GDPR & HR

Written on 5 Feb 2018

Stap 1 voor werkgevers

De hoofdverplichting van een werkgever is het betalen van loon aan de werknemer in ruil voor een tegenprestatie vanuit de werknemer, ook wel ‘arbeid’ genoemd. Hoewel betaling van het loon ook in cash mag, zullen de meeste werkgevers het loon giraal aan de werknemer willen overmaken. Dat betekent dat de werkgever een aantal gegevens van de werknemer nodig heeft om het loon te kunnen overmaken, zoals het bankrekeningnummer van de werknemer en eventueel zijn adresgegevens indien de werknemer de loonstrook per post thuisgestuurd krijgt. Dit soort gegevens worden persoonsgegevens genoemd omdat het gegevens zijn waarmee een werknemer kan worden geïdentificeerd. De werkgever heeft geen toestemming nodig van de werknemer om deze gegevens te verzamelen zolang deze gegevens noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst.

De werkgever dient wel zorgvuldig met deze persoonsgegevens om te gaan. Dat is de kern van de wetgeving ten aanzien van persoonsgegevens. Zorgvuldig betekent bijvoorbeeld dat de gegevens niet worden gebruikt voor een ander doel dan waarvoor zij zijn verzameld (i.e. het uitvoering kunnen geven aan de verplichting om loon te betalen voor geleverde arbeid). De werkgever mag bijvoorbeeld niet – zonder toestemming van de werknemer – het bankrekeningnummer van de werknemer aan een club als Facebook verkopen.

Zorgvuldig betekent ook dat de werkgever dit soort gegevens veilig (digitaal) opslaat en alleen aan een bepaalde groep mensen toegang verleent tot deze informatie, bijvoorbeeld de mensen die op de salarisadministratie werken. Op het moment dat het dienstverband met een werknemer eindigt, dient de werkgever gegevens over deze ex werknemer te verwijderen, met uitzondering van gegevens die de werkgever nodig heeft om richting de belastingdienst te kunnen aantonen dat er keurig netjes belasting is betaald. Dat soort gegevens moeten veel langer bewaard blijven (i.e. met een maximum van 7 jaar).

Zorgvuldigheid betekent verder – en dit is nieuw onder de aanstaande wetgeving – dat de werkgever aan de werknemer uitlegt waarom en op welke wijze hij uitvoering geeft aan – onder meer – bovenstaande verplichtingen. Kort samengevat dient de werkgever dus een document op te stellen waarin de ‘why, what and how’ ten aanzien van de verwerking van de  persoonsgegevens van werknemers wordt uitgelegd. Hier wordt op diverse fora ontzettend ingewikkeld over gedaan, maar met deze golden triangle (zie voor een nadere duiding van dit begrip – de bestseller ‘Start with the Why’ van Simon Simek) is iedere werkgever in beginsel voor 80% compliant onder de nieuwe wetgeving, althans voor zover het ziet op plichten richting de werknemers. Een bedrijf heeft in de regel veel meer datastromen, denk aan data over klanten, leveranciers, sollicitanten (let op gegevens over sollicitanten dienen binnen 2 maanden verwijderd te worden indien zij niet in dienst komen) en wat dies meer zij. Afhankelijk van de business van het bedrijf, gelden er aanvullende voorschriften maar men moet ook ergens beginnen. De meeste bedrijven hebben werknemers in dienst dus beginnen met het opstellen van het ‘why, what, how’ document’ voor de werknemers is sowieso nodig.

De andere 20% compliance kan worden bereikt door, onder meer, duidelijk te maken richting werknemers op welke momenten en onder welke voorwaarden:

  • Zij recht hebben op inzage in de wijze waarop de persoonsgegevens worden verwerkt;
  • Zij bezwaar kunnen maken tegen de gegevensverwerking; en
  • Zij een klacht kunnen indienen bij de toezichthouder.

Voor grotere werkgever (>250 werknemers) gelden aanvullende verplichtingen. Zie https://hulpbijprivacy.nl/ voor meer informatie vanuit de toezichthouder.


Dit is de eerste blog in een serie blogs die ik wekelijks op deze website zal posten. Doel van de blogs is het in begrijpelijke taal inzicht te geven in ogenschijnlijk complexe juridische materie. Volgende week: Mogen bitcoins en andere cryptocurrencies als loon worden uitgekeerd?

In dit blog wil ik stilstaan bij een aantal basale verplichtingen die een werkgever heeft richting zijn werknemers onder de aankomende privacy wetgeving die in mei 2018 van kracht wordt. Het blog kan niet worden opgevat als een juridisch advies. Daarvoor kent het recht net teveel ‘mitsen en maren’ die ik er in dit blog omwille van de leesbaarheid uitgefilterd heb.