Bij het verwerken van persoonsgegevens wordt meestal gedacht aan het bijhouden van uitgebreide databases met klantgegevens. Bijvoorbeeld een maillijst met e-mailadressen, die wordt gebruikt om nieuwsbrieven te versturen. Maar in de praktijk verwerken bedrijven meer dan alleen klantgegevens. Wat dacht je bijvoorbeeld van de personeelsadministratie? Iedere werkgever heeft persoonlijke informatie over zijn werknemers in huis: van contactgegevens, tot zeer gevoelige details over bijvoorbeeld salaris, gezondheid en strafrechtelijke veroordelingen. Mag je deze gegevens zomaar opslaan, ook na de invoering van de AVG?

Het personeelsdossier: Wat mag je opslaan?

Het verwerken van persoonsgegevens is volgens de AVG alleen toegestaan als dat gebeurt vanwege een in de wet genoemde verwerkingsgrondslag. Normaal gesproken sla je de gegevens van werknemers op in hun personeelsdossiers. Een dossier leg je aan om aan jouw verplichtingen als werkgever te kunnen voldoen. Deze verplichtingen vloeien gedeeltelijk voort uit de arbeidsovereenkomst tussen jou en je werknemer. Je moet ervoor zorgen dat je werknemer zijn salaris op tijd ontvangt. Daarvoor moet je natuurlijk wel zijn gegevens verwerken (naam, adres, rekeningnummer, etc.). Daarnaast heb je ook plichten die voortvloeien uit de wet. Je moet bijvoorbeeld belasting betalen en een correcte administratie bijhouden. Ook daarvoor moet je persoonsgegevens verwerken.

Het nakomen van een overeenkomst en het vervullen van een wettelijke plicht zijn verwerkingsgrondslagen. Je mag op basis hiervan de gegevens van je werknemers dus verwerken, maar alleen voor zover dat nodig is om aan je verplichtingen te voldoen. Je mag deze gegevens nergens anders voor gebruiken of langer bewaren dan noodzakelijk is.

Veiligheidsmaatregelen: ook als iemand anders de administratie voor je doet!

Als werkgever moet je aantonen dat je de nodige technische en juridische veiligheidsmaatregelen hebt getroffen voor de betreffende verwerking. Maak je gebruik van de diensten van een ander bedrijf, dat voor jou de personeelsadministratie uitvoert? Dan ben je er deels verantwoordelijk voor dat dit bedrijf zijn zaken ook op orde heeft. Jij hebt immers afspraken gemaakt met je werknemers over de verwerking van hun gegevens. Deze verantwoordelijkheid kun je niet zomaar afschuiven. Je moet afspraken maken met dit andere bedrijf over hoe er met de persoonsgegevens van je werknemers wordt omgegaan. Die afspraken leg je vast in een verwerkersovereenkomst.

Je wilt natuurlijk voorkomen dat de gegevens van jouw bedrijf of werknemers op straat komen te liggen. De juristen van HelloLaw hebben ruime ervaring met het opstellen en checken van verwerkersovereenkomsten. Doe onze gratis AVG check.