Verrekening    Wet deregulering beoordeling arbeidsrelaties (DBA) 


Wet bescherming persoonsgegevens (Wbp)

Datum laatste wijziging: 12 juni 2019  |  Trefwoorden: Wet Bescherming Persoonsgegevens, Wbp, Personeelsdossier, Bewaartermijn

Inhoud

  1. Doel wet
  2. Personeelsdossier
  3. Bijzondere gegevens
  4. Bewaartermijn
  5. Autoriteit Persoonsgegevens
  6. Sollicitatiecode NVP
  7. Personeelsgegevens verstrekken aan derden
  8. Salarisadministratiekantoren en accountants mogen gegevens doorgeven aan pensioeninstellingen
  9. Datalekken bij betrokken personen melden
  10. Nieuwe wet: Algemene verordening gegevensbescherming
  11. Uniper trekt alcohol- en drugscontrolebeleid in na onderzoek AP
  12. Privacy in gevaar bij assessment op basis van DNA

Doel wet

De Wet bescherming persoonsgegevens (Wbp) verving op 1 september 2001 de Wet persoonsregistraties (Wpr) en geeft algemene wettelijke regels ter bescherming van de privacy ('eerbiediging van de persoonlijke levenssfeer', Grondwet artikel 10) van burgers. De wet regelt allerlei vormen van omgang met persoonsgegevens zoals het verzamelen, de opslag, het bewaren, het vergelijken, het koppelen, het raadplegen en het verstrekken van persoonsgegevens aan een derde. Een belangrijk doel van de wet is burgers beter in staat te stellen te weten welke gegevens over hen voor welk doel worden verwerkt en hen de mogelijkheid te geven daartegen desgewenst bezwaar aan te tekenen. Dat betekent niet het verbieden van vormen van verwerking, maar wel het stellen van voorwaarden daaraan.

NB: Persoonsgegevens zijn alle gegevens die over een bepaalde persoon informatie kunnen verschaffen. Het gaat niet alleen om de gebruikelijke personalia van iemand (naam, adres, geboortedatum), maar ook om gegevens als het sofinummer, het beroep, de nationaliteit, de medische gegevens of het banksaldo van een persoon. Ook foto's of video-opnamen¹ van een persoon of gegevens over zijn werktijden, zijn e-mail- en internetgebruik of het kentekennummer van zijn leaseauto vallen onder het begrip 'persoonsgegevens'.

¹Indien het gerechtvaardigd belang aanwezig is, mogen camera's geplaatst worden. Wel geldt hierbij dat de werknemers van tevoren zijn ingelicht, de camera’s zichtbaar zijn en de werknemers en eventueel klanten duidelijk op het cameratoezicht gewezen worden.
Ook is het verstandig om duidelijke afspraken te maken over het gebruik van de beelden en om die vast te leggen in een protocol. Denk in dit geval aan procedures en autorisaties voor toegang tot de beelden en over afspraken over de bewaartermijn ervan. Wat dit laatste betreft geeft het College Bescherming Persoonsgegevens (CBP) aan dat als uitgangspunt geldt dat beelden niet langer dan vier weken bewaard mogen worden, tenzij hiervoor een goede reden is.
Wat betreft verborgen camera's geldt dat het gebruik hiervan in beginsel niet is toegestaan. Een uitzondering wordt gemaakt in geval van bijzondere omstandigheden.

Personeelsdossier

Voor de zojuist aangestelde werknemer wordt een personeelsdossier samengesteld, waarop de Wet bescherming persoonsgegevens van toepassing is. Het startpunt van elk – al dan niet digitaal – personeelsdossier begint met een stamkaart met daarop onder meer: voor- en achternaam, geboortedatum, adres, telefoonnummer en e-mailadres, bankrekening, nationaliteit, datum aanstelling en functie. In een personeelsdossier, dat vaak uit meerdere subdossiers bestaat, worden verder bewaard:

  • alle brieven, rapporten en dergelijke die met de werving en selectie te maken hebben;
  • arbeidsovereenkomst en toekomstige salariswijzigingen;
  • overige arbeidsvoorwaarden, zoals deelname aan spaarregeling(en), leaseauto, vakantiesaldi, lening en bonus;
  • een kopie van de identiteit van de nieuwe werknemer moet volgens de Wet op de identificatieplicht bij de salarisadministratie in een ordner worden bewaard;
  • opleidingen en verdere loopbaan;
  • gegevens over pensioen, vut, prepensioen en levensloop*;
  • functionerings- en beoordelingsgesprekken;
  • gegevens over de frequentie en duur van het ziekteverzuim c.q. arbeidsongeschiktheid (de oorzaken van het ziekteverzuim vallen onder het medisch geheim en worden bij de Arbodienst bewaard).

* De levensloopregeling is per 1 januari 2012 afgeschaft (zie Levensloopregeling) en vervangen zou worden door de vitaliteitsregeling die in 2012 is teruggetrokken.

NB: De werkgever is wettelijk verplicht een administratie te onderhouden waarin gegevens van zijn personeel zijn opgenomen, een werkgever is echter niet verplicht alle documenten en gegevens te bundelen in één personeelsdossier.

Bijzondere gegevens

Er zijn categorieën gegevens waarvoor strikte voorwaarden voor het gebruik gelden. Dit zijn de 'bijzondere gegevens' bijvoorbeeld over iemands ras, politieke gezindheid, gezondheid en seksuele leven. Deze gegevens mogen alleen verwerkt worden door bij wet bepaalde instanties of met uitdrukkelijke toestemming van de betrokkene. Zo mogen gegevens over iemands gezondheid alleen verwerkt worden door instellingen in de gezondheidszorg. In de Wbp staat verder onder meer dat andere dan de genoemde 'bijzondere gegevens' mogen worden verwerkt 'ter behartiging van het gerechtvaardigde belang van de verwerker'. Daarmee wordt bedoeld voor zover een verwerking van gegevens noodzakelijk is met het oog op de normale bedrijfsvoering en wanneer daarmee geen onevenredige inbreuk wordt gemaakt op de gerechtvaardigde belangen van de betrokkene. Is aan die voorwaarden voldaan, dan hoeft niet om toestemming te worden gevraagd bij de geregistreerde. Degene die de gegevens verwerkt, mag die gegevens dan slechts gebruiken in overeenstemming met het doel waarvoor zij zijn verzameld (doelbinding).

Bewaartermijn

Het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens (Wbp) regelt algemeen dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Een bedrijf of instelling bepaalt aan de hand van het doel dus zelf hoelang gegevens bewaard moeten worden. In onder meer de Archiefwet, het Burgerlijk Wetboek, de onderwijs- en belastingwetgeving en sollicitatiecodes (zie onder) zijn wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Samengevat gelden de volgende bewaartermijnen:

  • sollicitatiegegevens: 4 weken (niet gemeld en geen toestemming CGB)** of onbeperkt (wel gemeld en wel toestemming CGB). (bron: Wbp);
  • arbeidsoverkomsten en wijzigingen hierin, verslagen van functionerings- en beoordelingsgesprekken, correspondentie over benoeming, promotie, degradatie en ontslag: 2 jaar. (bron: artikel 52 Wet Rijksbelastingen);
  • kopie identiteitsbewijs en loonbelastingverklaringen: 5 jaar na uitdiensttreding. (bron: art. 66 lid 4 Uitvoeringsregeling LB);
  • salaris, arbeidsvoorwaarden en andere fiscale gegevens: 7 jaar. (bron: Wbp);
  • algemene medische (Arbo) gegevens: 10 jaar, overige data hebben uiteenlopende bewaartermijnen. (bronnen: Tuxx en Rhenus)

** Alle taken van de Commissie Gelijke Behandeling (CGB) zijn op 1 oktober 2012 overgegaan naar het College voor de Rechten van de Mens, zie deze subrubriek.

Een overzicht van de bewaartermijnen zijn ook te vinden in het rapport 'De zieke werknemer Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers' van de Autoriteit Persoonsgegevens (AP), bladzijde 34 t/m 36.

NB: Het is verboden om sollicitatiegegevens door te spelen naar bijvoorbeeld een headhunter. De werkgever mag deze persoonsgegevens niet langer bewaren dan voor de selectie noodzakelijk is.

Autoriteit Persoonsgegevens

Conform de Wet Bescherming Persoonsgegevens (WBP) heeft de Autoriteit Persoonsgegevens sinds 1 januari 2016 de mogelijkheid tot handhaving van de WBP. Wordt een overtreding geconstateerd dan zijn de stappen als volgt: 
  • Het opleggen van een ‘bindende aanwijzing’
  • Het niet-naleven van een bindende aanwijzing kan leiden tot een bestuurlijke boete tot maximaal  € 820.000 of een meer passende bestraffing van 10% van de jaaromzet.
  • Als er sprake van opzet of grove schuld kan direct een boete worden opgelegd zonder een bindende aanwijzing vooraf.
  • Tegen een boete kan bezwaar en beroep worden aangetekend.

Sollicitatiecode NVP

Organisaties/bedrijven werken bij werving en selectie vaak met een sollicitatiecode. Een belangrijk onderdeel daarvan betreft de rechten en privacy van de kandidaten. Een sollicitatiecode die algemene bekendheid heeft, is die van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP). Recent is deze code uitgebreid met regels voor de informatie die op internet over sollicitanten wordt verkregen (en niet altijd betrouwbaar is), bewaartermijnen van gegevens en uitnodiging/afwijzing via e-mail naast de traditionele brief.

De NVP heeft haar sollicitatiecode geactualiseerd en in overeenstemming gebracht met de moderne HR-praktijk van werving en selectie. Nieuw is dat

  • het gebruik van social media in werving- en selectieprocedures een duidelijke plaats gekregen hebben in de normstelling;
  • de werkgever zich ervan bewust moet zijn dat de informatie die op social media te vinden is over een kandidaat niet altijd juist is. Komt de werkgever voor de kandidaat nadelige informatie tegen, dan is hij verplicht dit met de sollicitant te bespreken;
  • de NVP krijgt de mogelijkheid om disciplinaire maatregelen te nemen als een werkgever zich niet aan de regels van sollicitatiecode houdt.

Personeelsgegevens verstrekken aan derden

Werkgevers kunnen personeelsgegevens zowel verstrekken aan personen binnen de organisatie als aan bepaalde personen of instanties buiten de organisatie. Zoals de Belastingdienst, UWV, een advocaat of de vakbond. Werknemers hebben hun gegevens echter in vertrouwen gegeven. Daarom mogen werkgevers personeelsgegevens niet zomaar doorgeven en moeten zij aan een aantal voorwaarden voldoen.

De Wet bescherming persoonsgegevens (Wbp) geeft een aantal voorwaarden voor het verstrekken (aan derden) van personeelsgegevens, waarvan we er een paar noemen:
  • Werkgevers moeten personeelsgegevens in overeenstemming met de wet, behoorlijk en zorgvuldig verwerken. Verstrekken van gegevens is een vorm van verwerken.
  • Werkgevers moeten de personeelsgegevens hebben verzameld voor specifieke doelen, die zij precies hebben omschreven en die gerechtvaardigd zijn.
  • De verstrekking moet een rechtmatige grondslag hebben. In artikel 8 van de Wbp staan alle grondslagen genoemd op basis waarvan organisaties persoonsgegevens mogen verwerken.
  • De verstrekking mag niet onverenigbaar zijn met het doel waarvoor een werkgever de personeelsgegevens heeft verzameld.
  • Tijdens sollicitaties verzamelen werkgevers veel persoonsgegevens van sollicitanten*. In de eerste plaats via hun sollicitatiebrieven en cv’s. Tijdens een sollicitatiegesprek kunnen aanwezige personen aantekeningen maken van de antwoorden die een sollicitant geeft, het verloop van het gesprek en de indruk die zij van diegene krijgen. Tot slot kunnen een screening, assessment, psychologisch onderzoek of medische keuring (aanstellingskeuring) deel uitmaken van de sollicitatieprocedure.
* Heeft een sollicitant de functie niet gekregen? Dan is het gebruikelijk dat de organisatie zijn gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijdert. Sollicitanten kunnen toestemming geven om hun gegevens langer te bewaren. Bijvoorbeeld omdat er op een later tijdstip mogelijk een passende functie komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

Salarisadministratiekantoren en accountants mogen gegevens doorgeven aan pensioeninstellingen

Om te voorkomen dat accountants en salarisadministratiekantoren een Wft-vergunning moeten aanvragen voor het doorgeven van salarisgegevens aan pensioenfondsen, verzekeraars en premiepensioeninstellingen, gaat voor deze activiteiten een vrijstelling gelden. Minister Dijsselbloem van Financiën wijzigt hiervoor de Vrijstellingsregeling Wft (Wet op het financieel toezicht).

De regeling treedt in werking op 1 januari 2014 en is op 11 december 2013 in de Staatscourant geplaatst.

Datalekken bij betrokken personen melden

Datalekken moeten nu niet alleen bij het College bescherming persoonsgegevens (Cbp) gemeld worden, maar ook bij alle betrokken personen. Dit staat in het wetsvoorstel dat op 26 mei 2015 in de Eerste Kamer aangenomen is. Het gaat om datalekken ‘waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens’. De meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector.

Met de aanvulling op de wet is het nu strafbaar om betrokkenen niet in te lichten. Het Cbp kan bij overtreding overgaan op een bestuurlijke boete. Deze boete kan oplopen tot 810.000 euro. Wanneer een bindende aanwijzing niet wordt opgevolgd, is zelfs een maximumbedrag van 10 procent van de jaaromzet een mogelijkheid. (Bron: CMWeb, 27 mei 2015)

Nieuwe wet: Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de algemene verordening gegevensbescherming (AVG). Deze nieuwe wet heeft consequenties voor werkgevers, die persoonsgegevens van werknemers opslaan en verwerken. De huidige Nederlandse Wet Bescherming Persoonsgegevens komt dan te vervallen. Zie voor meer: subrubriek Personeelsdossier.

Uniper trekt alcohol- en drugscontrolebeleid in na onderzoek AP

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken. Volgens dit beleid was Uniper van plan gegevens over de gezondheid van medewerkers te verwerken. Dit beleid was in strijd met de Wet bescherming persoonsgegevens (Wbp).

Medische gegevens zijn per definitie privacygevoelig en voor het verwerken daarvan gelden extra wettelijke eisen. Een werkgever mag over het algemeen geen alcohol- en drugstesten inzetten waarbij medische gegevens van werknemers worden verwerkt. Dit soort testen mogen in beginsel alleen afgenomen worden als dit in de wet is geregeld, zoals voor de luchtvaart. (Bron: ANP Press Support, 22 feb. 2017)

Meer informatie: PW, 3 juli 2017 / Drugstest op het werk: mag dat?

Privacy in gevaar bij assessment op basis van DNA

Assessments zijn niets nieuws. Assessments op basis van DNA zijn dat wel. De Autoriteit Persoonsgegevens heeft assessmentbureau BrainCompass berispt omdat het werkt in strijd met de Wet bescherming persoonsgegevens. BrainCompass zegt blij te zijn met het oordeel.

BrainCompass verwerkt persoonsgegevens over ras en gezondheid in strijd met de Wet bescherming Persoonsgegevens (Wbp), concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek. Het grootste bezwaar is dat de manier waarop BrainCompass toestemming vraagt aan deelnemers voor de verwerking van hun gegevens niet voldoet. Ook de beveiliging van persoonsgegevens is niet op orde. De AP is van plan tot handhaving1 over te gaan als de overtredingen voortduren. (Bron: AP, 21 nov. 2017 e.a.)

1 Handhaving is controle op de naleving van wet- en regelgeving en het doen naleven van deze regels.


Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:



 Verrekening    Wet deregulering beoordeling arbeidsrelaties (DBA)