Met ingang van 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit heeft verregaande gevolgen voor de gehele bedrijfsvoering, ook voor de afdeling personeelszaken, bijvoorbeeld als het om het correct beheren van personeelsdossiers gaat. Veel personeelsdossiers voldoen echter nog niet aan de nieuwe eisen, merkt Sayed Nasibdar van Karmac. "Schoon die dossiers nú op - de boetes zijn hoog."
Hoe lang mag u een kopie van een identiteitsbewijs van een sollicitant bewaren? En van een medewerker die uit dienst is getreden? Mag u de verslagen van álle functioneringsgesprekken bewaren, of alleen de meest recente verslagen? Bevat het personeelsdossier van elke medewerker wel een loonbelastingverklaring? En stel dat een document van personeelslid P. Jansen per ongeluk in het dossier van zijn collega J. Jansen terechtkomt: is dat dan een datalek? En zo ja: aan wie moet u dat melden?
Als u het antwoord op al deze vragen weet, bent u waarschijnlijk goed voorbereid op de Algemene Verordening Gegevensbescherming (AVG), die eind mei van kracht gaat. Deze AVG is de Nederlandse naam van de General Data Protection Regulation, de nieuwe privacywetgeving die vanaf 25 mei in heel Europa van toepassing is. De oude Nederlandse Wet bescherming persoonsgegevens komt hiermee te vervallen. De AVG verplicht organisaties onder andere om zeer zorgvuldig met de persoonlijke gegevens van hun medewerkers om te gaan. Er worden dan ook strenge eisen gesteld aan de inhoud van personeelsdossiers.
Veel organisaties hebben die dossiers echter nog niet op orde, signaleert Sayed Nasibdar, manager van digitaliseringspecialist Karmac. "Wij komen in de praktijk van alles tegen. Zoals kopieën van identiteitsbewijzen die veel te lang bewaard worden: die moeten vernietigd worden zodra een personeelslid uit dienst treedt. En de rest van de personeelsdocumenten, met uitzondering van documenten die een fiscale waarde hebben of van belang zijn voor de loonbelasting, moeten na twee jaar na uitdiensttreding worden vernietigd."
Maar ook van medewerkers die in dienst zijn en blijven, mag ook niet zomaar alles worden bewaard. Zo moeten loonbeslagen uit het dossier worden verwijderd zodra die niet meer van toepassing zijn, en mag alleen het laatste verslag van het functioneringsgesprek worden bewaard.
Maar hoe bouw je als organisatie in dat laatste geval een dossier op over het functioneren van een medewerker? "Door in het verslag van elk nieuw functioneringsgesprek vast te leggen wat er in de vorige gesprekken is afgesproken", zegt Nasibdar. "Simpel - je moet het alleen even weten en er in de praktijk voldoende rekening mee houden."
En soms bevatten de dossiers geen documenten die er juist wél in zouden moeten zitten. Zoals een loonbelastingverklaring. Nasibdar: "We hebben onlangs een spoedklus uitgevoerd voor een grote klant, die een audit had gekregen van de Belastingdienst. In veel dossiers bleken, laten we zeggen, wat hiaten te zitten."
De meeste onvolkomenheden treft Nasibdar aan bij papieren dossiers. "Dat zijn vaak verzamelmappen waar in de loop der jaren van alles in is terechtgekomen, en waar nooit iets uit is verwijderd." De kortste klap om de dossiers op te schonen is om ze te laten digitaliseren door een gespecialiseerd scanbedrijf, zoals Karmac. Zo'n bedrijf let, als het goed is, op alle bewaartermijnen en trekt ook aan de bel als er zaken in het dossier ontbreken.
Ook wordt gecontroleerd of gegevens van medewerkers in de verkeerde dossiers zijn terechtgekomen. Nasibdar: "Waar mensen werken, worden fouten gemaakt. Een document van P. Jansen kan per ongeluk natuurlijk in het dossier van zijn collega J. Jansen terecht komen. Maar dat is onder de nieuwe AVG wel een datalek. En zo'n lek moet je melden. Dat kan je maar beter vóór zijn."
Een goed scanbedrijf zorgt er onder andere ook voor dat alle documenten volledig en waarheidsgetrouw worden gescand en let daarnaast ook op het formaat waarin digitale documenten worden opgeslagen. Want een gewoon PDF-bestand volstaat niet altijd. Nasibdar: "Een arbeidsovereenkomst op papier is in feite een ‘onderhandse akte’, die in rechtszaken als dwingend bewijs geldt. Sla je zo'n akte op als standaard PDF en heb je tijdens het scannen onvoldoende rekening met de betrouwbaarheid en de authenticiteit van het document, dan valt het digitale document onder een zogeheten ‘vrije digitale bewijslast’, dat wil zeggen: de rechter mag dan zelf bepalen hoeveel belang hij aan het digitale document hecht. Belangrijke documenten moet je altijd opslaan als 'PDF/A' documenten: daarmee garandeer je namelijk ook op lange termijn de authenticiteit en de betrouwbaarheid."
Zijn de dossiers eenmaal opgeschoond en gedigitaliseerd, dan moeten ze nog steeds aan allerlei voorwaarden voldoen. Zo mogen dossiers niet worden opgeslagen aan de hand van het BSN-nummer van de medewerkers. "Wij zien in de praktijk nogal eens dat dit nummer terugkomt in de filenaam van dossiers. Handig, maar het mag niet: het is ongeoorloofd gebruik van het BSN."
Nieuw onder de AVG is dat medewerkers het recht hebben om hun dossier mee te nemen naar de volgende werkgever: de zogenoemde data-portabiliteit. "Dat moet je dus als werkgever mogelijk maken", zegt Nasibdar. "En het is weer een extra reden om er voor te zorgen dat het dossier helemaal op orde is. Je wilt geen vertrouwelijke en/of niet relevante informatie doorgeven aan de volgende baas van je medewerker."
Verder zijn de boetes onder de nieuwe AVG hoog, waarschuwt Nasibdar. "Er hoeft maar één document in een personeelsdossier te zitten dat er niet in hoort, en de poppen zijn aan het dansen. Het kan namelijk leiden tot een melding bij de Autoriteit Persoonsgegevens. Die autoriteit heeft meer bevoegdheden gekregen, en kan zelfs besluiten om een audit bij u te komen uitvoeren. Wie zijn dossiers opschoont, kan dus een hoop ellende voorkomen.