Medewerkersgegevens bewaren voor de AVG
Als werkgever legt u de gegevens van uw medewerkers vast in een of meer (goed beveiligde) dossiers, zoals het personeelsdossier en de salarisadministratie. Hoe moet u deze gegevens verwerken en hoelang moet u een en ander bewaren?
Wat zegt de AVG?
Niet langer dan noodzakelijk. De Algemene verordening gegevensbescherming (AVG) kent geen concrete bewaartermijnen. Het uitgangspunt is dat de persoonsgegevens niet langer bewaard worden dan noodzakelijk is voor het doel waarvoor ze verzameld en verwerkt zijn. Wat noodzakelijk is, hangt af van de situatie; dat moet u zelf bepalen. Tip. Ga ervan uit dat persoonsgegevens in principe niet langer dan twee jaar na beëindiging van het dienstverband bewaard mogen worden.
Tip. Bewaak en regel de hiernavolgende punten.
- Bewaar persoonsgegevens zo kort mogelijk.
- Houd u aan de wettelijke bewaartermijnen, zoals in de belastingwetgeving of de Archiefwet 1995.
- Bewaar persoonsgegevens als er een juridische procedure loopt, zoals de gegevens van een (ex-)medewerker met wie een arbeidsconflict bestaat.
- Voor welk doel wilt u de gegevens verwerken? Het kan bijv. zijn dat u bepaalde gegevens nog nodig heeft voor de controle op openstaande facturen.
- Een gesloten re-integratiedossier mag langer bewaard worden wanneer de kans groot is dat de medewerker wegens hetzelfde verzuim uitvalt. Een re-integratiedossier moet na einde dienstverband zolang bewaard blijven als de werkgever eigenrisicodrager is (in elk geval vijf jaar).
Waar zeker op letten?
- Leg de bewaartermijnen van de persoonsgegevens vast in uw personeelshandboek en motiveer deze. Daarmee is meteen de termijn naar uw medewerkers, maar ook naar de Autoriteit Persoonsgegevens toe, verantwoord.
- Informeer bij uw branchevereniging welke bewaartermijnen gebruikelijk zijn in uw branche.
- Besteedt u de salarisadministratie uit, maak dan duidelijke (schriftelijke) afspraken over de wettelijke bewaartermijn en bewaarplicht.
- Onderschat de bewaarplicht niet. Als u niet aan uw bewaarplicht voldoet, kan dat vervelend uitpakken. Als bijv. uw salarisadministratie niet op orde is, kan de belastinginspecteur zelf een (hogere) aanslag opleggen. Het niet voldoen aan de bewaarplicht is een strafrechtelijke overtreding.
- Wilt u de papieren personeelsdossiers omzetten naar een digitaal systeem, dan mag u de papieren versie pas vernietigen wanneer u zorgt voor een goede beveiliging van het digitale dossier.
Rechten van de medewerker
Gegevens verwijderen. De medewerker heeft het recht om zijn persoonsgegevens te laten verwijderen. Dit recht heeft hij als zijn gegevens niet juist, niet volledig of niet meer actueel zijn of geen toegevoegde waarde meer hebben.
Klacht medewerker. Wanneer een medewerker vindt dat u zijn persoonsgegevens onnodig lang bewaart, kan hij bij u een klacht indienen. Komt u er samen niet uit, dan kan hij een privacyklacht indienen bij de Autoriteit Persoonsgegevens.
Gegevens vernietigen. Indien de bewaartermijn van persoonsgegevens voorbij is en/of de gegevens niet meer noodzakelijk zijn, dienen deze gegevens vernietigd te worden. Zolang de medewerker bij u in dienst is, kunt u volstaan met het van tijd tot tijd opschonen van zijn personeelsdossier.
Ga zorgvuldig om met persoonsgegevens. Denk op voorhand goed na over hoe u deze gegevens wilt vernietigen (bijv. met de papierversnipperaar). Voor digitaal opgeslagen persoonsgegevens bestaan er speciaal ontwikkelde systemen die automatisch gegevens vernietigen op een van tevoren ingegeven tijdstip.