samenwerken
kennissessiesgraduation cap
producten
over ons

Het personeelsdossier en de AVG (Algemene Verordening Gegevensbescherming)

Wat mag wel en niet in het personeelsdossier?

Bij het bijhouden van een personeelsdossier moet je rekening houden met de Algemene Verordening Gegevensbescherming (AVG). Dit is de Europese wet die de Wet Bescherming Persoonsgegevens (WBP) vervangt. In de AVG staan rechten van je werknemers en plichten voor jou als werkgever. In dit artikel lees je hoe jij ervoor zorgt dat je personeelsdossier voldoet aan de AVG.

Het personeelsdossier en de Algemene Verordening Gegevensbescherming (AVG)

Inhoud:

Al je documenten rechtsgeldig geregeld, juridisch getoetst en opgesteld.

Het personeelsdossier en de AVG

In het personeelsdossier staan persoonsgegevens, zoals naam, adres, BSN-nummer en salarisgegevens. Maar in het dossier kan ook informatie staan over beoordelingen, trainingen of eventuele maatregelen. De AVG regelt hoe deze gegevens verzameld, bewaard en gebruikt mogen worden. In de Europese privacywet staan de rechten van medewerkers en plichten van werkgevers beschreven. De wet vraagt dat je zorgvuldig omgaat met de gegevens en de privacy van je medewerkers respecteert. 

Welke persoonsgegevens mag je verzamelen in het personeelsdossier?

Vanuit de AVG mag je persoonsgegevens opnemen die noodzakelijk zijn voor het doel van het personeelsdossier: het goed kunnen uitvoeren van de arbeidsovereenkomst. Dit zijn de standaard gegevens zoals:

  • Naam

  • Adres

  • Geboortedatum

  • Kopie van identiteitsbewijs

  • BSN-nummer

  • Getekende arbeidsovereenkomst, inclusief arbeidsvoorwaarden en bijlagen

  • Gegevens rondom het functioneren en de ontwikkeling van de medewerker

Lees meer over alle onderdelen van het personeelsdossier.

Wat mag je niet vastleggen in een personeelsdossier?

Gegevens die gevoelig van aard zijn, mag je over het algemeen niet in het personeelsdossier zetten. Het gaat om zogenaamde ‘bijzondere gegevens’, zoals:

  • Geloofsovertuiging

  • Seksuele geaardheid

  • Ras / etnische afkomst

  • Medische gegevens

Rechten medewerkers rond het personeelsdossier

Vanuit de AVG zijn er een aantal rechten die medewerkers hebben rondom de gegevens in het personeelsdossier. Deze rechten zijn:

  • Recht op inzage: medewerkers hebben het recht om te weten welke persoonsgegevens van hen in het personeelsdossier staan.

  • Recht op informatie: medewerkers hebben recht op informatie over hoelang hun gegevens worden bewaard (de bewaartermijn), of er automatische besluitvorming plaatsvindt op basis van gegevens, of hun gegevens worden overgedragen naar het buitenland en welke stappen ze kunnen nemen om hun gegevens te corrigeren en klachten in te dienen bij de privacytoezichthouder.

  • Recht op kopie: medewerkers hebben het recht om een kopie van hun volledige personeelsdossier op te vragen bij hun werkgever. Hier moet je aan voldoen, tenzij dit de rechten of vrijheden van anderen in gevaar brengt. 

  • Recht op vergetelheid / recht op verwijdering: je moet de gegevens van een medewerker verwijderen als ze niet langer nodig zijn voor het beoogde doel, als de medewerker de toestemming voor verwerking intrekt, als de medewerker bezwaar maakt tegen de verwerking en/of als er geen wettelijke basis (meer) is voor de verwerking.

  • Het recht op beperking van verwerking: medewerkers kunnen het verwerken van bepaalde persoonsgegevens beperken als ze twijfelen aan de juistheid ervan of als de verwerking ervan onrechtmatig is.

Hoelang mag je de gegevens van werknemers bewaren? Lees meer over de bewaartermijn van het personeelsdossier.

Verplichtingen werkgever rond het personeelsdossier en AVG

In de AVG hebben werkgevers meer verplichtingen om de persoonsgegevens in het personeelsdossier goed te verwerken. Deze verplichtingen zijn:

  • Informatieplicht: je moet werknemers informeren over:

    • het doel van de gegevensverwerking en de bewaartermijn

    • wie binnen het bedrijf verantwoordelijk is voor de gegevensbescherming.

    • wie de gegevens gaan verwerken.

    • gegevens die naar het buitenland worden verstuurd en welke maatregelen er eventueel genomen zijn om de veiligheid te garanderen.

    • het recht om klachten in te dienen en hoe werknemers dit kunnen doen.

    • het recht van de werknemer om hun toestemming voor gegevensverwerking in te trekken.

  • Documentatieplicht: bedrijven met 250 of meer medewerkers of die op grote schaal gegevens van natuurlijke personen verwerken, zijn verplicht een register bij te houden van de verwerking van persoonsgegevens. 

  • Privacy Impact Assessment: je moet een ‘gegevensbeschermingseffectbeoordeling’ uitvoeren als er nieuwe technologieën worden gebruikt of als er op een ingrijpende manier gegevens worden vastgelegd en verwerkt. 

  • Aanstellen van een functionaris: als het verwerken van persoonsgegevens op grote schaal of het systematisch monitoren van betrokkenen op grote schaal de hoofdactiviteit van je bedrijf is, dan moet je een Data Protection Officer (DPO) aanstellen. Deze functionaris houdt toezicht op het naleven van de AVG binnen je bedrijf. 

  • Meldplicht datalekken: een datalek dat gevolgen kan hebben voor de bescherming van persoonsgegevens, moet je melden bij de Autoriteit Persoonsgegevens.

Meer over de meldplicht datalekken: 9 vragen over de meldplicht datalekken

Bewaartermijn van het personeelsdossier

In de AVG staat dat je persoonsgegeven mag bewaren, maar niet langer dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Hierdoor kan de bewaartermijn per soort gegevens verschillen. En naast de bewaartermijn vanuit de AVG heb je ook te maken met bewaartermijnen voor de wet of voor de Belastingdienst. Daardoor verschilt de bewaartermijn van 4 weken tot in het uiterste geval 20 jaar. Algemene richtlijnen:

  • Gegevens van de sollicitant: de gegevens van een afgewezen sollicitant mogen niet langer dan vier weken worden bewaard. Je kan een sollicitant wel vragen of je de gegevens langer mag bewaren, mocht er later binnen het bedrijf nog een vacature ontstaan. Redelijk is dan een termijn van maximaal een jaar aan te houden.

  • Gegevens van een werknemer na uitdiensttreding: er is geen wettelijke bewaartermijn voor gegevens uit het personeelsdossier van iemand die uit dienst is getreden. Gebruikelijk en als richtlijn te gebruiken is een bewaartermijn van twee jaar na uitdiensttreding. 

  • De fiscale bewaarplicht: de Belastingdienst houdt voor een aantal zaken die fiscaal van belang zijn een bewaartermijn aan van 7 jaar. Voor zaken met betrekking tot de loonbelasting wordt een termijn van 5 jaar aangehouden.

Meer weten over de specifieke bewaartermijnen van de onderdelen van het personeelsdossier? Lees dan ‘Bewaartermijn personeelsdossier: dit zijn de regels’. 

Tips over personeelsdossier en AVG

  • Zorg dat je de bewaartermijn van gegevens en de criteria daarvoor goed vastlegt en documenteert.

  • Als gegevens bij wijze van uitzondering langer bewaard worden, zorg dan dat inzichtelijk is waarom dit gebeurt. Wees transparant.

  • Informeer je werknemers over de bewaartermijnen. Dit kan je doen in een informatiebrief, memorandum of via het personeelsreglement dat je aanpast.

Wat vind je van dit artikel?

Lian de Snoo

Auteur

Lian de Snoo

Als Juffrouw Taal help ik ondernemers in het mkb aan en met ijzersterke content. Door lekker leesbare en vindbare teksten voor ze te schrijven of door hen te leren hoe ze dat zelf kunnen doen.

Ook interessant voor jou
Dit zijn de eisen van de Belastingdienst voor je administratie

Meer over:
Personeelsadministratie
MKB Servicedesk Logo

© 2006-2025 Wij zijn onderdeel van Van Spaendonck Groep B.V. Voor adverteren en content marketing graag contact opnemen met sales@mkbservicedesk.nl. Alle rechten voorbehouden. Op uw bezoek aan en gebruik van deze website zijn de gebruiksvoorwaarden van toepassing die u hier kunt lezen en downloaden.