RGPD in HR: Behandeling van Werknemergegevens

Inleiding

Sinds de invoering van de Algemene Verordening Gegevensbescherming (RGPD) op 25 mei 2018 staan HR-diensten in de eerste linie van naleving. HR-functies verwerken dagelijks gevoelige persoonsgegevens: cv's, salarisstroken, gezondheidsgegevens, evaluaties, bankgegevens. Slecht beheer stelt het bedrijf bloot aan sancties tot 20 miljoen euro of 4% van de wereldwijde omzet (artikel 83 RGPD). Dit artikel presenteert de belangrijkste verplichtingen en best practices voor het beveiligen van de verwerking van werknemergegevens gedurende de gehele HR-cyclus.

Fundamentele beginselen van toepassing op HR-gegevens

De RGPD stelt zes kardinale beginselen in artikel 5: rechtmatigheid, eerlijkheid, transparantie, doelbinding, minimalisering, juistheid, opslagbeperking en integriteit/vertrouwelijkheid. In de praktijk betekent dit dat de HR-afdeling alleen gegevens mag verzamelen die strikt nodig zijn voor een bepaald doel. Het is bijvoorbeeld disproportioneel om het sofinummer al bij de sollicitatie op te vragen: dit is alleen gerechtvaardigd na indiensttreding voor de DSN.

De CNIL, via haar besluit nr. 2019-160 met betrekking tot een referentiekader voor personeelsbeheer, specificeert de aanbevolen retentieperiodes: 2 jaar voor afgewezen sollicitaties (tenzij toestemming), 5 jaar na vertrek voor het administratieve dossier, 6 jaar voor salarisstroken in werkgeversversie.

Juridische basis en informatievoorziening aan werknemers

In tegenstelling tot een wijd verbreid misverstand is toestemming zelden de geschikte juridische basis in HR, vanwege de arbeidsverhouding. De relevante bases zijn eerder de uitvoering van de arbeidsovereenkomst (artikel 6.1.b), wettelijke verplichting (artikel 6.1.c) of gerechtvaardigd belang (artikel 6.1.f). Voor gevoelige gegevens (gezondheid, vakbondsgegevens) vereist artikel 9 een specifieke basis zoals verplichting onder arbeidsrecht.

De werkgever moet duidelijke informatie verstrekken via een RGPD-melding die bij indiensttreding wordt verstrekt, het verwerkingsregister (artikel 30) bijwerken en de ondernemingsraad raadplegen vóór elke nieuwe verwerking die werknemers beïnvloedt (artikel L.2312-38 van de Arbeidscode).

Beveiliging en rechten van werknemers

Technische en organisatorische beveiliging (artikel 32) vereist: versleuteling van HRIS-systemen, toegangscontrole per profiel, traceerbaarheid van raadplegingen, vertrouwelijkheidsclausules met onderaannemers voor salarisadministratie of recruitment (artikel 28). In geval van schending moet de CNIL binnen 72 uur worden genotificeerd.

Werknemers hebben uitgebreide rechten: toegang, rectificatie, verwijdering (beperkt door wettelijke bewaarplichten), overdraagbaarheid, bezwaar. Een interne procedure moet toestaan om binnen maximaal één maand te reageren. Weigering van toegang tot het disciplinaire dossier moet juridisch worden gemotiveerd.

Praktische voorbeelden

Voorbeeld 1 – Recruitment: Een KMO bewaart al 5 jaar de cv's van alle kandidaten in een gedeelde map. Niet-conform: buitensporige periode, gebrek aan beveiliging. Oplossing: automatische verwijdering na 2 jaar, beperkte toegang voor recruiters, RGPD-vermelding in vacaturebericht.

Voorbeeld 2 – Videobewaking: Een logistiek magazijn filmt continu werkplekken. Mogelijke sanctie (de CNIL beboet Amazon France Logistique met 32 miljoen euro in 2024). Oplossing: beperking tot gevoelige zones, individuele informatievoorziening, raadpleging ondernemingsraad, retentieperiode maximaal één maand.

Voorbeeld 3 – Samenwerkingstools: De implementatie van Microsoft 365 vereist een impactanalyse (DPIA) als monitoringfuncties zijn geactiveerd, evenals een conforme verwerkersclausule met de uitgever.

Compliance en sancties

Naast CNIL-boetes loopt de werkgever risico op arbeidsrechtelijke vorderingen voor schending van de privacy (artikel 9 Burgerlijk Wetboek, artikel L.1121-1 Arbeidscode). De aanstelling van een DPO is verplicht voor entiteiten die gegevens op grote schaal verwerken. Een jaarlijkse kartografie van HR-verwerkingen, gecombineerd met training van managers, vormt de beste juridische en operationele bescherming.

Conclusie

RGPD-compliance in HR is geen eenmalig project maar een voortdurend verbeteringsproces. Tussen wettelijke verplichtingen, werknemerrechten en operationele prestaties moeten DRH's het gegevensbeheer zorgvuldig sturen. Investering in een conform HRIS-systeem, training van teams en documentatie van elke verwerking transformeert regelgevingsdruk in een hefboom voor werknemervertrouwen.