Datalek bij gemeente Hellevoetsluis

De gemeente Hellevoetsluis heeft documenten met daarin onder meer burgerservicenummers (BSN’s), woonadressen en telefoonnummers van inwoners gelekt. De gemeente heeft berichtgeving daarover door RTL Nieuws bevestigd.

Hoeveel inwoners zijn getroffen, is onduidelijk. Volgens RTL Nieuws zijn er
21.000 documenten gelekt. Het systeem waarin de documenten zijn verwerkt wordt al sinds 2001 door Hellevoetsluis gebruikt.
De documenten met gevoelige gegevens werden per ongeluk door ambtenaren openbaar gezet, waardoor de persoonsgegevens via Google vindbaar waren.

Inmiddels zijn de data ook niet meer via Google vindbaar, aldus RTL Nieuws.

De gemeente Hellevoetsluis heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens (AP), aldus de woordvoerder. De gemeente onderzoekt nu welke stappen zij verder als gevolg van het datalek moet nemen.

Welke gegevens mogen op basis van de AVG nog in een personeelsdossier worden opgenomen?

Hoe zou een goed personeelsdossier er volgens de Algemene Verordening Gegevensbescherming (AVG) er moeten uitzien? Die vraag wordt vaak gesteld. Logisch, want personeelsdossiers bevatten veel persoonsgegevens.

Bij controle op basis van de AVG blijkt dat er vaak te veel gegevens worden bewaard en ook gegevens die werkgevers niet zouden mogen hebben.

Wat mag wel en wat mag niet?

De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.

In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren.

Inhoud goed personeelsdossier

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over een werknemer kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.

Sommige gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.

De Algemene verordening gegevensbescherming stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een klein aantal mensen toegang heeft tot het personeelsdossier.

 

De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:

  • klachten;
  • waarschuwingen;
  • verzuimfrequentie (hoe vaak een werknemer er niet is);
  • verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
  • een kopie van het identiteitsbewijs;
  • het burgerservicenummer (BSN);
  • persoonlijke werkaantekeningen van de leidinggevende.

Medische gegevens mag de werkgever in principe niet opnemen in het personeelsdossier.

De AVG verplicht organisaties om beveiligingsmaatregelen tectreffen voor een digitaal personeelsdossier. Als het dossier ook toegankelijk is via internet is het bijvoorbeeld verplicht om een firewall te gebruiken. Bijvoorbeeld als werknemers online hun personeelsdossier in kunnen zien.

 

Hoe lang bewaren?

De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren. Zo moet hij gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is.

Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.

Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd.

Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.

 

Voorbeelden van dit soort gegevens zijn: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.

Langer bewaren

De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict is (geweest) of als er een rechtszaak loopt.