RGPD in HR: Verwerking van werknemergegevens

Personeelsbeheer genereert dagelijks een aanzienlijk volume aan persoonlijke gegevens: arbeidsovereenkomsten, loonstroken, gezondheidsgegevens, prestatiebeoordelingen, bankgegevens... Sinds de invoering van de Algemene Verordening Gegevensbescherming (RGPD) in mei 2018 zijn HR-afdelingen centrale actoren in nalevingsprocessen van organisaties. Toch blijkt volgens het activiteitenrapport 2024 van de CNIL dat de HR-sector een van de drie domeinen is die het meest betrokken is bij controles. Dit artikel geleidt u door de belangrijkste verplichtingen, best practices en beschikbare tools om werknemergegevens volledig conform te verwerken.

Welke persoonlijke gegevens verwerken HR-afdelingen?

Veelvoorkomende gegevenscategorieën

HR-afdeling verwerkt een zeer breed spectrum aan persoonlijke gegevens. Er worden twee grote families onderscheiden:

Gewone gegevens, verzameld in het kader van de arbeidsovereenkomst: naam, voornaam, adres, burgerservicenummer, rekeningnummer, CV, diploma's, werkgeschiedenis, jaarlijkse beoordelingen, werktijden, aanwezigheids- en afwezigheidsgegevens.

Gevoelige gegevens, onderworpen aan verhoogde beperkingen onder artikel 9 van de RGPD: gezondheidsgegevens (ziekteverlof, verklaringen van werkongeval, medische beperkingen), vakbondsgegevens (vakbondslidmaatschap, vertegenwoordigingsmandaten), gegevens met betrekking tot strafvonnissen in bepaalde wervingscontexten.

Deze laatste gegevens kunnen alleen worden verwerkt onder voorbehoud van een explicite uitzondering voorzien in de verordening — zoals de uitvoering van wettelijke verplichtingen op het gebied van arbeidsrecht, of expliciete toestemming van de betrokkene.

Het bijzondere geval van werving

De wervingsfase genereert specifieke verwerkingen, die vaak onvoldoende zijn geregeld. Het verzamelen van CV's, motivatiebrieven en testresultaten impliceert precieze bewaartermijnen: volgens aanbevelingen van de CNIL moeten gegevens van niet-geselecteerde kandidaten worden verwijderd of geanonimiseerd binnen maximaal twee jaar na het laatste contact. CV's onbeperkt bewaren in een niet-beveiligd gedeelde map vormt een duidelijke schending.

Het gebruik van tracking-tools in ATS-systemen (Applicant Tracking Systems) of algoritmes voor gedragsanalyse moet expliciet worden vermeld in het privacybeleid dat aan kandidaten wordt doorgegeven, in overeenstemming met artikelen 13 en 14 van de RGPD.

Rechtsbases voor verwerking in HR-context

De juiste rechtsbasis identificeren

De RGPD vereist dat elke verwerking van persoonlijke gegevens is gebaseerd op een van de zes rechtsbases gedefinieerd in artikel 6. In HR-context worden drie bases voornamelijk gebruikt:

• Uitvoering van de arbeidsovereenkomst (art. 6.1.b): rechtvaardigt de verwerking van gegevens die nodig zijn voor salarisbeheer, verlof of training.

• Wettelijke verplichting (art. 6.1.c): geldt voor verplichte sociale aangiften (DSN), personeelsregisters of toezicht op werkongeval.

• Gerechtvaardigd belang (art. 6.1.f): kan worden ingeroepen voor verwerkingen zoals beheer van toegangspassen of videobewaking, onder voorbehoud van een rigoureuze belangenafweging.

Toestemming (art. 6.1.a) is daarentegen een fragiele rechtsbasis in werkcontext: de CNIL en het Europees Comité voor Gegevensbescherming (EGAB) herinneren eraan dat de structurele machtsonbalans tussen werkgever en werknemer het lastig maakt om vrije toestemming aan te tonen. Dit mag alleen als laatste redmiddel worden gebruikt.

Het verwerkingsregister, een onmisbare verplichting

Elke organisatie met minstens 250 medewerkers — of die gevoelige gegevens op kleinere schaal verwerkt — moet een register van verwerkingsactiviteiten bijhouden (art. 30 RGPD). In HR moet dit register voor elke verwerking vastleggen: het doel, gegevenscategorieën, ontvangers, bewaartermijnen en beveiligingsmaatregelen.

Dit document, ter beschikking van de CNIL in geval van controle, is ook een waardevol stuurinstrument. In combinatie met een HR-gerichte elektronische handtekeningoplossing kunt u elke stap in de levenscyclus van een HR-document traceren en voorzien van een timestamp, waardoor de controlebaarheid van processen wordt versterkt.

Rechten van werknemers en verplichtingen van de werkgever

Werknemers informeren: een directe verplichting

Artikel 13 van de RGPD vereist werknemers in te lichten op het moment van gegevensverzameling. In de praktijk moeten HR-afdelingen werknemers — idealiter bij ondertekening van de arbeidsovereenkomst — voorzien van een RGPD-informatiemededeling met daarin: de identiteit van de verwerkingsverantwoordelijke, doelen en rechtsbases, bewaartermijn, beschikbare rechten en contactgegevens van de Functionaris Gegevensbescherming (FG) indien het bedrijf er een heeft.

Het digitaliseren en beveiligen van deze uitwisseling is essentieel. Het gebruik van elektronische handtekening in het bedrijf voor de overhandiging van deze mededeleling garandeert een voorzien van een timestamp en onbetwistbaar bewijs van aflevering, afgestemd op de vereisten van de eIDAS-verordening.

Werknemersrechten die strikt moeten worden nageleefd

Werknemers hebben uitgebreide rechten op hun gegevens:

• Toegangsrecht (art. 15): elke werknemer kan een kopie aanvragen van alle gegevens die door de werkgever over hem zijn verwerkt.

• Recht op rectificatie (art. 16): correctie van onjuiste gegevens (bijv. postadres, rekeningnummer).

• Recht op verwijdering (art. 17): van toepassing in bepaalde gevallen, met name na beëindiging van de arbeidsovereenkomst en na verstrijken van wettelijke bewaartermijnen.

• Verzetsrecht (art. 21): de werknemer kan bezwaar maken tegen verwerking gebaseerd op gerechtvaardigd belang.

• Recht op beperking (art. 18): tijdelijk bevriezen van een betwiste verwerking.

De werkgever heeft een termijn van één maand om op elk verzoek om rechten uit te oefenen te reageren, verlengbaar tot drie maanden in geval van complexiteit (art. 12 RGPD).

Beveiliging van HR-gegevens en beheer van onderaannemers

Technische en organisatorische maatregelen

Artikel 32 van de RGPD vereist de implementatie van beveiligingsmaatregelen « passend bij het risico ». Voor HR-gegevens omvatten best practices:

• Versleuteling van bestanden met gevoelige gegevens (loonstroken, medische dossiers).

• Toegangscontrole: principe van minimale bevoegdheid — een loonbeheerder heeft geen toegang tot disciplinaire gegevens.

• Logging van toegang tot HR-systemen (SIRH, loonprogramma's).

• Plan voor reactie op schendingen: in geval van gegevensleak moet de werkgever de CNIL binnen 72 uur notificeren (art. 33), en mogelijk betrokkenen als het risico hoog is (art. 34).

Een volledige audit via de gids elektronische handtekening kan HR-teams helpen bij het identificeren van onveilige verwerkingen die nog steeds op papier voorkomen en deze conform te digitaliseren.

Prestataires beveiligen via DPA's

HR-afdeling werkt met talrijke onderaannemers: loonprogramma's, trainingsplatforms, tijd-registratietools. Elke prestataire die toegang heeft tot persoonlijke gegevens moet een gegevensverwerkingsovereenkomst (Data Processing Agreement - DPA) hebben, in overeenstemming met artikel 28 van de RGPD. Deze overeenkomst moet aangeven: verwerkingsinstructies, beveiligingsgaranties, bepalingen over teruggave of vernietiging van gegevens, en verplichtingen in geval van schending.

Het selecteren van prestaties met infrastructuren in de Europese Unie, of afgedekt door goedgekeurde standaard contractbepalingen (SCC), blijft een essentiële eis om onwettige overdracht buiten de EU te voorkomen.

Bewaartermijnen: een structurerend aandachtspunt

Wettelijke termijnen voor het personeelsdossier

De bewaartermijn van HR-gegevens wordt geregeld door een stapeling van regelgeving: RGPD (principe van beperking van bewaaring, art. 5.1.e), Arbeidsrecht, en diverse fiscale en sociale bepalingen. In de praktijk zijn de belangrijkste termijnen:

| Documenttype | Minimale bewaartermijn | |---|---| | Loonstrook | 5 jaar (verjaring sociale bijdragen) | | Arbeidsovereenkomst | 5 jaar na beëindiging contract | | Loongegevens (DSN) | 3 jaar (URSSAF-controle) | | Personeelsregister | 5 jaar na vertrek werknemer | | Disciplinaire gegevens | Proportioneel aan de maatregel | | Medisch dossier (bedrijfsgezondheidszorg) | 50 jaar (specifieke regelgeving) |

Implementatie van een geautomatiseerd archiverings- en verwijderingsbeleid in het SIRH, gekoppeld aan elektronische handtekeningworkflows die het aanmaken van documenten voorzien van timestamps, geldt vandaag de dag als best practice om naleving van CNIL aan te tonen.

Valkuilen om te vermijden

De meest voorkomende fouten die de CNIL tijdens controles opmerkt met betrekking tot HR-gegevens zijn: onbeperkte bewaring van CV's van niet-geselecteerde kandidaten, het behouden van IT-toegang van voormalige werknemers, afwezigheid van versleuteling van geëxporteerde loonbestanden, en niet-verwijdering van badging-gegevens na wettelijke termijnen. Om deze punten veilig te stellen, helpt het raadplegen van de vergelijking van elektronische handtekeningoplossingen bij het identificeren van tools met ingebouwde archiveringsbare archiveringsfuncties en documentlevenscyclusbeheer.

Toepasselijk juridisch kader voor gegevensverwer in HR

De verwerking van persoonlijke gegevens van werknemers valt onder een dicht regelgevingskader dat meerdere niveaus van regelgeving omvat.

Verordening (EU) 2016/679 — RGPD vormt de hoeksteen. De artikelen 5 tot 11 definiëren de fundamentele beginselen (rechtmatigheid, eerlijkheid, transparantie, doelbeperkingen, gegevensminimalisering, nauwkeurigheid, bewaringsbeperkingen, integriteit en vertrouwelijkheid). Artikel 9 stelt strikte voorwaarden voor bijzondere categorieën gegevens, met inbegrip van gezondheids- en vakbondsgegevens, zeer frequent in HR. Artikel 83 voorziet in boetes tot 20 miljoen euro of 4% van de wereldwijde omzet in geval van ernstige schending.

De gewijzigde Wet Informatica en Vrijheden (wet nr. 78-17 van 6 januari 1978), in haar geconsolideerde versie, past de RGPD aan aan Frans recht. Zij geeft de CNIL haar bevoegdheden voor controle en sanctie, en voorziet met name in sectorale uitzonderingen voor gezondheidsgegevens in bedrijfsgezondheidszorg.

De Franse Arbeidswet regelt verwerkingen met betrekking tot toezicht op werknemers (art. L. 1121-1 over privacyrespect), raadpleging van personeelsvertegenwoordigers over digitale tools (art. L. 2312-38), en verplichte registers.

Verordening eIDAS (nr. 910/2014), aangevuld met eIDAS 2.0 (Verordening EU 2024/1183), bepaalt de juridische waarde van elektronische handtekeningen op HR-documenten. Een gekwalificeerde elektronische handtekening (QES), conform Bijlage I van eIDAS en de normen ETSI EN 319 132 en ETSI EN 319 122, biedt het vermoeden van gelijkwaardigheid met handgeschreven handtekening onder artikel 1367 van de Franse Burgerlijk Wetboek.

Artikel 1366 van het Franse Burgerlijk Wetboek bepaalt dat « elektronisch geschrift dezelfde bewijskracht heeft als geschrift op papier, mits op passende wijze kan worden vastgesteld van wie het afkomstig is en het is opgesteld en bewaard op een wijze die de integriteit ervan waarborgt ». Deze bepaling is rechtstreeks van toepassing op arbeidsovereenkomsten, wijzigingen, vertrouwelijkheidsovereenkomsten en andere gedigitaliseerde HR-documenten.

De NIS2-richtlijn (EU 2022/2555), omgezet in Frans recht via de wet van 26 februari 2025, stelt strengere eisen aan essentiële en belangrijke entiteiten (met name grote industriële bedrijven en aanbieders van digitale diensten) met betrekking tot beheer van informatiebeveiligingsrisico's, inclusief bescherming van gevoelige HR-gegevens.

De sancties van de CNIL stijgen sterk: in 2024 overstijgt het totale boetebedrag 100 miljoen euro, met verschillende besluiten die directelijk betrekking hebben op tekortkomingen in het beheer van werknemersgegevens. Het niet-naleven van bewaartermijnen, afwezigheid van DPA met HR-prestataires, en ontoereikende beveiligingsmaatregelen staan onder de meest voorkomende grieven.

Gebruiksscenario's: RGPD-naleving in HR in de praktijk

Scenario 1 — Een midden-groot industriebedrijf met 450 werknemers digitaliseert zijn inboardingprocessen

Een middelgroot industriebedrijf, verdeeld over drie sites in Frankrijk, beheerde zijn arbeidsovereenkomsten en wijzigingen op papier. Dossiers van nieuwe werknemers werden gemiddeld 12 werkdagen later naar de loonafdelingen verzonden, wat in ongeveer 8% van de gevallen tot loonfouten leidde. Bovendien werd geen RGPD-informatiemededeling formeel aan nieuwe werknemers doorgegeven: de informatie stond alleen onderaan het huishoudelijk reglement, niet afzonderlijk ondertekend.

Na implementatie van een elektronische handtekeningoplossing geïntegreerd in het SIRH, met gelijktijdige doorgave van een co-ondertekende RGPD-informatiemededeling door werknem en HR-directeur, reduceerde het bedrijf de documentaire inboardingtermijn tot 2 werkdagen (reductie van 83%). Loonfouten door ontbrekende gegevens daalden tot minder dan 1%. Elk ondertekend document wordt gearchiveerd met gekwalificeerde timestamp, wat in geval van CNIL-controle of arbeidsrechtelijk geschil bewijsvoering oplevert.

Scenario 2 — Een distributiegroep met 1.200 werknemers actualiseert zijn bewaarbeleidsconformiteit

Een groep werkzaam in gespecialiseerde distributie ondergaan een CNIL-controle naar aanleiding van een klacht van een voormalige werknemer. Het onderzoek onthulde dat Excel-bestanden met loongegevens van werknemers die meer dan 8 jaar geleden waren vertrokken, nog steeds toegankelijk waren op een onbeveiligd gedeeld netwerk, zonder versleuteling. Een formeel waarschuwingsschreiben werd gegeven, met een last tot naleving binnen 3 maanden.

De groep voerde vervolgens een volledige audit van zijn HR-verwerkingen uit, in kaart gebracht zijn 23 verwerkingsactiviteiten, en implementeerde een geautomatiseerde verwijderingsstrategie geactiveerd door het SIRH. Elektronisch ondertekende documenten werden gemigreerd naar een digitale kluis met retentieperiodes geconfigureerd volgens wettelijke verplichtingen. De FG produceerde een compleet register van HR-verwerkingen, gepresenteerd tijdens een tweede CNIL-controle 18 maanden later, die zonder gevolgen afsloot. De conformiteitskosten werden geschat op minder dan 60% van het bedrag van een mogelijke boete.

Scenario 3 — Een HR-advieskantoor met 35 medewerkers beveiligt gegevens van zijn eigen adviseurs en klanten

Een gespecialiseerd HR-adviesbureau beheert zowel gegevens van zijn eigen adviseurs als die van kandidaten en werknemers van zijn klantbedrijven (in het kader van assessment- of outplacementmissies). Het bevindt zich dus in een dubbele positie: verwerkingsverantwoordelijke voor eigen HR en onderaannemer (of mede-verantwoordelijke) voor gegevens van derden.

Het bureau implementeerde een gedifferentieerde documentarchitectuur: eenvoudige elektronische handtekeningen voor routinemeuze interne uitwisselingen, geavanceerde handtekeningen voor missieovereenkomsten met klanten, en gegevensverwerkingsovereenkomsten (DPA's) systematisch opgenomen in missieorders. Alle adviseurs ontvingen een bijgewerkte RGPD-charter, elektronisch ondertekend en bewaard in een speciaal register. Deze organisatie stelde het bureau in staat zijn naleving als commercieel argument aan grote klanten met strikte leverancieraudits aan te tonen, waardoor de gemiddelde contractualisatietijd werd verkort van 7 tot 2 weken.

Conclusie

De RGPD stelt strenge eisen aan HR-afdelingen om hun praktijken diepgaand te transformeren: rigoureuze identificatie van rechtsbases, effectieve informatievoorziening aan werknemers, beheer van rechten, contractueel kader voor onderaannemers, gegevenbeveiliging en naleving van bewaartermijnen. Deze verplichtingen zijn niet louter administratieve formaliteiten — zij bepalen het vermogen van het bedrijf om sancties tot miljoen euro's te voorkomen en het vertrouwen van zijn teams te behouden.

De digitalisering van HR-processen via eIDAS-conforme elektronische handtekeningoplossingen vormt een van de meest effectieve hefbomen voor optimale balans tussen operationele efficiëntie en regelgevingscompliantie. Certyneo ondersteunt HR-teams bij deze transformatie, van de ondertekening van de arbeidsovereenkomst tot de beveiligde archivering van werknemersdossiers.

Ontdek hoe Certyneo uw HR-processen kan beveiligen via raadpleging van ons dedicated HR-aanbod of gratis starten om de oplossing zonder verplichting te testen.