De Wet bescherming persoonsgegevens (Wbp) verving op 1 september 2001 de Wet persoonsregistraties (Wpr) en geeft algemene wettelijke regels ter bescherming van de privacy ('eerbiediging van de persoonlijke levenssfeer', Grondwet artikel 10) van burgers. De wet regelt allerlei vormen van omgang met persoonsgegevens zoals het verzamelen, de opslag, het bewaren, het vergelijken, het koppelen, het raadplegen en het verstrekken van persoonsgegevens aan een derde. Een belangrijk doel van de wet is burgers beter in staat te stellen te weten welke gegevens over hen voor welk doel worden verwerkt en hen de mogelijkheid te geven daartegen desgewenst bezwaar aan te tekenen. Dat betekent niet het verbieden van vormen van verwerking, maar wel het stellen van voorwaarden daaraan.
NB: Persoonsgegevens zijn alle gegevens die over een bepaalde persoon informatie kunnen verschaffen. Het gaat niet alleen om de gebruikelijke personalia van iemand (naam, adres, geboortedatum), maar ook om gegevens als het sofinummer, het beroep, de nationaliteit, de medische gegevens of het banksaldo van een persoon. Ook foto's of video-opnamen¹ van een persoon of gegevens over zijn werktijden, zijn e-mail- en internetgebruik of het kentekennummer van zijn leaseauto vallen onder het begrip 'persoonsgegevens'.
¹Indien het gerechtvaardigd belang aanwezig is, mogen camera's geplaatst worden. Wel geldt hierbij dat de werknemers van tevoren zijn ingelicht, de camera’s zichtbaar zijn en de werknemers en eventueel klanten duidelijk op het cameratoezicht gewezen worden.
Ook is het verstandig om duidelijke afspraken te maken over het gebruik van de beelden en om die vast te leggen in een protocol. Denk in dit geval aan procedures en autorisaties voor toegang tot de beelden en over afspraken over de bewaartermijn ervan. Wat dit laatste betreft geeft het College Bescherming Persoonsgegevens (CBP) aan dat als uitgangspunt geldt dat beelden niet langer dan vier weken bewaard mogen worden, tenzij hiervoor een goede reden is.
Wat betreft verborgen camera's geldt dat het gebruik hiervan in beginsel niet is toegestaan. Een uitzondering wordt gemaakt in geval van bijzondere omstandigheden.
Voor de zojuist aangestelde werknemer wordt een personeelsdossier samengesteld, waarop de Wet bescherming persoonsgegevens van toepassing is. Het startpunt van elk – al dan niet digitaal – personeelsdossier begint met een stamkaart met daarop onder meer: voor- en achternaam, geboortedatum, adres, telefoonnummer en e-mailadres, bankrekening, nationaliteit, datum aanstelling en functie. In een personeelsdossier, dat vaak uit meerdere subdossiers bestaat, worden verder bewaard:
* De levensloopregeling is per 1 januari 2012 afgeschaft (zie Levensloopregeling) en vervangen zou worden door de vitaliteitsregeling die in 2012 is teruggetrokken.
NB: De werkgever is wettelijk verplicht een administratie te onderhouden waarin gegevens van zijn personeel zijn opgenomen, een werkgever is echter niet verplicht alle documenten en gegevens te bundelen in één personeelsdossier.
Er zijn categorieën gegevens waarvoor strikte voorwaarden voor het gebruik gelden. Dit zijn de 'bijzondere gegevens' bijvoorbeeld over iemands ras, politieke gezindheid, gezondheid en seksuele leven. Deze gegevens mogen alleen verwerkt worden door bij wet bepaalde instanties of met uitdrukkelijke toestemming van de betrokkene. Zo mogen gegevens over iemands gezondheid alleen verwerkt worden door instellingen in de gezondheidszorg. In de Wbp staat verder onder meer dat andere dan de genoemde 'bijzondere gegevens' mogen worden verwerkt 'ter behartiging van het gerechtvaardigde belang van de verwerker'. Daarmee wordt bedoeld voor zover een verwerking van gegevens noodzakelijk is met het oog op de normale bedrijfsvoering en wanneer daarmee geen onevenredige inbreuk wordt gemaakt op de gerechtvaardigde belangen van de betrokkene. Is aan die voorwaarden voldaan, dan hoeft niet om toestemming te worden gevraagd bij de geregistreerde. Degene die de gegevens verwerkt, mag die gegevens dan slechts gebruiken in overeenstemming met het doel waarvoor zij zijn verzameld (doelbinding).
Het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens (Wbp) regelt algemeen dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Een bedrijf of instelling bepaalt aan de hand van het doel dus zelf hoelang gegevens bewaard moeten worden. In onder meer de Archiefwet, het Burgerlijk Wetboek, de onderwijs- en belastingwetgeving en sollicitatiecodes (zie onder) zijn wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Samengevat gelden de volgende bewaartermijnen:
** Alle taken van de Commissie Gelijke Behandeling (CGB) zijn op 1 oktober 2012 overgegaan naar het College voor de Rechten van de Mens, zie deze subrubriek.
Een overzicht van de bewaartermijnen zijn ook te vinden in het rapport 'De zieke werknemer Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers' van de Autoriteit Persoonsgegevens (AP), bladzijde 34 t/m 36.
NB: Het is verboden om sollicitatiegegevens door te spelen naar bijvoorbeeld een headhunter. De werkgever mag deze persoonsgegevens niet langer bewaren dan voor de selectie noodzakelijk is.
Organisaties/bedrijven werken bij werving en selectie vaak met een sollicitatiecode. Een belangrijk onderdeel daarvan betreft de rechten en privacy van de kandidaten. Een sollicitatiecode die algemene bekendheid heeft, is die van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP). Recent is deze code uitgebreid met regels voor de informatie die op internet over sollicitanten wordt verkregen (en niet altijd betrouwbaar is), bewaartermijnen van gegevens en uitnodiging/afwijzing via e-mail naast de traditionele brief.
De NVP heeft haar sollicitatiecode geactualiseerd en in overeenstemming gebracht met de moderne HR-praktijk van werving en selectie. Nieuw is dat
Om te voorkomen dat accountants en salarisadministratiekantoren een Wft-vergunning moeten aanvragen voor het doorgeven van salarisgegevens aan pensioenfondsen, verzekeraars en premiepensioeninstellingen, gaat voor deze activiteiten een vrijstelling gelden. Minister Dijsselbloem van Financiën wijzigt hiervoor de Vrijstellingsregeling Wft (Wet op het financieel toezicht).
De regeling treedt in werking op 1 januari 2014 en is op 11 december 2013 in de Staatscourant geplaatst.
Datalekken moeten nu niet alleen bij het College bescherming persoonsgegevens (Cbp) gemeld worden, maar ook bij alle betrokken personen. Dit staat in het wetsvoorstel dat op 26 mei 2015 in de Eerste Kamer aangenomen is. Het gaat om datalekken ‘waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens’. De meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector.
Met de aanvulling op de wet is het nu strafbaar om betrokkenen niet in te lichten. Het Cbp kan bij overtreding overgaan op een bestuurlijke boete. Deze boete kan oplopen tot 810.000 euro. Wanneer een bindende aanwijzing niet wordt opgevolgd, is zelfs een maximumbedrag van 10 procent van de jaaromzet een mogelijkheid. (Bron: CMWeb, 27 mei 2015)
Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de algemene verordening gegevensbescherming (AVG). Deze nieuwe wet heeft consequenties voor werkgevers, die persoonsgegevens van werknemers opslaan en verwerken. De huidige Nederlandse Wet Bescherming Persoonsgegevens komt dan te vervallen. Zie voor meer: subrubriek Personeelsdossier.