RGPD in HR: Behandeling van werknemersgegevens

De Algemene Verordening Gegevensbescherming (RGPD) is niet alleen van toepassing op commerciële relaties tussen een onderneming en haar klanten: het regelt ook, en zeer nauwkeurig, de verwerking van persoonlijke gegevens van werknemers. Werving, loonbeheer, toegangscontrole, prestatiewaardering, videobeveiliging... elke fase van de levenscyclus van het arbeidscontract genereert persoonlijke gegevens die de werkgever in strikte overeenstemming met Europees recht moet verwerken. Met boetes die tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet kunnen bedragen, is het belang aanzienlijk. Dit artikel geeft details over de toepasselijke wettelijke grondslagen, de praktische verplichtingen van HR-diensten en beste praktijken om uw verwerkingen veilig te stellen — ook bij de digitalisering van HR-documenten.

De juridische grondslagen van HR-gegevensverwerkingen

De in arbeidsrecht toelaatbare wettelijke grondslagen

De RGPD noemt zes wettelijke grondslagen voor de verwerking van persoonlijke gegevens (artikel 6). In HR-context worden er vrijwel altijd drie gebruikt:

• Uitvoering van het arbeidscontract (art. 6.1.b): vormt de belangrijkste grondslag voor loonbeheer, tijdregistratie, het toesturen van loonstroken of het beheer van verlof.

• Wettelijke verplichting (art. 6.1.c): rechtvaardigt verwerkingen voorgeschreven door arbeidsrecht of sociale wetgeving, zoals de voorafgaande meldingsplicht bij indiensttreding (DPAE), de nominatieve sociale verklaring (DSN) of het bijhouden van het personeelsregister.

• Gerechtvaardigd belang (art. 6.1.f): kan bepaalde verwerkingen voor informaticabeveiliging of voorkoming van interne fraude rechtvaardigen, op voorwaarde dat dit belang niet wordt overstegen door de fundamentele rechten van werknemers.

⚠️ De grondslag toestemming moet zeer voorzichtig worden gehanteerd in arbeidsrelaties. De CNIL herinnert regelmatig aan het feit dat de inherente machtsonbalans in de werkgever-werknemer-relatie toestemming zelden "vrij" maakt in de zin van artikel 7 van de RGPD. Het toepassen van toestemming voor verwerkingen die op een ander rechtsgrondslagen zouden kunnen rusten, stelt de werkgever bloot aan herkarakteriseringsrisico.

Speciale categorieën gegevens: een versterkt regime

Bepaalde gegevens die door HR worden verzameld vallen onder het regime van "gevoelige" gegevens bedoeld in artikel 9 van de RGPD, waarvan de verwerking in principe verboden is, behalve voor uitzonderingen:

• Gezondheidsgegevens: ziekmelding, ongeschiktheidsverklaringen van bedrijfsarts, functieaanpassingen wegens handicap.

• Vakbondsgegevens: lidmaatschap van een vakbond, representatieve mandaten.

• Biometrische gegevens: toegangscontrole via vingerafdruk of gezichtsherkenning.

• Gegevens over overtredingen: controle van strafblad, uitsluitend toegestaan in gereglementeerde sectoren (veiligheid, kinderopvang, etc.).

Voor deze categorieën moet de werkgever een expliciete uitzondering vaststellen (art. 9.2), in de meeste gevallen een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren en vaak de CNIL raadplegen vóór implementatie.

De praktische verplichtingen van HR-diensten

Het register van verwerkingsactiviteiten

Elke organisatie met meer dan 250 werknemers moet een register van verwerkingsactiviteiten bijhouden (art. 30 RGPD). Onder deze drempel bestaat de verplichting nog steeds zodra de verwerkingen niet incidenteel zijn of betrekking hebben op gevoelige gegevens — wat in HR vrijwel altijd het geval is. Dit register moet vastleggen:

• Het doel van elke verwerking (bv. "loonstroken beheren")

• De categorieën betrokken gegevens

• De ontvangers (derden, verwerkers, autoriteiten)

• De bewaartermijnen

• De getroffen veiligheidsmtregelen

De CNIL stelt gratis een registersjabloon ter beschikking. Het nauwgezet bijhouden ervan vormt de eerste verdedigingslinie bij controle.

Bewaartermijnen: een vaak verwaarloosd punt

Artikel 5.1.e van de RGPD stelt het beginsel van beperking van bewaring verplicht: gegevens mogen niet langer worden bewaard dan nodig voor het doel waarvoor ze zijn verzameld. In HR zijn de volgende wettelijke referentietermijnen van toepassing:

| Type gegevens | Aanbevolen bewaartermijn | |---|---| | Loonstrook | 5 jaar (civiele vervaring) | | Arbeidscontract | 5 jaar na beëindiging van het contract | | Wervingsgegevens (niet-geselecteerde kandidaat) | Maximaal 2 jaar na laatste contact | | Disciplinairmap | Variabele duur naar gelang sanctie (max. 3 jaar voor waarschuwing) | | Videobeveiliging | Over het algemeen 1 maand | | DSN en personeelsregister | 5 jaar na vertrek werknemer |

Deze termijnen moeten in het register worden opgenomen en via verwijderings- of definitieve archiefprocedures worden toegepast.

Informatie aan werknemers: een vaak onderschatte verplichting

Artikel 13 van de RGPD verplicht tot het verstrekken van een volledige informatiemededing aan betrokkenen op het moment van gegevensverzameling. In HR dient deze mededing idealiter te worden verstrekt:

• Bij indiening van sollicitatie: voor gegevens verzameld tijdens het wervingsproces.

• Bij indiensttreding: opgenomen in het arbeidscontract of afgegeven als bijlage bij ondertekening.

• Gedurende de contractuele relatie: voor elke nieuwe verwerking die wordt ingevoerd (bv. invoering van biometrisch prikklok).

De digitalisering van het inboordingsproces, met name via elektronische handtekening voor HR, vergemakkelijkt de traceerbaarheid van deze informatieafgifte: de lees- en ondertekeningsdatum van de mededing wordt bewezen voorzien van een tijdstempel, wat een waardevol bewijsmiddel vormt in geval van geschil.

De veiligheid van HR-gegevens: technische en organisatorische maatregelen

Versleuteling, toegangscontrole en afscherming

Artikel 32 van de RGPD verplicht tot het nemen van veiligheidsmtregelen aangepast aan het risico. Voor HR-gegevens, die van nature gevoelig zijn en doelwit zijn bij indringingen, omvatten minimaal uit te voeren beste praktijken:

• Versleuteling van gegevens in rust en in transit: loonbestanden, contracten en personeelsdossiers moeten versleuteld worden opgeslagen (AES-256 minimum) en verzonden via veilige protocollen (TLS 1.3).

• Op rollen gebaseerd toegangsbeheer (RBAC): alleen gemachtigde HR-medewerkers hebben toegang tot loongegevens; leidinggevende heeft alleen toegang tot gegevens nodig voor management.

• Loggen van toegangen: elke raadpleging of wijziging van een personeelsdossier moet worden geregistreerd met gebruikers-ID, datum en tijd.

• Pseudonimisering voor analytische verwerkingen (HR-dashboards, beloningsonderzoeken).

Beheer van HR-verwerkers

HR-diensten werken met veel verwerkers samen: leveranciers van HRIS, leveranciers van uitbestede loonadministratie, trainingsplatformen, onlinewervingstools. Elk van deze derden moet onderwerp zijn van een verwerkingsovereenkomst conform artikel 28 van de RGPD, met name stellende:

• De aard en het doel van onderuitbestede verwerkingen

• De verplichtingen van de verwerker inzake veiligheid en vertrouwelijkheid

• Het verbod op subcontracting zonder voorafgaande toestemming

• Bepalingen voor teruggave of vernietiging van gegevens na contractbeëindiging

Bij de keuze van een leverancier dient te worden geverifieerd of diens servers in de Europese Economische Ruimte (EER) zijn geplaatst of dat een geschikt overdrachtsmehanisme (standaardcontractbepalingen, adequaatheidsbesluit) voor overdrachten buiten de EER in werking is.

Digitalisering van HR-documenten en RGPD-naleving

De toenemende digitalisering van HR-processen — elektronische arbeidscontracten, gedigitaliseerde loonstroken, op afstand ondertekende wijzigingen — werpt specifieke RGPD-kwesties op. Hoewel elektronische handtekening conform eIDAS onmiskenbare garanties voor integriteit en authenticiteit biedt, moet de werkgever ervoor zorgen dat het gebruikte platform:

• Geen overbodige gegevens verzamelt tijdens het handtekeningsproces (minimalisatieprincipe, art. 5.1.c)

• Het bewijs van ondertekening (audittrail) bewaart in veilige omstandigheden en voor een passende duur

• De uitoefening van rechten van ondertekenaars mogelijk maakt (toegang, rectificatie, verwijdering binnen wettelijke grenzen)

Voor verdere informatie over de naleving van handtekeningstools, geeft de volledige gids voor elektronische handtekeningen van Certyneo details over technische en juridische criteria om te verifiëren vóór implementatie.

De rechten van werknemers en hun doeltreffende uitoefening

Overzicht van rechten gewaarborgd door de RGPD

Werknemers genieten van alle rechten voorzien in artikelen 15 tot 22 van de RGPD. In HR-context worden de volgende rechten het vaakst uitgeoefend:

• Recht van toegang (art. 15): de werknemer kan een kopie aanvragen van alle gegevens die hem betreffen en door de werkgever worden vastgehouden, inclusief beroepse-mails onder bepaalde voorwaarden.

• Recht op rectificatie (art. 16): correctie van onjuiste gegevens (fout in rekeningnummer, verkeerd ingevuld diploma, etc.).

• Recht op verwijdering (art. 17): beperkt in HR door wettelijke bewaarverplichting, maar van toepassing op wervingsgegevens van niet-geselecteerde kandidaat.

• Recht van bezwaar (art. 21): kan worden uitgeoefend tegen verwerking op basis van gerechtvaardigd belang, zoals bepaalde surveillanceverwerkingen.

• Recht op portabiliteit (art. 20): van toepassing op gegevens verstrekt door de werknemer zelf in het kader van contractuitvoering.

Responstermijn en interne procedures

De werkgever heeft één maand om op elk verzoek om rechtsuitoefening te reageren, termijn verlengbaar tot drie maanden in geval van complexiteit of hoog volume aanvragen (art. 12.3). Om dit behandeling doeltreffend in te richten, wordt aanbevolen:

• Één contactpunt aanstellen (DPO of RGPD-referent) voor ontvangst van aanvragen

• Een daartoe bestemd formulier voor werknemers beschikbaar stellen

• Elke aanvraag en antwoord in een register van rechtsuitoefeningen vastleggen

• HR-managers trainen om impliciete aanvragen te herkennen (werknemer die "zijn personeelsdossier" vraagt oefent feitelijk zijn recht van toegang uit)

De rol van de DPO in de onderneming

De RGPD verplicht tot aanstelling van een Gegevensbeschermingsmedewerker (DPO) in drie gevallen (art. 37): overheidsinstantie, verwerking op grote schaal van gevoelige gegevens, of systematische grootschalige bewaking. Veel ondernemingen met significante HR-verwerking vallen onder deze verplichting. De DPO kan intern of uitbesteed zijn; hij moet functionele onafhankelijkheid hebben en betrokken zijn bij alle beslissingen met gevolgen voor gegevensbescherming, inclusief implementatie van nieuwe digitale HR-tools. Zijn rol is advisief en niet besluitvormend: uiteindelijke verantwoordelijkheid berust bij de verwerkingsverantwoordelijke, dat wil zeggen de werkgever.

Toepasselijk juridisch kader voor HR-gegevensverwerkingen

De RGPD: oprichtdocument

De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (RGPD) vormt de regelgeving-basis voor de verwerking van persoonlijke gegevens in Europa. Direct van toepassing in alle lidstaten sinds 25 mei 2018, geldt zij voor elke werkgever die gegevens van in de EU woonachtige werknemers verwerkt, ongeacht de nationaliteit van de onderneming. De voornaamste artikelen die van toepassing zijn in HR-context zijn:

• Art. 5: fundamentele beginselen (wettigheid, loyaliteit, transparantie, minimalisatie, juistheid, beperking van bewaring, integriteit en vertrouwelijkheid, verantwoording)

• Art. 6: wettelijke grondslagen voor verwerking

• Art. 9: regime voor gevoelige gegevens

• Art. 12 tot 22: rechten van betrokkenen

• Art. 24 tot 32: verplichtingen van verwerkingsverantwoordelijke en verwerker

• Art. 33-34: aanmelding van schendingen (72 uur aan CNIL, en informatie betrokkenen bij hoog risico)

• Art. 35: effectbeoordeling (DPIA) verplicht voor verwerkingen met hoog risico

• Art. 83: administratieve sancties (tot 20 M€ of 4% wereldwijde jaarlijkse omzet)

De modificatie van informatica- en vrijheidswet

In Frans recht vult de wet nr. 78-17 van 6 januari 1978 inzake informatica, bestanden en vrijheden, gewijzigd bij wet nr. 2018-493 van 20 juni 2018 en ordonnantie nr. 2018-1125 van 12 december 2018, de RGPD aan met nationale beleidsruimte (zogenaamde "openingsclausules"). De belangrijkste in HR zijn onder meer: mogelijkheid vakbondsgegevens te verwerken in het kader van representatieve instellingen (art. 9 van de wet), of specifieke regels voor verwerking van arbeidsgezondheidsgegevens.

De arbeidscodex en rechtspraak op arbeidsgebied

De arbeidscodex verplicht tot informatie en raadpleging van de Maatschappelijke- en Economische Commissie (CSE) vóór implementatie van surveillantie- of controlemechanismen voor werknemers (art. L. 2312-38). Verzuim van raadpleging leidt tot onverbindendheid van bewijzen en strafrechtelijke sancties.

De rechtspraak van de Cassatierechter onderstreept regelmatig dat controletools (geolocalisatie, prikklok, activiteitsvolgingssoftware) evenredig moeten zijn aan het nagestreefde doel en niet voor ander doel mogen worden gebruikt dan die aan werknemers en CNIL zijn meegedeeld.

Elektronische handtekening van HR-documenten: eIDAS en burgerlijk recht

Bij digitalisering van arbeidscontracten, wijzigingen of disciplinaire documenten moet de werkgever de Verordening (EU) nr. 910/2014 eIDAS respecteren, die drie niveaus elektronische handtekening bepaalt. Voor documenten van essentieel belang als CDI of beëindigingsdocumenten wordt een geavanceerde elektronische handtekening (of gekwalificeerde) aanbevolen om identiteit van ondertekenaar en documentintegriteit te garanderen. Het burgerlijk recht in artikelen 1366 en 1367 erkent de bewijswaarde van elektronisch geschrift en elektronische handtekening, onder voorbehoud van betrouwbare identificatie van ondertekenaar en integriteitsverzekering.

Door CNIL uitgesproken sancties inzake HR-verwerking

De CNIL heeft verschillende significante sancties uitgesproken voor HR-gegevensverwerkingen: in 2022 kreeg een onderneming 400.000 € boete voor buitensporige surveillance van werknemers in thuiswerk via screenshot-software. In 2023 kreeg een beveiligingsbedrijf 200.000 € straf voor buitensporige biometrische gegevensopvraag zonder geldige grondslag. Deze beslissingen illustreren de stijgende waakzaamheid van de regelgever op dit terrein.

Gebruiksscenario's: RGPD HR in de praktijk

Scenario 1 — Een midden-grote industriële onderneming van 450 werknemers brengt haar wervingsproces in overeenstemming

Een midden-grote industriële onderneming met ongeveer 450 werknemers op drie locaties ontving jaarlijks meer dan 3.000 spontane sollicitaties en plaatste een zestigtal vacatures. CV's en motivatiebrieven werden zonder tijdslimiet opgeslagen in een gedeelde mailbox voor zes afdeling verantwoordelijken. Geen informatiemededing over gegevensgebruik werd aan kandidaten gegeven.

Na een RGPD-audit werden volgende acties in zes maanden ingevoerd:

• Migratie naar een ATS (Applicant Tracking System) met RGPD-certificering, met automatische verwijdering van dossiers na 24 maanden inactiviteit

• Toevoeging van RGPD-informatiemededing in elk onlineaanvraagformulier

• Elektronische ondertekening van aanbiedingen en arbeidscontracten via een eIDAS-conform platform, waardoor gemiddelde retourneertermijn van contracten daalde van 8 dagen tot minder dan 48 uur

• Update van het register van verwerkingsactiviteiten met 12 nieuwe HR-verwerkingsfallen

Resultaat: geen CNIL-aanvragen in volgende 18 maanden; geschat winst van 1,2 fte in HR-administratiebeheer dankzij digitalisering.

Scenario 2 — Een distributiegroep van 1.200 werknemers regelt haar videobeveiliging

Een groep gespecialiseerd in voedingsdistributie had videobeveiliging in 34 winkels ingevoerd. Beelden werden op bepaalde locaties 45 dagen opgeslagen, zonder informatiemededing aan werknemers. Bepaalde camera's dekten kassenposten permanent, wat onevenredig toezicht opleverde.

Na werknemer-klacht bij CNIL leidde de onderneming naleving in:

• Bewaartermijn tot maximaal 30 dagen op alle locaties gereduceerd

• Camera's herpositioneerd om voortdurend individueel werktoezicht uit te sluiten

• Raadpleging en goedkeuring centrale CSE vóór nieuwe implementaties

• Systematische werknemersinformatie via arbeidscontracten en zichtbare chartes

Resultaat: klacht CNIL gesloten zonder straf; stijging maatschappelijk klimaat gemeten bij daaropvolgend tevredenheidsvragenlijst (+11 punten op "vertrouwen werkgever").

Scenario 3 — Een HR-advieskantoor gaat schakelen van gegevensoverbrenging voor extern beheer

Een kantoor gespecialiseerd in loonadministratie- en personeelsbeheer beheerde dossiers voor ongeveer twintig MKB-klanten, gelijk aan ongeveer 1.800 maandelijkse loonstroken. Loonbestanden werden onversleuteld per e-mail verzonden, zonder verwerkingsovereenkomst conform artikel 28 van de RGPD.

Het kantoor voerde volledige praktijkvernieuwing door:

• Ondertekening van gegevensverwerkingsovereenkomsten (DPA) conform artikel 28 met alle klanten, via geavanceerde elektronische handtekening-platform voor traceerbaarheid

• Invoering beveiligde klantportaal (TLS-versleuteling + twee-factorauthenticatie) voor loonbestanden

• Hosting van gegevens op in Frankrijk geplaatste servers, HDS-gecertificeerd voor gezondheidsgegeven

• Schrijving beleid voor subcontracting met voorwaarden voor gebruik derden (loonlogsoftware-leverancier, archiveerder)

Resultaat: 100% reductie HR-gegevensoverbrenging onbeveiligde e-mail; twee nieuwe contractklanten met RGPD-naleving verplicht selectiecriterium.

Conclusie

RGPD in HR is niet slechts extra administratieve belasting: het is een vertrouwensfactor tussen werkgever en werknemers, en concurrentievergroot in arbeidsmarkt waar transparantie steeds meer wordt gewaardeerd. Bijgewerkt register, beheerste bewaartermijnen, geformaliseerde werknemersinformatie, versterkte veiligheid van gevoelige gegevens en gecontracteerde verwerkers: elk van deze pijlers draagt bij tot bouw van HR-beleid zowel rechtmatig als verantwoord.

Digitalisering van HR-documenten — contracten, wijzigingen, loonstroken, informatiemededelingen — biedt unieke gelegenheid om RGPD-naleving met operationele doeltreffendheid te verbinden, op voorwaarde dat op gecertificeerde tools wordt gesteund. Certyneo helpt u met een eIDAS-conforme elektronische handtekeningoplossing, voor HR-teams. Ontdek onze prijzen en start uw gratis proefperiode op Certyneo om uw HR-documenten vandaag veilig te stellen.