Net zoals andere websites maken ook wij gebruik van cookies (en daarmee vergelijkbare technieken) om het bezoek van onze website voor jou nog makkelijker en persoonlijker te maken. Bovendien kunnen wij en derde partijen hiermee eventueel advertenties aanpassen aan jouw interesses en kun je informatie delen via social media. Door verder gebruik te maken van deze website ga je hiermee akkoord. Bekijk onze privacy policy

Aandachtspunten HR "Algemene Verordening Gegevensbescherming"

Per 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wbp) en is de AVG in de gehele Europese Unie van toepassing. Dit betekent dat alle organisaties in Nederland vanaf die datum aan de bepalingen in de AVG moeten voldoen.
Ook voor HR is de impact van de AVG groot. Zo dient HR bijvoorbeeld sollicitatieprocedures, personeelsdossiers, bewaartermijnen, administratie en uitwisseling van gegevens bij ziekte en re-integratie in overeenstemming met de AVG te brengen. In dit kennisdocument bespreken we zes aandachtspunten over de AVG voor HR.

1.Breng informatiestromen binnen de HR-afdeling in kaart

Als start voor een zorgvuldige verwerking van persoonsgegevens, kan HR de informatiestromen in kaart brengen. Documenteer onder andere welke persoonsgegevens de HR-afdeling verwerkt, van wie persoonsgegevens en met welk doel deze worden verwerkt en met wie de persoonsgegevens worden gedeeld. Al deze informatie vormt de basis voor de voorbereiding op de AVG.

2. Bepaal hoe u omgaat met een datalek

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Uit deze definitie blijkt dat een datalek verder gaat dan slechts het verlies van persoonsgegevens (bijvoorbeeld wanneer een werknemer een laptop of usb-stick met persoonsgegevens verliest). Het omvat namelijk ook situaties als een verkeerd geadresseerde e-mail verzenden of wanneer bestanden met persoonsgegevens worden versleuteld door ransomware.
Als er sprake is van een datalek, dan is het allereerst belangrijk dat de werknemer die een (mogelijk) datalek constateert dit incident onmiddellijk meldt bij de verantwoordelijke. De verantwoordelijke kan dan de afhandeling van het datalek oppakken. Het is daarom van belang dat binnen de organisatie bekend is wie de verantwoordelijke is.
De verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en beoordelen welke vervolgstappen genomen dienen te worden. Volgens de AVG moeten de volgende acties ondernomen worden:

  • Registratie van het datalek in een register datalekken;
  • Melding van het datalek aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Gezichtspunten die bij deze beoordeling een rol spelen zijn onder meer de omvang van het datalek, de aard van de gelekte gegevens, het aantal betrokken personen van wie persoonsgegevens zijn gelekt en de positie van de getroffen betrokkenen. De melding aan de Autoriteit Persoonsgegevens moet binnen 72 uur na de ontdekking van het datalek plaatsvinden;
  • Houdt het datalek een hoog risico in voor de rechten en vrijheden van natuurlijke personen, dan moet u het datalek ook melden aan de betrokkene.

Aangezien binnen een kort tijdsbestek verschillende acties ondernomen dienen te worden, raden wij aan een beleid datalekken op te stellen. In dit beleid kunt u op duidelijke wijze vast leggen hoe binnen uw organisatie wordt gehandeld indien er sprake is van een datalek of wanneer een datalek vermoed wordt.

3. De betrokkene heeft recht tot inzage in zijn persoonsgegevens


De betrokkene heeft recht op inzage in en afschrift van de persoonsgegevens die van hem worden verwerkt. Dit betekent bijvoorbeeld dat een werknemer op ieder moment aan de werkgever om inzage in en een kopie van zijn eigen personeelsdossier kan verzoeken. Een werknemer hoeft geen reden te geven voor een inzageverzoek.

U moet de werknemer direct en in ieder geval binnen één maand na ontvangst van het verzoek de informatie verstrekken. Bij grote of complexe verzoeken kan die termijn met maximaal twee maanden worden verlengd.

Gelet op het recht van inzage, is het van belang dat de HR-administratie op orde is. Daarnaast moet u er rekening houden dat het ‘’heimelijk’’ opbouwen van een personeelsdossier risicovol is.
Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje, dan vallen deze aantekeningen niet onder het inzagerecht. Hiervoor is het wel belangrijk dat deze aantekeningen niet worden opgenomen in een dossier, bijvoorbeeld een personeelsdossier, of worden verstrekt aan derden. Worden de aantekeningen wel opgenomen in het personeelsdossier of verstrekt aan derden, dan heeft de werknemer ook recht op inzage in en afschrift van deze aantekeningen.

4. Persoonsgegevens mogen niet tot in oneindigheid worden bewaard

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. In een aantal andere wetten schrijven wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs van een werknemer bijvoorbeeld, dient de werkgever vijf jaar te bewaren na einde dienstverband.

Ook bestaat er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.

5. Informatieplicht

Onder de AVG dient u werknemers, maar ook sollicitanten, heldere informatie te geven over onder andere de persoonsgegevens die u verwerkt, voor welk(e) doel(en) u deze gegevens verwerkt en de rechten die zij hebben. Dit wordt ook wel de informatieplicht genoemd.

Aan deze verplichting kunt u voldoen door een privacyverklaring op te stellen en deze aan uw werknemers en sollicitanten te verstrekken. De privacyverklaring dient u zo opstellen dat deze alle op grond van de AVG verplichte informatie bevat. Daarnaast dient de informatie toegankelijk en begrijpelijk te zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn.

Tip: plaats de privacyverklaring voor sollicitanten direct bij de vacature op de website en neem de privacyverklaring voor werknemers op in het personeelsreglement of personeelshandboek.

6. De zieke werknemer

Gegevens over de gezondheid worden aangemerkt als bijzondere persoonsgegevens. Deze gegevens mogen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of collectieve arbeidsovereenkomst.

Bij een wettelijke verplichting kunt u denken aan de verplichting van de werkgever om het loon van zieke werknemers twee jaar lang door te betalen en aan de re-integratieverplichtingen van de werkgever ten aanzien van zieke werknemers.

Voor u als HR-medewerker is het van belang om te weten welke gezondheidsgegevens u mag vragen en verwerken van een sollicitant en van een zieke werknemer.

De sollicitant


Aan de sollicitant mag u geen vragen stellen over de gezondheid van de sollicitant of diens ziekteverzuim in het verleden. Deze informatie mag u ook niet opvragen bij de vorige werkgever van de sollicitant.

Een werkgever mag een sollicitante ook niet vragen of zij zwanger is of wil worden. Vraagt de werkgever dit toch, dan staat het de sollicitante vrij hierover onjuiste informatie te verstrekken, zonder dat de werkgever hieraan consequenties kan verbinden.

De sollicitant is wel verplicht melding te maken van gezondheidsklachten waarvan hij weet of moet begrijpen dat deze hem ongeschikt maken voor de functie. Is de werkgever van oordeel dat een werknemer relevante gezondheidsklachten heeft achtergehouden, dan kan de werkgever trachten de arbeidsovereenkomst dan wel de loondoorbetaling te stoppen.


De zieke werknemer


De werkgever mag een zieke werknemer niet vragen naar de aard en/of de oorzaak van de ziekte van de werknemer. Daarnaast mag de werkgever niet vragen naar de beperkingen en mogelijkheden van de werknemer.


De Autoriteit persoonsgegevens heeft in 2016 een lijst met informatie opgesteld die de werkgever mag opvragen op het moment dat een werknemer zich ziekmeldt. Deze lijst is beperkt tot de volgende gegevens:

  • het telefoonnummer en (verpleeg)adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met eventuele regresmogelijkheden).


Tijdens de ziekteverzuimbegeleiding en re-integratie heeft de werkgever bepaalde informatie nodig om een beslissing te kunnen nemen over de loondoorbetaling, verzuimbegeleiding en re-integratie. De bedrijfsarts mag daarom de volgende gegevens verstrekken aan de werkgever:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is;
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.