Datalekken en ARBO gegevens
Het lijkt erop dat organisaties datalekken niet melden, terwijl ze dat sinds 1 januari 2016 wel verplicht zijn volgens de Meldplicht Datalekken. Dit concludeert de toezichthouder Autoriteit Persoonsgegevens. Voor het niet melden kan in het ergste geval een boete worden opgelegd van € 820.000,- of 10% van de jaaromzet.
U moet uw werknemers kunnen garanderen dat hun persoonsgegevens veilig zijn in uw administratie. Dat betekent dat u een goede online beveiliging moet hebben die bestand is tegen hacking, data opslag, vermissing en diefstal. De AP wijst erop dat lekken niet alleen ontstaan door onveilige websites, maar vooral ook door slordigheid. Natuurlijk de verloren USB-stick of laptop, maar ook een mail met gevoelige informatie die naar de verkeerde persoon wordt gestuurd of papieren documenten die niet door de versnipperaar worden gehaald.
Benodigde documenten personeelsdossier
In een personeelsdossier zitten de benodigde gegevens voor de uitvoering van een arbeidsovereenkomst. Persoonlijke gegevens, gegevens over de arbeidsrelatie, loopbaanontwikkeling, functioneren en ARBO. Een personeelsadministratie hoeft niet te worden aangemeld bij het CBP (College Bescherming Persoonsgegevens). Voorwaarde is wel dat u de administratie alleen gebruikt waarvoor deze bedoeld is, en dat u deze niet aan andere administraties koppelt. De informatie in een personeelsdossier is ook onderdeel van de personeelsadministratie waar wettelijke eisen aan zijn gesteld.
Verplichtingen en voorwaarden
U bent verplicht om van elke medewerker een individueel personeelsdossier aan te houden. Sommige zaken, zoals ziekmeldingen, kunt u opslaan in een collectief personeelsdossier.
Voor de verschillende documentsoorten binnen een dossier gelden bewaartermijnen. U mag niet alle documenten (oneindig) bewaren. Om te voorkomen dat documenten onrechtmatig worden bewaard wordt het geadviseerd om geen schaduwdossiers bij te houden op verschillende afdelingen. Een digitaal archief lost dit probleem eenvoudig op doordat een ieder die inzagerecht heeft, de dossiers altijd en overal kan opvragen.
Vertrouwelijkheid:
Als werkgever bent u verantwoordelijk voor de juistheid van de gegevens. U bent verplicht de gegevens degelijk te beveiligen tegen verlies of onrechtmatige verwerking door elektronische wachtwoorden of gewoon een goed slot. Een personeelsdossier bevat veel persoonlijke gegevens. Van belang is dus dat u ervoor zorgt dat dossiers niet door uw bedrijf gaan ‘zwerven’. Bepaal wie er inzage in heeft en wie het beheer ervan op zich neemt. In traditionele archieven kunt u gebruik maken van registratiekaarten om een document te volgen, in een digitaal systeem is er vaak een audit trail aanwezig die bijhoudt wie een document heeft opgevraagd.
Inzage:
Een werknemer mag te allen tijde zijn of haar dossier inzien en feitelijke onjuistheden laten wijzigen. U bent verplicht dit verzoek te honoreren indien het dossier inderdaad aantoonbare onjuistheden bevat. Over het algemeen hebben de volgende personen inzage in de personeelsdossiers:
De personeelsfunctionaris De direct leidinggevende De medewerker zelf (eventueel onder begeleiding)
Wat hoort niet thuis in het personeelsdossier:
Sommige zaken mogen absoluut niet in het personeelsdossier worden bewaard in verband met wetgeving of privacy van de werknemer. Te denken valt daarbij aan:
Alle gegevens die medisch inhoudelijk van aard zijn. Alle gegevens die geen verband houden met de arbeidsrelatie en privacy gevoelig zijn zoals contacten met justitie en dergelijke.
Individueel personeelsdossier:
Een individueel personeelsdossier kan er als volgt uitzien, daar waar het gaat om ARBO gegevens: Ziek- en herstelmeldingen Re-integratiedossier in het kader van de Wet Verbetering Poortwachter (bv. probleemanalyse, plan van aanpak, verslagen van verzuimgesprekken en consulten bij de bedrijfsarts, evaluaties) Correspondentie met het UWV (bv. deskundigenoordeel, WIAbeschikkingen) Bedrijfsongevallen Kopie vaccinatiepaspoort (bv. Hepatitus B in de zorg) Rapportage aanstellingskeuring