Welke gevolgen heeft de Algemene verordening gegevensbescherming (AVG) voor de bewaartermijn van jouw personeelsgegevens? We geven antwoord op 3 vragen.
Sinds 25 mei 2018 zijn de Europese privacyregels uit de Algemene verordening gegevensbescherming (AVG) van toepassing. Op grond van de AVG - ook wel GDPR (General Data Protection Regulation) - hebben alle organisaties een grote verantwoordelijkheid om de privacy van personen te beschermen. Niet alleen van jouw klanten, maar ook van jouw personeel.
op deze pagina
- wat bepaalt de avg over de bewaartermijnen voor de personeelsadministratie?
- gelden er nog andere wettelijke regels voor de bewaartermijn?
- wat staat er wel in de avg over bewaartermijnen?
1. wat bepaalt de avg over de bewaartermijnen voor de personeelsadministratie?
Niets! In de AVG zelf zijn namelijk geen maximale bewaartermijnen voor persoonsgegevens vastgelegd. Het uitgangspunt is dat je persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor zij verzameld en verwerkt zijn. Als redelijke bewaartermijn wordt meestal maximaal twee jaar aangehouden. Let wel: nadat de medewerker uit dienst is getreden.
2. gelden er nog andere wettelijke regels voor de bewaartermijn?
Jazeker. Andere wettelijke regels kunnen wel een bewaartermijn vereisen. Zo moet je bijvoorbeeld op grond van de Wet op de Loonbelasting een kopie van het identiteitsbewijs bewaren - tot vijf jaar na het einde van het jaar waarin het dienstverband is beëindigd. Voor gegevens uit de loonadministratie geldt zelfs een bewaartermijn van zeven jaar na einde van de dienstbetrekking. Het gaat daarbij om gegevens zoals naam, adres, woonplaats, datum van indiensttreding en de loonadministratie.
Voor de volgende gegevens geldt in principe een bewaartermijn van twee jaar nadat het dienstverband is beëindigd:
- arbeidsovereenkomsten (en wijzigingen hierin)
- correspondentie over benoeming, promotie, degradatie en ontslag
- afspraken over werkzaamheden voor de ondernemingsraad
- getuigschriften
- verslagen van functionerings- en beoordelingsgesprekken
- gegevens en correspondentie in verband met ziekte
Voor administratieve verzuimgegevens (zoals de datum van ziekmelding, de verwachte duur van het verzuim en de datum van herstel) geldt geen wettelijke bewaartermijn. Het is dus minder duidelijk welke bewaartermijn is toegestaan. In het algemeen kan je de richtlijn aanhouden dat je de persoonsgegevens moet verwijderen als je geen gerechtvaardigd doel hebt om over de betreffende informatie te beschikken.
3. wat staat er wel in de avg over bewaartermijnen?
In de AVG staat wel dat je (of de verwerkingsverantwoordelijke):
- voorafgaand aan de verwerking bepaalt hoe lang je de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaal je in elk geval de criteria voor het vaststellen van de bewaartermijn (denk bijvoorbeeld aan het moment vanaf wanneer de bewaartermijn gaat lopen). De bewaartermijn of de criteria leg je vast in een beleid
- de bewaartermijnen opneemt in het register van verwerkingen
- jouw medewerkers informeert over de bewaartermijnen. Bijvoorbeeld via een privacybeleid of privacystatement.
In het bewaarbeleid kun je de verschillende bewaartermijnen noemen en voor welke verwerking dat geldt. Maar het is ook aan te raden om in het beleid aan te geven wat van de medewerkers wordt verwacht. Zijn er bijvoorbeeld bepaalde bewaartermijnen niet in de systemen geïmplementeerd en geautomatiseerd? Hebben medewerkers dan ook zelf nog een verantwoordelijkheid? En zo ja, welke verantwoordelijkheid is dat dan?