Is uw personeelsadministratie klaar voor de AVG?

De AVG heeft ook gevolgen voor uw personeelsadministratie. Veel gegevens van uw personeel zijn immers ook persoonsgegevens. Als er geen wettelijke grondslag is voor de verwerking van deze gegevens is, zult u uw personeel om toestemming moeten vragen. Ook als er wel een wettelijke grondslag is, bent u verplicht hen te informeren over wat u met hun gegevens doet. Als u derden de salarisadministratie laat doen, dient u met hen een verwerkersovereenkomst te sluiten.

U hoort vast veel over de Algemene Verordening Gegevensbescherming (AVG) en de daardoor benodigde aanpassingen van uw website, het privacy statement dat u moet hebben en verwerkersovereenkomsten die u moet sluiten. Maar ook als u geen website of webwinkel heeft, heeft u met de AVG te maken.

De Algemene Verordening Gegevensbescherming

De AVG geeft personen meer controle over hun eigen persoonsgegevens, zoals naam, adres, bankrekeningnummer, etcetera. De AVG verplicht bedrijven om tevoren aan een betrokkene kenbaar te maken welke persoonsgegevens ze verwerken, voor welk doel, op welke juridische grondslag en op welke wijze die verwerking plaatsvindt. Dit geldt uiteraard niet alleen voor persoonsgegevens van klanten en leveranciers, maar ook voor de persoonsgegevens van uw eigen personeel.

Personeelsgegevens zijn persoonsgegevens

De gegevens van personeelsleden die een bedrijf verzamelt en verwerkt zijn bij uitstek persoonsgegevens die vallen onder de bescherming van de AVG: salaris, pensioen, verzuim, etcetera. Bovendien worden ook bijzondere persoonsgegevens van werknemers verwerkt door werkgevers, zoals BSN en ziekteverzuim. Ook gegevens die bij een sollicitatie aan de orde komen, zijn persoonsgegevens in de zin van de AVG.

Meestal berust die verwerking van persoonsgegevens op een wettelijke verplichting uit hoofde van belastingwetgeving, sociale verzekeringswetgeving of arbeids- en pensioenrecht. Voor zaken als een intern smoelenboek of een interne verjaardagskalender is die wettelijke verplichting er niet en moet de verwerkingsgrondslag worden gevonden in een gerechtvaardigd belang (zodat werknemers elkaar met het oog op de veiligheid kunnen identificeren) of dient de verwerking te berusten op weloverwogen toestemming (informed consent) van de individuele werknemers.

Delen met derden

Werknemers moeten worden geïnformeerd over wat er met hun persoonsgegevens gebeurt, bijvoorbeeld dat sommige persoonsgegevens zullen worden gedeeld met een salarisadministrateur,  pensioenorganisaties en – bij ziekte – de Arbodienst en/of UWV. Ook dient u verwerkersovereenkomsten te sluiten met de externe partijen die u betrekt bij uw personeelsadministratie. Hierin verklaren zij zich te zullen houden aan de AVG en aan uw privacybeleid.

Rechten van de werknemer

Daarnaast moet u uw werknemers wijzen op hun rechten, zoals het recht om vergeten te worden, het recht op beperking van gegevensverwerking en het recht op verzet tegen verwerkingen. Die rechten kunnen door uw personeel echter niet worden ingeroepen waar u wettelijk verplicht bent tot verwerking van persoonsgegevens. De bewaartermijn van salarisgegevens voor belastingdoeleinden bedraagt bijvoorbeeld 7 jaar na het einde van het dienstverband. Gedurende die termijn kan de (ex-) werknemer u niet verplichten om de betreffende gegevens uit uw personeelsadministratie te verwijderen.

Conclusie

De AVG heeft niet alleen gevolgen voor de relatie met uw klanten en leveranciers, maar werkt ook intern in de relatie met uw personeel. Wij adviseren u om daarvoor een apart privacybeleid voor personeel op te stellen en om de benodigde verwerkersovereenkomsten te sluiten.

Meer informatie

Wilt u meer weten over de AVG en wat u als organisatie moet doen om uw personeelsadministratie ‘AVG-proof’ te maken? Wilt u een aangepast privacyreglement of wilt u dat wij een verwerkersovereenkomst voor u opstellen? Neem dan contact met ons op: