skip to Main Content

De hoofdregel is dat in het personeelsdossier alleen die gegevens mogen worden opgenomen die noodzakelijk zijn voor het doel van het personeelsdossier. Maar valt het burgerservicenummer onder de ‘gewone’ of onder de bijzondere persoonsgegevens? En, hoe lang mag u persoonsgegevens bewaren? Is het dan nog wel mogelijk om historische rapportages te draaien of waardevolle statistieken te maken? Drie vragen over personeelsdossier en de Algemene Verordening Gegevensbescherming (AVG).

Is het Burgerservicenummer (BSN) een bijzonder persoonsgegeven?

Personeelsdossier en AVGDe nieuwe privacywetgeving verbiedt in beginsel het verwerken van bijzondere persoonsgegevens, tenzij in de wet hiervoor een uitzondering is gemaakt. De Autoriteit Persoonsgegevens (AP) stelt dat het burgerservicenummer (BSN) ook een bijzonder persoonsgegeven is, omdat het een uniek en tot de persoon herleidbaar nummer is. De risico’s op misbruik zijn te groot, stelt AP: “Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.” Dat betekent dat u als werkgever geen BSN mag doorgeven aan anderen. Alleen een persoon mag uitdrukkelijke toestemming geven om zijn BSN te noteren.

Welke bewaartermijnen voor personeelsdossiers moet ik voor de AVG aanhouden?

De bewaartermijnen van persoonsgegevens veranderen niet door AVG. Dus blijft gelden dat persoonsgegevens niet langer dan noodzakelijk moeten worden bewaard. Voor een aantal zaken is een verplicht of gangbaar bewaartermijn. Voor een overzicht: bewaartermijn persoonsgegevens.

Kan ik na de bewaartermijn de gegevens wel anoniem gebruiken voor statistieken en historische rapportages?

Ja, u kunt gegevens van uw medewerkers ook na de reguliere bewaartermijnen anoniem blijven gebruiken voor uw statistieken. Sleutelwoord hierbij is anoniem. In de AVG staat dat persoonsgegevens, die gegevens zijn die tot een natuurlijk persoon zijn te herleiden. Zolang uw data geanonimiseerd zijn, kunt u ze dus voor rapportages blijven gebruiken.

Om de persoonsgegevens af te schermen wordt ook vaak het pseudonimiseren van de persoonsgegevens toegepast. Het is niet hetzelfde als anonimiseren, maar een tussenstap. Bij pseudonimiseren worden de kenmerkende informatie als naam, adres en dergelijke in een gegevensbestand vervangen door een codering (bijvoorbeeld een nummer). Deze persoonsgegevens met deze coderingssleutel worden in een apart gegevensbestand opgenomen en veilig en wel weggeborgen. Let wel op, de Europese Privacyverordening GDPR stelt dat “deze aanvullende gegevens apart moeten worden bewaard en technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”.

De Autoriteit Persoonsgegevens (AP) adviseert onderwijsinstellingen om pseudonimiseren te gebruiken voor de leerlingenadministratie. Lees meer

Back To Top