Digitalisering van personeelsdossiers: waar moet u als werkgever op letten?
De vergaande digitalisering van de samenleving en toegenomen aandacht voor duurzaamheid hebben ook de werkvloer bereikt. Technologische ontwikkelingen maken het steeds eenvoudiger en veiliger om zogenoemd ‘papierloos’ te werken: een manier van werken waarbij documenten niet meer worden afgedrukt en bewaard in dossiermappen, maar enkel nog digitaal worden opgeslagen in een cloud en via computers, laptops en tablets altijd en overal kunnen worden geraadpleegd. In een papierloze werkomgeving past ook een digitale personeelsadministratie. De digitalisering van personeelsdossiers vergt echter de nodige aandacht en inspanningen van de werkgever.
Protocol
Uw personeelsdossier bevat veel vertrouwelijke gegevens over uw werknemers. Op grond van de Wet bescherming persoonsgegevens bent u als werkgever verantwoordelijk voor de zorgvuldige verwerking en bescherming van deze gegevens. Bij de digitalisering van uw personeelsadministratie wordt van u als werkgever een hoge mate van zorgvuldigheid verwacht. Het is dan ook van belang dat u het digitaliseringsproces goed voorbereidt en u ook aan de Autoriteit Persoonsgegevens of andere instanties kunt aantonen dat u zich rekenschap heeft gegeven van de privacybelangen van uw medewerkers. Uit het oogpunt van transparantie is het wenselijk om de digitaliseringsprocedure zoveel mogelijk vast te leggen in een protocol dat zo nodig aan de Autoriteit Persoonsgegevens kan worden verstrekt. In dit protocol dient onder meer te worden vastgelegd:
- Welke overwegingen aan de digitalisering van het dossier ten grondslag liggen;
- Op welke wijze de digitalisering zal worden uitgevoerd;
- De tijdspanne waarbinnen de digitalisering zal worden uitgevoerd;
- Welke middelen bij de digitalisering zullen worden ingezet;
- Welke personen bij dit proces worden betrokken en waarom de betrokkenheid van deze personen noodzakelijk is;
- Op welke wijze de bescherming van de persoonsgegevens in het personeelsdossier gedurende de digitalisering is gewaarborgd;
- Welke maatregelen zijn genomen om de inbreuk op de privacy van de medewerkers zoveel mogelijk te beperken;
- Welke stappen moeten worden ondernomen indien de vertrouwelijkheid van de persoonsgegevens in het dossier op enige wijze in het geding komt.
Beveiliging
De tijd waarin personeelsdossiers achter slot en grendel lagen en de directeur de sleutel aan het einde van de dag mee naar huis nam, is voorbij. Artikel 13 van de Wet bescherming persoonsgegevens eist dat de werkgever passende technische en organisatorische maatregelen neemt om personeelsdossiers te beveiligen tegen verlies en kennisneming van de inhoud van de dossiers door onbevoegden. Bij technische maatregelen moet worden gedacht aan uiteenlopende beveiligingssoftware zoals software voor toegangsbeveiliging, vastlegging van gebruik, back-ups en zogeheten ‘privacy enhancing technologies’. Welke maatregelen als ‘passend’ worden beschouwd, is afhankelijk van onder meer de aard van de persoonsgegevens en de stand van de techniek. Dit brengt met zich dat u regelmatig opnieuw dient vast te stellen of uw technisch beveiligingsniveau nog ‘op pijl’ is of dat aanvullende maatregelen zijn vereist. Naast passende technische, dient de werkgever ook passende organisatorische maatregelen te nemen om personeelsdossiers te beveiligen. Daarbij moet worden gedacht aan een protocol waarin onder meer is vastgelegd welke functionarissen binnen uw onderneming toegang hebben tot (onderdelen van) het digitale dossier. Het aantal personen dat toegang heeft tot het dossier dient zoveel mogelijk te worden beperkt: slechts personen die toegang tot bepaalde informatie nodig hebben om hun functie goed te kunnen uitoefenen mag toegang tot (enkel) die informatie worden verleend. Daarnaast dient het protocol te voorzien in onder meer instructies ten aanzien van de behandeling van persoonsgegevens en een calamiteitenplan.
Derden
Het is gezien de strikte wettelijke vereisten die gelden verstandig om u bij de digitalisering van uw personeelsdossiers te laten bijstaan door technisch en juridisch deskundigen. De derden door wie u zich laat ondersteunen zullen toegang krijgen tot uw personeelsdossier en kennis kunnen nemen van de daarin opgenomen persoonsgegevens van uw personeel. Het is belangrijk om u goed te realiseren dat u op grond van artikel 14 te allen tijde zelf verantwoordelijk blijft voor de bescherming van de persoonsgegevens in het personeels-dossier en de naleving van de voorschriften uit de Wet bescherming persoonsgegevens door de derden die door u worden ingeschakeld. Van u wordt dan ook verlangd dat u een zogenoemde ‘bewerkersovereenkomst’ sluit met alle door u ingeschakelde derden, waarin onder meer wordt vastgelegd:
- dat de derde de persoonsgegevens van uw medewerkers slechts overeenkomstig uw instructies mag verwerken en niet voor eigen doeleinden mag inzien of gebruiken;
- dat de derde gehouden is ten aanzien van de persoonsgegevens strikte geheimhouding in acht te nemen en voor diens personeel aan eenzelfde geheimhoudingsplicht geldt;
- op welke wijze de beveiliging van de persoonsgegevens wordt gewaarborgd;
- of en onder welke voorwaarde de derde zelf derden mag inschakelen;
- waar de data worden opgeslagen;
- dat de werkgever bevoegd is te controleren of de derde zich houdt aan de bepalingen in de Wet bescherming persoonsgegevens en de bewerkersovereenkomst en op welke wijze deze controle wordt uitgevoerd;
- hoe de aansprakelijkheden in het geval van overtreding zijn verdeeld.
Bewaartermijn
De persoonsgegevens in een personeelsdossier moeten uiterlijk twee jaar nadat het dienstverband van een werknemer is geëindigd, worden vernietigd tenzij er een wettelijke plicht geldt om bepaalde gegevens langer te bewaren. Zo dienen gegevens uit de salarisadministratie die fiscaal van belang zijn tot zeven jaar na het einde van het dienstverband te worden bewaard en moet de werkgever loonbelastingverklaringen en een kopie van het identiteitsbewijs van een werknemer bewaren tot vijf jaar na het einde van het dienstverband. Een werkgever mag gegevens over een (ex-)werknemer langer bewaren als hij daarbij een bijzonder belang heeft, bijvoorbeeld als er een rechtszaak loopt of dreigt.
Zodra er geen noodzaak of wettelijke verplichting meer bestaat om persoonsgegevens te bewaren, dient de werkgever het personeelsdossier te vernietigen. Dit is niet anders ten aanzien van een digitaal personeelsdossier. Het is dan ook raadzaam om bij de digitalisering van uw personeelsdossier software in te bouwen die een melding aan u doet uitgaan wanneer de uiterste bewaartermijn van bepaalde documenten verstrijkt.
Belastingdienst
Door de Belastingdienst worden eisen gesteld aan de conversie van het personeelsdossier in een digitaal dossier. Voldaan moet worden aan de volgende voorwaarden:
- Alle gegevens moeten worden gedigitaliseerd: er mag geen selectie plaatsvinden;
- Alle gegevens moeten inhoudelijk juist worden gedigitaliseerd;
- Het inscannen dient te gebeuren door middel van een kleurenprinter;
- Het systeem dient tijdens de gehele bewaartermijn beschikbaar te zijn;
- De digitale gegevens dienen binnen redelijke tijd reproduceerbaar en leesbaar te zijn;
- De controle van gedigitaliseerde gegevens dient binnen een redelijke tijd te kunnen worden uitgevoerd;
- De resultaten van deze controles dienen bewaard te blijven; en
- bewijsbaar moet zijn dat het originele document is ingescand.
U doet er daarom goed aan om, voordat u overgaat tot de digitalisering van uw personeelsadministratie, uw voornemens te bespreken met de Belastingdienst. Indien u toestemming heeft gekregen van de Belastingdienst kunnen na de geslaagde conversie de papieren dossiers worden vernietigd.
Vernietiging papieren dossier
Mits het digitale dossier voldoende is beveiligd, is de werkgever niet verplicht om naast het digitale dossier ook het papieren dossier te bewaren. Het staat de werkgever dus vrij om het papieren dossier te vernietigen. Wel is van groot belang dat de bescherming van de in het dossier opgenomen persoonsgegevens is gewaarborgd. Zet het dossier dus niet bij het oud papier op straat, maar schakel een (bij voorkeur CA+ en/of NAID AAA gecertificeerde) professionele archiefvernietiger in.
Bewijskracht
Het verdient de voorkeur de voornaamste documenten in uw personeelsdossiers voorlopig ook in papieren vorm te blijven bewaren. De documenten in een personeelsdossier dienen voornamelijk in hoofdzaak een bewijsfunctie. Met deze documenten wilt u immers kunnen aantonen dat u bepaalde zaken met een werknemer heeft besproken of dat u met een werknemer bepaalde afspraken heeft gemaakt. Een document dat door beide partijen is ondertekend, zoals een arbeidsovereenkomst, een beoordelingsformulier of een document waarin bepaalde afspraken zijn vastgelegd, is een zogenoemde ‘onderhandse akte’. Uit de wet volgt dat de rechter alle informatie die in een dergelijke onderhandse akte is opgenomen, als tussen beide partijen bewezen dient te beschouwen, Een papieren overeenkomst die door beide partijen is ondertekend levert derhalve dwingend bewijs op, waaraan de rechter niet voorbij kan gaan. Digitale kopieën worden echter beschouwd als digitale gegevens en hebben geen dwingende, maar vrije bewijskracht.
Dit betekent dat de rechter vrij is in de wijze waarop hij een digitaal document waardeert: de rechter kan het doorslaggevend achten, maar ook naast zich neer leggen. Tussen papieren documenten en digitale documenten bestaat derhalve vooralsnog een verschil in bewijskracht.
Het is dan ook van groot belang dat de rechter kan worden overtuigd van de echtheid van digitale documenten. Dit kan bijvoorbeeld door digitale documenten te voorzien van een zogeheten ‘gekwalificeerde elektronische handtekening’. Dit houdt in dat een document met behulp speciale softwarecertificaten aantoonbaar is beveiligd. Er is nog weinig bekend over de waardering van digitale documenten door rechters. Het verdient daarom de voorkeur om de voornaamste onderdelen van het dossier (voorlopig) ook nog in papieren vorm te bewaren.
Ondernemingsraad
Heeft uw onderneming een OR ingesteld? Dan heeft u ook de toestemming nodig van de OR voordat u met de digitalisering van uw personeelsadministratie kunt aanvangen. Artikel 27 lid 1 onder k van de Wet op de Ondernemingsraden schrijft namelijk voor dat ieder voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van persoonsgegevens of de bescherming van persoonsgegevens van de in de onderneming werkzame personen, ter instemming moet worden voorgelegd aan de OR. Indien u overgaat tot digitalisering van uw personeelsadministratie voordat de OR daarmee heeft ingestemd, kan de OR de Ondernemingskamer van het Gerechtshof Amsterdam vragen u ertoe te veroordelen om de digitalisering te staken en ongedaan te maken.
Conclusie
Over de digitalisering van personeelsdossiers mag niet te licht worden gedacht. Met name aan de technische en organisatorische beveiliging van de persoonsgegevens van uw medewerkers worden zeer strenge eisen gesteld. Daar komt bij dat de bevoegdheden van de Autoriteit Persoonsgegevens om overtredingen van de Wet bescherming persoonsgegevens met hoge boetes (deze kunnen in uiterste gevallen oplopen tot EUR 820.000,-) te bestraffen sinds 1 januari 2016 aanzienlijk zijn uitgebreid. Wij adviseren u dan ook om u bij de digitalisering van uw personeelsadministratie te allen tijde te laten bijstaan door een juridisch, fiscaal en technisch deskundige.