Wat mag er in het personeelsdossier en… wat niet?
Natuurlijk gaat er door het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) meer aandacht uit naar alles wat te maken heeft met de privacy van werknemers. Een belangrijk document daarvoor is het personeelsdossier. Wat moet er zeker in het dossier en wat hoort er beslist niet in thuis? De invoering van de AVG is een goede reden om de dossiers eens op te schonen.
Wel in het dossier
Het personeelsdossier mag de volgende informatie bevatten:
- Het burgerservicenummer van de werknemer (BSN);
- Een kopie van het identiteitsbewijs (Paspoort of ID-kaart uit een EER-land of een Nederlands Vreemdelingendocument) Een rijbewijs als identiteitsbewijs is in dit geval niet voldoende, omdat daarop geen nationaliteit en verblijfsstatus terug te vinden zijn;
- Klachten over het personeelslid;
- Waarschuwingen aan het personeelslid;
- De verzuimfrequentie van het personeelslid;
- Verslagen van functionerings-en beoordelingsgesprekken
- Persoonlijke aantekeningen van de leidinggevende of HR-medewerker.
Niet in het dossier
In het dossier horen geen medische gegevens opgeslagen te worden; ook niet als de medewerker daar zelf vrijwillig informatie over heeft gegeven. Alleen zaken als verzuimfrequentie mogen worden vastgelegd. Alles wat maar met de gezondheid van de werknemer te maken heeft is het domein van de bedrijfsarts. Als een werknemer zich ziekmeldt bij de werkgever, dan mogen een beperkt aantal vragen worden gesteld:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden en hoe die overgedragen kunnen worden;
- of de werknemer onder één van de vangnetbepalingen van de Ziektewet valt, maar niet onder welke vangnetbepaling (Dat zijn o.a. ziekte door zwangerschap of bevalling, ziekte door orgaandonatie, een werknemer met een no-riskpolis of een oudere werknemer die onder de compensatieregeling valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is. In dat geval kan het salaris van de werknemer via het z.g. regresrecht op de veroorzaker van het ongeval verhaald worden.
- De antwoorden daarop mogen wel genoteerd worden in het personeelsdossier.
Het ras van de werknemer
Bijzondere persoonskenmerken zoals het ras van de werknemer mogen alleen genoteerd worden als daar een gerechtvaardigd belang voor bestaat. Dat zou bijvoorbeeld het geval kunnen zijn om positieve discriminatie in de vorm van voorkeursbeleid toe te kunnen passen voor uit het buitenland afkomstige werknemers. In dat geval is het ras noodzakelijk om te noteren. Om personeelsleden uit een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen, kan het nodig zijn gegevens over hun geboorteland of dat van hun (groot)ouders op te nemen in hun personeelsdossier. Maar dit mag alleen als de werknemer daar geen bezwaar tegen heeft. Als de werknemer schriftelijk bezwaar aantekent tegen het opnemen van rasgegevens, moet de werkgever daar onmiddellijk de gegevens schrappen. De werknemer hoeft geen reden te geven voor zijn bezwaar.
Ook foto’s van werknemers die nodig zijn voor toegangscontrole zijn een rasgegeven, omdat op de foto te zien is welk ras de geportretteerde heeft.
De rechten van werknemers en hun personeelsdossier
Iedere werknemer heeft het recht om zijn personeelsdossier in te zien en het is de werkgever die ze over dit recht moet informeren. Werknemers mogen verlangen dat de werkgever dat dossier aanpast als er feitelijke onjuistheden instaan, vermeldingen onvolledig zijn of er gegevens te vinden zijn die niet in het dossier thuis horen.
Dossiers bewaren
Medewerkers hebben ook het recht om vergeten te worden, dus moet het personeelsdossier maximaal twee jaar na vertrek uit de organisatie vernietigd worden. Dat moet ook vervolgens uit alle back-ups gebeuren. Uitzondering op het vernietigen van de gegevens vormt de fiscale informatie, zoals de loonbelastingverklaring en kopie identiteitsbewijs. Daar geldt een bewaarplicht van vijf jaar voor.
Als er sprake is van een (langlopend) arbeidsconflict, dan mag het dossier langer bewaard worden, zeker als daarvoor nog een rechtszaak loopt.
Ook mogen bedrijven persoonsgegevens in een archief bewaren als dat nodig is voor historische, statistische of wetenschappelijke doelen.
En dossiers dienen goed beveiligd te zijn, dus moet de werkgever organisatorische en technische maatregelen treffen om de privacy van de gegevens te garanderen. Denk aan organisatorische zaken als een ‘clean desk policy’, afgesloten dossier kasten, beperkte toegang tot de dossiers voor die mensen die daar daadwerkelijk verantwoordelijk voor zijn, maar ook virusscanners, firewalls, gebruikersnamen en combinatie met sterke wachtwoorden om de informatie technisch te beveiligen.
En als onverhoopt gegevens gelekt worden, dan is de werkgever verplicht om het datalek bij de Autoriteit Persoonsgegevens te melden.
De rol van de ondernemingsraad
Elke OR heeft instemmingsrecht op het wijzigen van een regeling op het gebied van de bescherming van persoonsgegevens. De invoering van de AVG is dan ook ongetwijfeld een moment waarop de werkgever wijzigingen in de regelingen gaat doorvoeren. En de wijzigingen dienen dan ook voor instemming aan de OR te worden voorgelegd.
Zet de invoering van de AVG op de overlegagenda en haal het er pas weer af als de maatregelen tot tevredenheid zijn genomen en ingevoerd. Elke OR-lid kan eens beginnen met het opvragen van zijn eigen personeelsdossier, om vervolgens zelf te kunnen vaststellen of het aan de vereisten voldoet. Moet het anders of kan het beter, agendeer dat dan voor het overleg met de bestuurder. De boetes voor het niet naleven van de AVG zijn fors; dat is een krachtig argument voor elke raad om de bestuurder bij de les te houden.
Als OR aan de slag met de invoering van de AVG? Klik hier