“Elk record wat je bewaard kan gebruikt worden als bewijs tegen je organisatie of om je naam te zuiveren”

By 27 augustus 2017 september 16th, 2017 Algemeen

Informatie bewaren doen we elke dag, en de hoeveelheid informatie die we willen bewaren neemt alleen maar toe. Maar welke informatie moet je nu ECHT aanhouden, en wat zegt de geldende wet- en regelgeving hiervan?

Het gaat uiteindelijk om bewijslast dat je je zaken, en dus ook je informatie goed en volgens regels op orde hebt gebracht.

 Als je keuzes gaat maken, en richtlijnen gaat opstellen voor je informatie huishouding, dan heb ik hiervan al opgeschreven dat je eerst goed moet kijken welke informatie je allemaal hebt!

Maar wat moet je nou echt bewaren volgens de wet, in welke vorm en voor hoelang?

Want je dient wel compliant te zijn, en te voldoen aan regels. Want je wilt geen boete krijgen van een controlerende instantie, of bij een audit van de overheid op de vingers getikt worden.

Onze wetgever zegt daar wel het een en ander over, en deze wetgeving verandert continue. Bijvoorbeeld de Wet Bescherming Persoonsgegevens (WBP), of de wet over digitale handtekeningen.

Zeker als je te maken hebt met internationale wetgeving, je doet zaken buiten de landsgrenzen of hebt kantoren in andere landen, dan gelden daar heel andere wetten.

 

Welke regels zijn van toepassing? (een voorbeeld)

Allereerst is het belangrijk om na te gaan welk proces welke informatie bevat. We nemen als voorbeeld uw HR processen, (instroom, doorstroom en uitstroom), dan weet je al welke informatie in dat proces voorkomt. Hierin komen altijd persoonsgegevens voor, want u hebt nu eenmaal personeel in dienst waarvan u naam, adres, bankgegevens, BSN nummer nodig heeft. Om zeker te weten dat diegene is wie hij/zij zegt dat hij/ zij is en om uw HR proces te kunnen uitvoeren. Hiervoor geldt de Wet bescherming persoonsgegevens (van 6 juli 2000), die ook geldt voor gegevens van uw klanten overigens.

Maar deze wet verandert snel, onder invloed van de privacy- en databescherming wetten in Europa. Deze Data Protection Directive betekent voor u dat:

  • Consumenten eenvoudiger toegang krijgen tot hun eigen gegevens en deze over te hevelen (recht van data portability).
  • Het recht om te worden vergeten, medewerkers en consumenten kunnen bedrijven verzoeken om AL hun gegevens te verwijderen als er geen legitieme reden is om deze te bewaren.
  • Indien u zaken doet in de Europese Unie, maar toch gegevens daarbuiten opslaat gelden nog steeds de EU regels.

Dit houdt voor u in dat u moet weten waar deze informatie staat, en hoe u deze gecontroleerd kan vernietigen indien nodig.

En dan nog maar enkele weetjes om het “makkelijker” te maken voor u:

  • Volgens de Wet Bescherming Persoonsgegevens (Wbp) mag de werkgever persoonsgegevens verwerken, dat betekent: vastleggen, bewaren, wijzigen, opvragen of vernietigen, als dat noodzakelijk is voor de uitvoering van de arbeidsovereenkomst, en mits hij zorgvuldig en in overeenstemming met de Wbp met die gegevens omgaat. Het gaat om persoonsgegevens zodra de identiteit van de persoon uit de gegevens kan worden afgeleid.
  • Volgens het CBP (College Bescherming Persoonsgegevens) is een werkgever verplicht om de identiteit te controleren van een werknemer (niet een rijbewijs), en dit moet een origineel document zijn en geen kopie. Een kopie moet wel worden opgenomen in de loonadministratie, dat mag dus ook een scan zijn. Bij controle dient echter wel het origineel getoond te worden, aangezien een kopie niet als origineel wordt gezien.
  • In principe moet iedere verwerking van persoonsgegevens worden gemeld bij het College Bescherming Persoonsgegevens. Maar voor de personeelsadministratie bijvoorbeeld geldt een vrijstelling, die te vinden is in het Vrijstellingsbesluit, behorende bij de Wbp (zie artikel 7 Vrijstellingsbesluit Wbp).
  • Volgens het Vrijstellingsbesluit moeten gegevens uit personeelsdossiers twee jaar nadat het dienstverband is beëindigd worden verwijderd, tenzij een wettelijke bewaarplicht een langere bewaartermijn voorschrijft. Langer dan twee jaar mag, maar dan moet de werkgever dit melden bij het College Bescherming Persoonsgegevens.
  • Gegevens van op vacutures reagerende kandidaten (zoals CV, Bewijs van goed gedrag, assesments en psychologische testen), zonder toestemming van de kandidaat maximaal 4 weken, en met toestemming maximaal 2 jaar bewaren.
  • ID’s mag u bewaren met een maximum van 2 jaar na afloop van het dienstverband, of langer als u moet voldoen aan andere wetgeving….
  • Maar als u werknemers heeft gehad die blootgesteld zijn aan bijvoorbeeld asbest of verslagen van medische testen nav werken met gevaarlijke substanties dan geldt weer een bewaartermijn van 40 jaar na uitdiensttreding

 Ziet u door de bomen het bos nog?

Want wat moet je doen, inregelen en welke technologie inzetten om aan al deze voorwaarden te voldoen/

Als we kijken naar het voorbeeld hierboven, waar u een werknemer heeft die met asbest heeft gewerkt, dan zou u na 2 jaar de ID moeten vernietigen maar u dient wel de persoonsgegevens aan te houden die een relatie heeft met medische verslagen die gedurende het dienstverband uitgevoerd zijn. En die relatie wordt maar al te vaak gelegd door het gehele dossier te bewaren, vaak in fysieke vorm maar ook nog al te vaak in een digitale (vervanger van fysiek) vorm.

 Maak de juiste keuzes

De juiste keuze maken is een van de lastigste onderdelen, welke regels gelden voor mij en mijn processen?

In een snel veranderende wereld, veranderen wetten en regels net zo snel, daar dient u rekening mee te houden!

Leave a Reply