijn bezwaar.

In principe moeten de gegevens uit het personeelsdossier maximaal twee jaar nadat de werknemer uit dienst ging worden vernietigd.

Recht op informatie

Werknemers hebben het recht te weten wat er in hun personeelsdossier staat en waarom deze gegevens zijn opgeslagen. Zij mogen hun dossier inzien en eventuele fouten corrigeren.

Het correctierecht geldt als de gegevens

 • feitelijk onjuist zijn;
 • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
 • op een andere manier in strijd met een wet worden gebruikt.

Het recht op informatie is vastgelegd in artikelen 33 en 34 van de Wet bescherming persoonsgegevens. Deze wetsartikelen verplichten degene die persoonsgegevens vastlegt, zelf het initiatief te nemen om de betrokkene hierover te informeren.

Gegevens bewaren

Privacy in het personeelsdossier betekent dat gegevens ook niet onbeperkt mogen worden bewaard. In principe moeten de gegevens uit het personeelsdossier maximaal twee jaar nadat de werknemer uit dienst is gegaan worden vernietigd.

Fiscale bewaarplicht

Daarop zijn uitzonderingen. Voorbeelden hiervan zijn de loonbelastingverklaring en de kopie van het identiteitsbewijs. Deze vallen onder de fiscale bewaarplicht. Deze moeten daarom vijf jaar worden bewaard.

Arbeidsconflict

Soms is het nodig om een personeelsdossier langer te bewaren. Dat is bijvoorbeeld het geval wanneer er sprake is van een arbeidsconflict of wanneer er een rechtszaak loopt.

Wetenschappelijke doeleinden

Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Onder Europese wetgeving kunnen boetes voor overtredingen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.

Bescherming persoonsgegevens

Werknemers moeten erop kunnen vertrouwen dat hun privacy in het personeelsdossier goed beveiligd is. De Wet bescherming persoonsgegevens (WBP) geldt ook voor personeelsdossiers. Dat betekent dat organisaties passende technische en organisatorische maatregelen moeten nemen om de daarin opgeslagen informatie te beschermen.

Meldplicht datalekken

De meldplicht datalekken geldt sinds 1 januari 2016. Wanneer organisaties constateren dat zij een ernstig datalek hebben, moeten zij dit melden bij de AP. In sommige gevallen moeten ook de mensen van wie de gegevens op straat liggen worden gewaarschuwd.

Europese privacywetgeving

De EU werkt aan nieuwe privacywetgeving. De Algemene verordening gegevensbescherming (AVG) gaat in op 25 mei 2018 en geldt als privacywetgeving voor de hele Europese Unie. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.

Risico’s in kaart brengen

Onder de AVG kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Daarna moet de betreffende organisatie maatregelen nemen om de risico’s te verkleinen.

Niet alle werkgevers moeten een DPIA uitvoeren. Dit is alleen verplicht wanneer gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

De AP legt uit wanneer een DPIA verplicht is. Dat is in ieder geval zo als een organisatie:

 • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
 • op grote schaal bijzondere persoonsgegevens verwerkt;
 • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Bron: pwnet.nl

ARBEIDSRECHT

Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.

Waar kunnen we u mee helpen?

Adviesgesprek aanvragen

Vraag nu een juridisch adviesgesprek aan en krijg vrijblijvend advies van onze specialisten.
Adviesgesprek aanvragen

Contact opnemen

Onze medewerkers voorzien u graag van advies en ondersteuning. Neem contact met ons op met uw vragen.
Contact opnemen
Schravenmade Advocaten in Maarssen, Utrecht, onderscheidt zich al meer dan 40 jaar door specialisatie in vooral ondernemingsrecht, waaronder arbeidsverhoudingen, ambtenarenrecht en ontslagrecht. Bovendien begeleiden we fusies en overnames.
Schravenmade Advocaten heeft geen stichting derdengelden. Schravenmade Advocaten ontvangt daarom geen derdengelden.
© Copyright 2024 - Schravenmade Advocaten - Alle rechten voorbehouden
Bisonspoor 1218
3605 KZ Maarssen
0346-56 07 64
Adviesgesprek aanvragenContact opnemen
Schravenmade Advocaten doceren o.a. voor de NVM en is betrokken bij het onderwijs aan 2 juridische scholen.
Wilt u onze informatieve nieuwsbrief ontvangen?

pencilphone linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram