RGPD in HR: Verwerking van Personeelsgegevens

Het beheer van menselijke hulpbronnen genereert dagelijks een aanzienlijk volume persoonlijke gegevens: arbeidscontracten, salarisbrieven, gezondheidsgegevens, prestatiebeoordelingen, bankgegevens... Sinds de Algemene Verordening Gegevensbescherming (GDPR) in mei 2018 van kracht werd, zijn HR-directies centrale actoren geworden in nalevingskwesties binnen organisaties. Toch blijft volgens het activiteitenrapport 2024 van de CNIL de sector personeelsbeheer een van de drie domeinen die het meest worden onderzocht. Dit artikel begeleidt u door de belangrijkste verplichtingen, best practices en beschikbare tools voor het legaal verwerken van gegevens van uw medewerkers.

Welke persoonlijke gegevens verwerken HR-afdelingen?

De gebruikelijke gegevenscategorieën

HR-afdelingen hanteren een zeer breed spectrum van persoonlijke gegevens. Er zijn twee grote categorieën te onderscheiden:

Gewone gegevens, verzameld in het kader van het arbeidscontract: naam, voornaam, adres, burgerservicenummer, IBAN, CV, diploma's, beroepsgeschiedenis, jaarlijkse beoordelingen, werktijden, aanwezigheids- en afwezigheidsgegevens.

Gevoelige gegevens, onderworpen aan strengere beperkingen in de zin van artikel 9 van de GDPR: gezondheidsgegevens (ziekteperiodes, arbeidsongevallenmeldingen, medische beperkingen), vakbondsgegevens (vakbondslidmaatschap, representatieve mandaten), gegevens met betrekking tot strafvonnissen in bepaalde aanwervingscontexten.

Deze laatste mogen alleen worden verwerkt onder voorbehoud van een expliciete uitzondering voorzien in de verordening — zoals de nakoming van wettelijke verplichtingen in arbeidsrecht, of uitdrukkelijke toestemming van de betrokkene.

Het bijzondere geval van wervingsprocessen

De wervingsfase genereert specifieke verwerkingen, die vaak onvoldoende zijn vastgelegd. Het verzamelen van CV's, motivatiebrieven en testresultaten vereist precieze bewaartermijnen: volgens CNIL-aanbevelingen moeten gegevens van niet-geselecteerde kandidaten worden verwijderd of geanonimiseerd binnen maximaal twee jaar na het laatste contact. CV's onbeperkt bewaren in een onbeveiligde gedeelde map vormt een duidelijke schending.

Het gebruik van tracking-tools in ATS's (Applicant Tracking Systems) of gedragsanalytische algoritmen moet expliciet worden vermeld in het privacybeleid dat aan kandidaten wordt doorgegeven, in overeenstemming met artikelen 13 en 14 van de GDPR.

De juridische grondslagen voor verwerking in HR-context

De juiste juridische grondslag identificeren

De GDPR vereist dat elke verwerking van persoonlijke gegevens op een van de zes in artikel 6 gedefinieerde juridische grondslagen is gebaseerd. In HR-context worden voornamelijk drie grondslagen gebruikt:

• Nakoming van het arbeidscontract (art. 6.1.b): rechtvaardigt de verwerking van gegevens die nodig zijn voor loonbeheer, verlof of training.

• Wettelijke verplichting (art. 6.1.c): van toepassing op verplichte socialemededelingen (DSN), personeelsregisters of begeleiding van arbeidsongevallen.

• Gerechtvaardig belang (art. 6.1.f): kan worden ingeroepen voor verwerkingen zoals toegangspas-beheer of videobeveiliging, onder voorbehoud van een rigoureuze afwegingstest.

Toestemming (art. 6.1.a) is daarentegen een zwakke juridische grondslag in arbeidscontext: CNIL en de Europese Gegevensbeschermingsraad (EGDR) stellen vast dat het structurele machtsverschil tussen werkgever en werknemer het moeilijk maakt toestemming te bewijzen. Dit mag alleen als laatste redmiddel worden gebruikt.

Het verwerkingsregister, een onmisbare verplichting

Elke organisatie met minstens 250 werknemers — of met gevoelige gegevensverwerking op kleinere schaal — moet een register van verwerkingsactiviteiten bijhouden (art. 30 van de GDPR). In HR moet dit register voor elke verwerking documenteren: het doel, de gegevenscategorieën, de ontvangers, de bewaartermijnen en de geïmplementeerde beveiligingsmaatregelen.

Dit document, beschikbaar voor CNIL in geval van inspectie, is ook een waardevol sturingsmiddel. In combinatie met een elektronische handtekeningingsoplossing speciaal voor HR, stelt het u in staat elke stap in de levenscyclus van een HR-document te volgen en met een tijdstempel te voorzien, waardoor de controleerbaarheid van processen wordt versterkt.

Rechten van medewerkers en werkgeververplichtingen

Medewerkers informeren: een onmiddellijke verplichting

Artikel 13 van de GDPR verplichtet tot informatie van betrokkenen op het moment van gegevensverzameling. In de praktijk moeten HR-afdelingen werknemers — bij voorkeur bij ondertekening van het arbeidscontract — van een GDPR-informatiemededeleing voorzien met details over: de identiteit van de verwerkingsverantwoordelijke, doeleinden en juridische grondslagen, bewaartermijn, beschikbare rechten en contactgegevens van de Functionaris Gegevensbescherming (DPO) indien het bedrijf over één beschikt.

Dit contact digitaliseren en beveiligen is essentieel. Het gebruik van elektronische handtekening in de onderneming voor de afgifte van deze kennisgeving garandeert een gedateerde en onbetwistbare aflevering, in overeenstemming met de eIDAS-vereisten.

De rechten van medewerkers die u moet respecteren

Medewerkers hebben uitgebreide rechten op hun gegevens:

• Toegangsrecht (art. 15): elke werknemer kan kopie aanvragen van alle gegevens over hem/haar die door de werkgever worden verwerkt.

• Recht op rectificatie (art. 16): correctie van onnauwkeurige gegevens (bijv. postadres, IBAN).

• Recht op verwijdering (art. 17): van toepassing in bepaalde gevallen, met name na beëindiging van het contract en na verstrijken van wettelijke bewaartermijnen.

• Recht op bezwaar (art. 21): de werknemer kan bezwaar maken tegen verwerking op basis van gerechtvaardig belang.

• Recht op beperking (art. 18): voorlopig stilleggen van een betwiste verwerking.

De werkgever heeft een termijn van één maand om op elk verzoek tot uitoefening van rechten te antwoorden, verlengbaar tot drie maanden in geval van complexiteit (art. 12 van de GDPR).

Beveiliging van HR-gegevens en beheer van onderaannemers

Technische en organisatorische maatregelen

Artikel 32 van de GDPR vereist de implementatie van beveiligingsmaatregelen "passend bij het risico". Voor HR-gegevens omvatten best practices:

• Codering van bestanden met gevoelige gegevens (salarisbrieven, medische dossiers).

• Toegangsbeheer: beginsel van minimale bevoegdheden — een loonbeheerder heeft geen toegang tot disciplinaire gegevens.

• Logboekregistratie van toegang tot HR-systemen (SIRH, loonsystemen).

• Plan voor reactie op schendingen: in geval van gegevenslek moet de werkgever de CNIL binnen 72 uur notificeren (art. 33), en mogelijk betrokkenen als het risico hoog is (art. 34).

Een volledige audit via de elektronische handtekeningsgids kan HR-teams helpen onbeveiligde verwerkingen op papier te identificeren en deze op conforme wijze te digitaliseren.

Onderaannemerscontracten (DPA) voor HR-diensten

HR-afdelingen werken samen met veel onderaannemers: loonsoftware, trainingsplatformen, tijdbeheerstools. Elke dienstverlener die toegang heeft tot persoonlijke gegevens moet onderworpen zijn aan een verwerkingsovereenkomst (Data Processing Agreement — DPA), in overeenstemming met artikel 28 van de GDPR. Dit contract moet aangeven: verwerkingsinstructies, beveiligingswaarborgen, modaliteiten voor retournering of vernietiging van gegevens, en verplichtingen bij schendingen.

Het selecteren van dienstverleners met infrastructuur in de EU, of onder goedgekeurde standaardclausules (CCT) van de Commissie, blijft een fundamentele vereiste om illegale overdrachten buiten de EU te voorkomen.

Bewaartermijnen: een structureel vraagstuk

De toepasselijke wettelijke termijnen voor personeelsdossiers

De bewaartermijn van HR-gegevens wordt bepaald door een opeenstapeling van tekstbestanden: de GDPR (beginsel van beperking van bewaartermijn, art. 5.1.e), de Arbeidswet, en diverse fiscale en sociale bepalingen. In de praktijk gelden de volgende hoofdtermijnen:

| Soort document | Minimale bewaartermijn | |---|---| | Salarisbrief | 5 jaar (sociaal verjaaringsrecht) | | Arbeidscontract | 5 jaar na beëindiging contract | | Loongegevens (DSN) | 3 jaar (URSSAF-controle) | | Personeelsregister | 5 jaar na vertrek van werknemer | | Disciplinaire gegevens | Proportioneel aan maatregel | | Medisch dossier (arbeidsgeneeskunde) | 50 jaar (specifieke regelgeving) |

Invoering van een geautomatiseerd archiverings- en verwijderingbeleid in het SIRH, gecombineerd met werkstromen voor elektronische handtekeningen die documentcreatie met tijdstempel voorzien, vormt vandaag de dag de beste praktijk om conformiteit met CNIL aan te tonen.

De valkuilen die u moet vermijden

De meest voorkomende fouten waargenomen bij CNIL-inspecties wat HR-gegevens betreft, zijn: onbeperkt behoud van CV's van niet-geselecteerde kandidaten, behoud van informaticatoegang van voormalige werknemers, gebrek aan codering van geëxporteerde loonbestanden, en niet-verwijdering van badgegegevens voorbij wettelijke termijnen. Om deze punten te beveiligen, kan het raadplegen van een vergelijking van elektronische handtekeningsoplossingen helpen tools te identificeren die ingebouwde archiverings- en levenscyclusbeheerfuncties hebben.

Toepasselijk wettelijk kader voor HR-gegevensverwerking

De verwerking van persoonlijke gegevens van medewerkers valt onder een dicht wettelijk kader, dat verschillende regelgevingsniveaus samenbrengt.

Verordening (EU) 2016/679 — GDPR vormt de hoeksteen. De artikelen 5 tot 11 bepalen de fundamentele beginselen (wettigheid, eerlijkheid, transparantie, doelbeperkingen, gegevensminimalisatie, nauwkeurigheid, beperking van bewaartermijn, integriteit en vertrouwelijkheid). Artikel 9 stelt strikte voorwaarden voor bijzondere categorieën gegevens, met inbegrip van gezondheids- en vakbondsgegevens, bijzonder frequent in HR. Artikel 83 voorziet in boetes tot 20 miljoen euro of 4% van de jaarlijkse mondiale omzet bij ernstige schendingen.

De Wet Informatica en Vrijheden, gewijzigd (wet nr. 78-17 van 6 januari 1978), in de geconsolideerde versie, stelt de GDPR gelijk aan Frans recht. Het verleent CNIL controlebevoegdheden en sanctiebevoegdheden, en voorziet onder meer in sectorspecifieke uitzonderingen voor gezondheidsgegevens in arbeidsgeneeskunde.

De Arbeidswet regelt verwerkingen met betrekking tot toezicht op werknemers (art. L. 1121-1 over respect voor privacy), raadpleging van personeelsvertegenwoordigers over digitale tools (art. L. 2312-38), en verplichte registers.

Verordening eIDAS (nr. 910/2014), aangevuld met eIDAS 2.0 (Verordening EU 2024/1183), bepaalt de rechtsgeldigheidwaarde van elektronische handtekeningen op HR-documenten. Een gekwalificeerde elektronische handtekening (SEQ), in overeenstemming met bijlage I van eIDAS en de normen ETSI EN 319 132 en ETSI EN 319 122, biedt de vermoeding van gelijkwaardigheid met handschriftelijke ondertekening onder artikel 1367 van het Franse Burgerlijk Wetboek.

Artikel 1366 van het Burgerlijk Wetboek bepaalt dat "het elektronische geschrift dezelfde bewijskracht heeft als het geschrift op papierdrager, behoudens dat duidelijk kan worden vastgesteld wie het heeft gesteld en dat het op zodanige wijze is vervaardigd en bewaard dat de integriteit ervan gewaarborgd is". Deze bepaling is direct van toepassing op arbeidscontracten, amendementen, vertrouwelijkheidsakkoorden en andere gedigitaliseerde HR-documenten.

Richtlijn NIS2 (EU 2022/2555), omgezet in Frans recht bij wet van 26 februari 2025, stelt essentiële en belangrijke entiteiten (met name grote industriële bedrijven en digitale dienstaanbieders) onder versterkte vereisten voor informatiebeveiligingsrisicodbeheering, inclusief bescherming van gevoelige HR-gegevens.

De sancties van CNIL nemen snel toe: in 2024 overschrijd het totaalbedrag van boetes 100 miljoen euro, met verschillende uitspraken direct betrokken bij tekortkomingen in het beheer van werknemersgegevens. Niet-naleving van bewaartermijnen, afwezigheid van DPA met HR-onderaannemers, en ontoereikendheid van beveiligingsmaatregelen staan onder de meest voorkomende grieven.

Praktische toepassingsscenario's: GDPR-conformiteit in HR in de praktijk

Scenario 1 — Een midden- en groot bedrijf van 450 werknemers digitaliseert zijn onboardingprocessen

Een middelgroot industrieel bedrijf met drie vestigingen in Frankrijk beheerde arbeidscontracten en amendementen op papier. De dossiers van nieuw personeel werden gemiddeld pas 12 werkdagen na indiensttreding naar de loonbeheerafdeling doorgestuurd, wat leidde tot loonfouten in ongeveer 8% van de gevallen. Bovendien werd geen formele GDPR-kennisgeving gegeven aan nieuwe medewerkers: de informatie stond alleen onderaan het arbeidsreglement, dat niet afzonderlijk ondertekend werd.

Na implementatie van een elektronische handtekeningsoplossing geïntegreerd met het SIRH, met gelijktijdige afgifte van een GDPR-kennisgeving mede-ondertekend door de werknemer en HR-directeur, reduceerde het bedrijf de documentaire onboardingtermijn tot 2 werkdagen (reductie van 83%). Loonfouten door ontbrekende gegevens daalde tot minder dan 1%. Elk ondertekend document wordt gearchiveerd met gekwalificeerde tijdstempel, wat bewijsmateriaal oplevert in geval van CNIL-inspectie of arbeidsrechtelijk geschil.

Scenario 2 — Een distributiebedrijf van 1 200 medewerkers brengt zijn bewaarbeleidsconformiteit tot stand

Een groep in gespecialiseerde distributie onderging een CNIL-inspectie naar aanleiding van een klacht van een voormalige werknemer. Het onderzoek onthulde dat Excel-bestanden met loongegevens van werknemers die meer dan 8 jaar geleden waren vertrokken, nog steeds toegankelijk waren op een onbeveiligde gedeelde server zonder codering. Een formele waarschuwing werd uitgevaardigd met inachtneming van 3 maanden voor naleving.

De groep ondertook daarop een volledige audit van zijn HR-verwerkingen, cartografeerde zijn 23 verwerkingsactiviteiten, en implementeerde een geautomatiseerde verwijderingsprocedure geactiveerd door het SIRH. Elektronisch ondertekende documenten werden gemigreerd naar een digitale kluis met bewaartermijnen geconfigureerd volgens wettelijke verplichtingen. De DPO produceerde een volledig HR-verwerkingsregister, gepresenteerd bij een vervolgonderzoek van CNIL 18 maanden later, dat zonder verdere stappen eindigde. De conformiteitskosten werden geschat op minder dan 60% van het bedrag van een mogelijke boete.

Scenario 3 — Een HR-advieskantoor van 35 personen beveiligt de gegevens van zijn eigen consultants en klanten

Een gespecialiseerd HR-kantoor beheert zowel de gegevens van zijn eigen consultants als die van kandidaten en werknemers van zijn klanten (in het kader van assessment- of outplacementactiviteiten). Het bevindt zich dus in een dubbelrol: verwerkingsverantwoordelijke voor zijn eigen HR en onderaannemer (mogelijk medeverantwoordelijke) voor gegevens van derden.

Het kantoor implementeerde een gedifferentieerde documentarchitectuur: eenvoudige elektronische handtekeningen voor routineuitwisselingen intern, geavanceerde handtekeningen voor missiecontracten met klanten, en verwerkingsovereenkomsten (DPA) systematisch geïntegreerd in missions letters. Alle consultants ontvingen een bijgewerkte GDPR-charter, elektronisch ondertekend en in een speciaal register bewaard. Deze organisatie stelde het kantoor in staat zijn conformiteit als verkoopargument naar grote accounts met strikte audits onder te brengen, waardoor de gemiddelde contractualisatietijd van 7 naar 2 weken werd verkort.

Conclusie

De GDPR stelt HR-directies voor een diepgaande transformatie van hun praktijken: rigoureuze vaststelling van juridische grondslagen, effectieve informatie van medewerkers, rechtenbeheer, contractueel toezicht op onderaannemers, gegevensbeveiliging en naleving van bewaartermijnen. Deze verplichtingen zijn niet slechts administratieve formaliteiten — zij bepalen het vermogen van het bedrijf boetes tot miljoenen euro's te vermijden en het vertrouwen van zijn teams te handhaven.

Digitalisering van HR-processen via eIDAS-conforme elektronische handtekeningsoplossingen vormt een van de meest effectieve hefbomen om operationele efficiëntie en regelgevingsconformiteit te combineren. Certyneo begeleidt HR-teams in deze overstap, van ondertekening van het arbeidscontract tot beveiligde archivering van personeelsdossiers.

Ontdek hoe Certyneo uw HR-processen kan beveiligen door ons aanbod voor HR-teams te raadplegen of gratis te starten om de oplossing zonder verplichting uit te testen.