In deel 1 van dit blog las je welke persoonsgegevens je mag verwerken in je personeelsdossier. En hoe lang je die gegevens eigenlijk mag bewaren.
Maar wie mag nou eigenlijk het personeelsdossier raadplegen? En welke rechten heeft je werknemer als het gaat om zijn eigen dossier? Lees het in deel 2.
Wie heeft toegang tot het personeelsdossier?
Het gebeurt vaker dan je denkt: de personeelsgegevens worden gewoon in een simpel Excel bestand bewaard, waar iedereen toegang toe heeft. Niet doen lijkt overbodig om te zeggen, maar is kennelijk wel nodig.
Alleen de personen die de gegevens nodig hebben om hun werk te doen – denk aan de HR-medewerker – die mogen er over beschikken. Wel moeten ze voldoen aan de geheimhoudingsplicht.
Mag je werknemer vragen om inzage in zijn personeelsdossier?
Ja, als werkgever moet je hem vervolgens binnen vier weken laten weten welke persoonsgegevens je verwerkt, voor welk doel je ze gebruikt, aan wie je de gegevens hebt verstrekt.
Dit heeft te maken met het feit dat een personeelsdossier meerdere kenmerken heeft die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Daarom valt het dossier onder de AVG, of het nu wel of niet om geautomatiseerde bewerking van gegevens gaat, zo oordeelde ook de voorzieningenrechter in Utrecht.
Alleen als er sprake is van een dringende reden kan het verzoek om inzage worden geweigerd. Als er bijvoorbeeld notities zijn die ook over andere werknemers gaan, mag je ze niet laten zien.
Als een andere werknemer persoonlijke gedachten over de bewuste werknemer op papier heeft gezet die alleen bedoeld zijn voor intern gebruik, hoef je ze ook niet te verstrekken, aldus de Hoge Raad.
Wat als je werknemer zich niet kan vinden in de gegevens in zijn personeelsdossier?
Je werknemer heeft onder de AVG het zogenaamde recht van bezwaar tot verwerking, het recht op controle, correctie en verwijdering en het recht op vergetelheid. Je bent verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien:
- Persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt.
- Je werknemer zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat. Die toestemmingsgrondslag is dus tricky.
- Je werknemer bezwaar maakt tegen de verwerking, maar denk ook aan de proportionaliteit en subsidiariteit;
- Je de persoonsgegevens onrechtmatig verwerkt hebt.
Wat is hier eigenlijk nieuw aan?
Nou, eigenlijk niet zoveel. Als je je dossiers altijd al op orde had dan merk je weinig verschil. Volgens de Wet Bescherming Persoonsgegevens golden de meeste regels al.
Wel nieuw is het fenomeen van dataportabiliteit. Dat houdt in dat je werknemer alle opgeslagen en verwerkte bestanden van zijn persoonsgegevens mag opeisen om deze eventueel over te dragen aan een ander, bijvoorbeeld als hij van werkgever wisselt. Onnodig om te zeggen dat hij ongetwijfeld niet de slechte beoordelingen zal overdragen.
Meer weten over dossieropbouw in het algemeen?
Lees dan dit blog en krijg gelijk 11 tips.
Beste Suzanne,
Hartelijk dank voor deze bijdrages. Ik ben werkzaam in Tanzania en maak graag toegepast gebruik van zaken die in Nederland goed geregeld zijn.
Vriendelijke groet, Anja
Goed te horen Anja dat mijn blogs bruikbaar zijn en zelfs in Tanzania. Dank voor je bericht!
Hartelijke groet,
Suzanne Meijers