Privacy Nieuws
Hoe zou een goed personeelsdossier er volgens de Algemene Verordening Gegevensbescherming (AVG) er moeten uitzien? Die vraag wordt vaak gesteld. Logisch, want personeelsdossiers bevatten veel persoonsgegevens.
Bij controle op basis van de AVG blijkt dat er vaak te veel gegevens worden bewaard en ook gegevens die werkgevers niet zouden mogen hebben.
Wat mag wel en wat mag niet?
De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.
In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren.
Inhoud goed personeelsdossier
Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over een werknemer kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.
Sommige gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.
De Algemene verordening gegevensbescherming stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een klein aantal mensen toegang heeft tot het personeelsdossier.
De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:
- klachten;
- waarschuwingen;
- verzuimfrequentie (hoe vaak een werknemer er niet is);
- verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
- een kopie van het identiteitsbewijs;
- het burgerservicenummer (BSN);
- persoonlijke werkaantekeningen van de leidinggevende.
Medische gegevens mag de werkgever in principe niet opnemen in het personeelsdossier.
De AVG verplicht organisaties om beveiligingsmaatregelen tectreffen voor een digitaal personeelsdossier. Als het dossier ook toegankelijk is via internet is het bijvoorbeeld verplicht om een firewall te gebruiken. Bijvoorbeeld als werknemers online hun personeelsdossier in kunnen zien.
Hoe lang bewaren?
De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren. Zo moet hij gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is.
Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.
Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd.
Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.
Voorbeelden van dit soort gegevens zijn: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.
Langer bewaren
De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict is (geweest) of als er een rechtszaak loopt.
Privacy Nieuws
Ruim dertig procent van de salarismedewerkers en -adviseurs zegt onvoldoende geïnformeerd te zijn over de Algemene Verordening Gegevensbescherming (AVG) en de gevolgen voor de salarisadministratie.
Dat blijkt uit het Trendonderzoek Salarisprofessionals 2018 van Nederlands Instituut Register Payroll Accounting (NIRPA).
Het onderzoek werd in opdracht van het NIRPA uitgevoerd door Performa en Berenschot.
Het onderzoek is ook van belang voor alle organisaties die gebruik maken van de diensten van Payrolling organisaties. Zij zijn op basis van de AVG verplicht om te controleren of organisaties waar zij mee samen werken zich aan de wet houden.
Nog geen verplicht verwerkingsregister
30% van de salarisadministrateurs geeft in de enquete aan dat er nog geen register van verwerkingsactiviteiten wordt bijgehouden. Zo’n verwerkingsregister is in veel gevallen verplicht.
Het NIRPA is een onafhankelijke stichting zonder winstoogmerk. Om een zo volledig mogelijk beeld te krijgen van de functie van salaris professionals in Nederland werden alle salarismedewerkers en -adviseurs uitgenodigd om deel te nemen aan het onderzoek. Het onderzoek is niet alleen gericht op NIRPA geregistreerde Payroll Professionals.
De invoering van de AVG is volgens 89% van de salarisadministrateurs dit jaar veruit het belangrijkste onderwerp op hun vakgebied.
Uit het onderzoek blijkt dat de positie van de salarisadministrateur bij de invoering van wetten zoals de Algemene verordening gegevensbescherming (AVG) steeds belangrijker wordt.
De salarisadministratie werkt met veel privacygevoelige informatie, waar efficiënt en zorgvuldig mee moet worden om gegaan.
Onvoldoende geïnformeerd over AVG
Ondanks het duidelijke belang van de AVG is de informatievoorziening over de wet volgens het onderzoek bij veel organisaties nog niet onder controle.
De onderzoeksresultaten worden op 11 september toegelicht en gepubliceerd tijdens het jaarlijkse NIRPA congres.
Privacy Nieuws
De Fraudehelpdesk waarschuwt voor cybercriminelen die mailboxen van personeel hacken en vervolgens de salarisadministratie vragen het salaris voortaan op een andere bankrekening te storten.
“Werkt u op de salarisadministratie? Wees dan alert als u per mail een verzoek krijgt het salaris van een medewerker op een ander rekeningnummer te storten”, meldt de Fraudehelpdesk op zijn site.
Er zouden al meerdere medewerkers van diverse bedrijven slachtoffer geworden zijn van deze nieuwe phishingmethode van cybercriminelen.
De fraude kwam aan het licht toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten. In alle gevallen bleek het mailaccount van de werknemer gehackt.
Advies Fraudehelpdesk
In de afgelopen jaren hebben enkele tientallen datalekken plaatsgevonden bij grote bedrijven zoals LinkedIn, Yahoo en Dropbox.
Via de site Have I been Pwned kunt je kijken of je gegevens zijn gelekt.
Ook de politie heeft een dergelijke tool.
Als blijkt dat je inloggegevens niet op beide genoemde sites worden gemeld wil dat volgend de Fraudehelpdesk niet zeggen dat jouw gegevens en wachtwoord(en) niet in handen van criminelen zijn gevallen.
Als je het idee hebt dat je mailaccount is gehackt kun je het beste onmiddellijk de wachtwoorden van je mailaccount en alle andere accounts, zoals bank, webshops en dergelijke wijzigen.
Gebruik hiervoor het liefst een wachtwoordmanager. Die moet je dan wel weer beveiligen met een sterke wachtwoordzin.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek bij 30 grote bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.
De AP voert de steekproef uit bij industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.
Controle verwerkingsregister
De AP onderzoekt of deze bedrijven een verwerkingsregister bijhouden en of dit register de juiste informatie bevat.
De toezichthouder beschouwt een actueel verwerkingsregister als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.
Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben.
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.
Verwerkingsregister grote bedrijven
Bedrijven zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers.
Kleinere organisaties
Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:
- zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
- zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
- zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.