Wanneer we het hebben over de AVG (Algemene Verordening Gegevensbescherming) op de werkvloer denken we vaak aan de gegevens die verwerkt worden dóór de werknemers. Net zo belangrijk zijn de gegevens die verwerkt worden óver de werknemers. Werkgevers verwerken namelijk heel veel persoonsgegevens van hun werknemers in een personeelsdossier. Ook hiervoor geldt de AVG. In dit artikel leg ik uit wat dat betekent.

Algemene beginselen

Net als bij alle andere gegevensverwerkingen gelden de algemene beginselen van de AVG. Die houden in dat:

 • er een goede reden moet zijn om de gegevens te verwerken (bijvoorbeeld omdat het wettelijk verplicht is, of omdat dat nodig is voor de uitvoering van de arbeidsovereenkomst);
 • de gegevens moeten kloppen;
 • er niet meer gegevens in het personeelsdossier mogen worden verwerkt dan nodig is (dataminimalisatie);
 • die gegevens ook alleen worden gebruikt waar ze voor nodig zijn (doelbinding);
 • de gegevens goed beveiligd moeten worden;
 • de gegevens worden verwijderd als ze niet langer nodig zijn.

Wat betekent dit concreet voor het personeelsdossier?

De werkgever mag persoonsgegevens opnemen in het personeelsdossier als en voor zover die noodzakelijk zijn. Sommige gegevens zijn nodig om de loonbetaling en afdracht van belastingen en premies goed te kunnen doen; andere gegevens zijn nodig om een goed personeelsbeleid te kunnen voeren.

In het algemeen kunnen de volgende gegevens in het personeelsdossier staan:

 • naw-gegevens:
 • een kopie van het identiteitsbewijs;
 • BSN;
 • sollicitatiebrief en cv;
 • de arbeidsovereenkomst en eventuele wijzigingen daarvan;
 • correspondentie met of over de werknemer;
 • informatie die nodig is voor de financiële administratie;
 • gegevens over vakantie, ziekte en andere afwezigheid;
 • gegevens met betrekking tot het dienstverband, zoals opleidingscertificaten, beoordelingen, (declarabele) uren, andere prestatiemaatstaven en, indien van toepassing, disciplinaire maatregelen en klachtenregistraties

Bijzondere persoonsgegevens

Informatie over gezondheid, vakbondslidmaatschap, strafrechtelijk verleden, enzovoorts, mag in principe niet in het personeelsdossier worden opgenomen. Dat mag alleen wanneer aan strikte voorwaarden is voldaan, die staan vermeld in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

Wie heeft toegang tot het personeelsdossier?

De AVG verplicht de werkgever er ook toe om ervoor te zorgen dat zo weinig mogelijk mensen toegang hebben tot de persoonsgegevens. Alleen degenen voor wie toegang tot deze gegevens nodig is om hun werkzaamheden te kunnen doen, zoals de direct leidinggevende of de HR-medewerkers, mogen bij deze gegevens kunnen komen.

Het kan verstandig zijn om een regeling te maken over wie precies toegang heeft tot personeelsdossiers.

Hoe lang mogen de gegevens in het personeelsdossier bewaard worden?

Zo lang als nodig is. Hoe lang dat is, hangt af van het soort gegevens.

Voor sommige gegevens geldt een wettelijke bewaarplicht, waaraan de werkgever zich zal moeten houden. Voor de meeste gegevens geldt geen wettelijke termijn. Dan kan de werkgever zelf beoordelen hoe lang het ‘noodzakelijk’ is om de gegevens te bewaren. Het kan zijn dat een branchevereniging een bewaartermijnenbeleid heeft vastgesteld waarbij de werkgever kan aansluiten.

Vóór de AVG hadden we de Wet Bescherming Persoonsgegevens en in de regelgeving die daarbij hoorde, waren er wel wat handvatten gegeven voor deze bewaartermijnen. Daarin stond dat de meeste gegevens over de arbeidsovereenkomst 2 jaar na uitdiensttreding verwijderd moesten worden. Die termijn wordt ook nog steeds door de Autoriteit Persoonsgegevens genoemd.

Als gegevens al eerder niet meer nodig zijn, dan moeten ze ook eerder verwijderd worden, maar als ze juist langer nodig zijn (bijvoorbeeld omdat er een rechtszaak dreigt of loopt) dan mogen ze natuurlijk langer worden bewaard.

Welke rechten hebben de werknemers?

De werknemers hebben natuurlijk ook de rechten die in de AVG staan, zoals:

 • het recht op informatie: de werknemers geïnformeerd moeten worden over welke gegevens worden verwerkt en waarom;
 • het recht op inzage: de werknemers mogen hun gegevens inzien ( dit geldt in principe voor het hele personeelsdossier);
 • het recht op rectificatie, beperking of verwijdering: in sommige gevallen moeten bepaalde gegevens op verzoek van de werknemer worden verwijderd.

Recht op informatie

Privacy statements op de website zijn inmiddels helemaal ingeburgerd, maar zo’n soort informatiebrief aan werknemers komen we niet vaak tegen. Dat moet dus wel. Ook de werknemer moet geïnformeerd worden over welke gegevens worden verwerkt, op welke grondslag, welke rechten de werknemer heeft en wat hij/zij kan doen wanneer hij/zij het niet eens is met de manier van gegevensverwerking van de werkgever.

Recht op inzage en rectificatie

Dit recht is best een ingewikkelde, want in het personeelsdossier bevinden zich soms ook gegevens die de werkgever liever niet wil delen met de werknemer, zoals klachten van collega’s over het functioneren van de werknemer. Toch heeft de werknemer daar recht op. Wel moet de werkgever daarbij de privacy van de collega’s, klanten en derden waarborgen.

Het personeelsdossier en privacy kan soms best voor wat hoofdbrekens zorgen. Wilt u daarover van gedachten wisselen? Neem dan vooral contact op.