RGPD en HR: Verwerking van werknemergegevens

De Algemene Verordening Gegevensbescherming (RGPD) is niet alleen van toepassing op commerciële relaties tussen een bedrijf en zijn klanten: het regelt ook, en zeer precies, de verwerking van persoonlijke gegevens van werknemers. Werving, salarisverwerking, toegangscontrole, prestatiebeoordelingen, videobewaking... elke fase van de levenscyclus van het arbeidscontract genereert persoonlijke gegevens die de werkgever in strikte overeenstemming met het Europese recht moet verwerken. Met boetes tot 20 miljoen euro of 4% van de jaarlijkse wereldomzet is het inzet aanzienlijk. Dit artikel beschrijft de toepasselijke juridische grondslagen, de praktische verplichtingen van HR-afdeling en de beste praktijken voor het beveiligen van uw verwerkingen — ook bij de digitalisering van HR-documenten.

De juridische grondslagen voor de verwerking van HR-gegevens

De in arbeidsrecht toegestane juridische grondslagen

De RGPD noemt zes juridische grondslagen voor het verwerken van persoonlijke gegevens (artikel 6). In een HR-context worden drie ervan bijna systematisch ingeroepen:

• Uitvoering van de arbeidsovereenkomst (art. 6.1.b): vormt de voornaamste grondslag voor salarisverwerking, tijdsregistratie, verstrekking van salariscertificaten of verlofbeheer.

• Wettelijke verplichting (art. 6.1.c): rechtvaardigt verwerkingen die verplicht zijn volgens het arbeidsrecht of de sociale wetgeving, zoals de voorafgaande verklaring voor indiensttreding (DPAE), de nominatieve sociale aangifteverklaring (DSN) of de bijhouding van het register van personeelsleden.

• Gerechtvaardigd belang (art. 6.1.f): kan bepaalde verwerkingen voor informaticabeveiging of fraude-preventie rechtvaardigen, op voorwaarde dat dit belang niet wordt verdrongen door de grondrechten van werknemers.

⚠️ De basis van toestemming moet met grote voorzichtigheid worden gebruikt in arbeidsrelaties. De CNIL herinnert regelmatig dat het inherente machtsverschil in de werkgever-werknemer-relatie toestemming zelden « vrij » maakt in de zin van artikel 7 van de RGPD. Het beroep op toestemming voor verwerkingen die op een andere juridische grondslag zouden kunnen berusten, stelt de werkgever bloot aan het risico van herkarakterisering.

Bijzondere categorieën gegevens: een versterkt regime

Bepaalde gegevens die door HR worden verzameld vallen onder het regime van « gevoelige gegevens » zoals bedoeld in artikel 9 van de RGPD, waarvan de verwerking in principe verboden is, behoudens uitzonderingen:

• Gezondheidsgegevens: ziekmelding, ongeschiktheidschema's uitgesproken door arbeidsgeneeskundige, werkaanpassingen voor handicap.

• Vakbondsgegevens: lidmaatschap van een vakbond, representatieve mandaten.

• Biometrische gegevens: toegangscontrole via vingerafdruk of gezichtsherkenning.

• Gegevens met betrekking tot straffelingen: verificatie van strafblad, alleen toegestaan in gereglementeerde sectoren (veiligheid, kinderopvang, enz.).

Voor deze categorieën moet de werkgever een duidelijke uitzondering bepalen (art. 9.2), in de meeste gevallen een impactanalyse voor gegevensbescherming (DPIA) uitvoeren, en vaak de CNIL raadplegen alvorens uitrol.

De praktische verplichtingen van HR-afdelingen

Het register van verwerkingsactiviteiten

Elke organisatie met meer dan 250 werknemers moet een register van verwerkingsactiviteiten bijhouden (art. 30 van de RGPD). Beneden deze drempel blijft de verplichting bestaan zodra de verwerkingen niet incidenteel zijn of betrekking hebben op gevoelige gegevens — wat bijna altijd het geval is in HR. Dit register moet documenteren:

• Het doel van elke verwerking (bijv. « beheer van salariscertificaten »)

• De categorieën gegevens betrokken

• De ontvangers (derden, dienstverleners, autoriteiten)

• De bewaartermijnen

• De getroffen veiligheidsmaatregelen

De CNIL stelt kosteloos een registermodel ter beschikking. Het rigoureus bijhouden ervan vormt de eerste verdedigingslinie bij controle.

Bewaartermijnen: een vaak verwaarloosd punt

Artikel 5.1.e van de RGPD legt het beginsel van beperking van bewaring op: gegevens mogen niet langer worden bewaard dan nodig voor het doel waarvoor zij zijn verzameld. In HR zijn de referentiebewaartermijnen als volgt:

| Type gegeven | Aanbevolen bewaartermijn | |---|---| | Salariscertificaat | 5 jaar (burgerlijke vervaring) | | Arbeidsovereenkomst | 5 jaar na beëindiging van de overeenkomst | | Wervingsgegevens (kandidaat niet geselecteerd) | Maximaal 2 jaar na laatste contact | | Disciplinair dossier | Wisselende duur afhankelijk van sanctie (max. 3 jaar voor waarschuwing) | | Videobewakingsgegevens | 1 maand als regel | | DSN en personeelsregister | 5 jaar na vertrek werknemer |

Deze termijnen moeten in het register worden opgenomen en worden toegepast via zuiverings- of definitieve archiveringsprocedures.

Informatie aan werknemers: een vaak onderschatte verplichting

Artikel 13 van de RGPD vereist het verstrekken van een volledige informatiemededeleling aan betrokkenen op het moment van gegevensverzameling. In HR moet deze mededeleing idealiter worden verstrekt:

• Bij sollicitatie: voor gegevens verzameld tijdens het wervingsproces.

• Bij indiensttreding: opgenomen in arbeidsovereenkomst of als bijlage bij ondertekening.

• Tijdens arbeidsrelatie: bij elke nieuwe verwerking (bijv. invoering biometrisch tijdsregistratiesysteem).

De digitalisering van het onboardingproces, met name via elektronische handtekening voor HR, vergemakkelijkt de tracering van deze informatieverstrekking: de leestijd en ondertekeningsdatum van de mededeleling wordt voorzien van een bewijskrachtige tijdstempel, wat een waardevol bewijslement is in geval van geschil.

De beveiliging van HR-gegevens: technische en organisatorische maatregelen

Versleuteling, toegangscontrole en afscheiding

Artikel 32 van de RGPD vereist het implementeren van risicogebaseerde veiligheidsmaatregelen. Voor HR-gegevens, die van nature gevoelig zijn en doelwit zijn bij inbreuken, omvatten minimale best practices:

• Versleuteling van gegevens in rust en in transit: salarisbestanden, contracten en persoonsdossiers moeten versleuteld worden opgeslagen (minimaal AES-256) en via beveiligde protocollen worden verzonden (TLS 1.3).

• Toegangsbeheer op basis van rollen (RBAC): alleen erkende HR-managers hebben toegang tot salarisgegevens; de teamleider heeft alleen toegang tot noodzakelijke managementgegevens.

• Logboekregistratie van toegang: elke raadpleging of wijziging van een werknemersdossier moet worden geregistreerd met gebruiker-id, datum en tijd.

• Pseudonimisering voor analytische verwerkingen (HR-dashboards, salarisbenchmarks).

Het beheer van HR-dienstverleners

HR-afdeling maakt gebruik van talrijke dienstverleners: HRM-softwareleveranciers, uitgebreide loonadministrateurs, trainingsplatformen, online wervingstools. Elk van deze partijen moet onderwerp zijn van een dienstverlenerovereenkomst conform artikel 28 van de RGPD, specificeert met name:

• Aard en doel van uitbestede verwerkingen

• Verplichtingen van de dienstverlener op het gebied van veiligheid en vertrouwelijkheid

• Verbod op uitsubcontracting zonder voorafgaande toestemming

• Modaliteiten voor teruggave of vernietiging van gegevens na contractbeëindiging

Bij selectie van een dienstverlener moet ook worden geverifieerd of zijn servers zich in de Europese Economische Ruimte (EER) bevinden of of een geschikt overdrachtsmechanisme (standaardcontractbepalingen, adequaatheidsbesluit) aanwezig is voor overdrachten buiten EER.

Digitalisering van HR-documenten en RGPD-compliance

De toenemende digitalisering van HR-processen — elektronische arbeidsovereenkomsten, gedigitaliseerde salariscertificaten, afzonderlijk ondertekende wijzigingen — roept specifieke RGPD-kwesties op. Hoewel elektronische handtekening conform eIDAS ontegenzeggelijke garanties biedt voor integriteit en authenticiteit, moet de werkgever ervoor zorgen dat het gebruikte platform:

• Geen overbodige gegevens verzamelt tijdens het ondertekenproces (minimalisatiebeginsel, art. 5.1.c)

• Ondertekeningsbewijzen (audittrail) in beveiligde omstandigheden en voor een passende duur bewaart

• De uitoefening van rechten van ondertekenaars (toegang, rectificatie, wissing binnen wettelijke grenzen) mogelijk maakt

Voor verdere informatie over de compliance van ondertekeningstools is de complete gids voor elektronische handtekening van Certyneo een goed startpunt voor de technische en juridische criteria voorafgaand aan implementatie.

De rechten van werknemers en hun daadwerkelijke uitoefening

Overzicht van rechten onder de RGPD

Werknemers genieten van alle rechten voorzien in artikelen 15 tot 22 van de RGPD. In een HR-context zijn de vaakst uitgeoefende rechten:

• Recht op toegang (art. 15): werknemer kan een kopie aanvragen van alle gegevens die door werkgever worden bijgehouden, inclusief beroepsmatige e-mailuitwisselingen in bepaalde omstandigheden.

• Recht op rectificatie (art. 16): correctie van onjuiste gegevens (fout in bankrekening, diploma niet correct ingevuld, enz.).

• Recht op wissing (art. 17): beperkt in HR door wettelijke bewaarverplichting, maar van toepassing op wervingsgegevens van niet-geselecteerde kandidaat.

• Recht op bezwaar (art. 21): kan worden ingeroepen tegen verwerking op grond van gerechtvaardigd belang, zoals bepaalde surveillance.

• Recht op draagbaarheid (art. 20): van toepassing op gegevens verstrekt door werknemer zelf in het kader van contractuitvoering.

De antwoordtermijn en interne procedures

Werkgever heeft een maand om op elke aanvraag tot uitoefening van rechten te reageren, verlengbaar tot drie maanden in geval van complexiteit of groot volume aanvragen (art. 12.3). Voor efficiënte afhandeling wordt aanbevolen:

• Één contactpunt aanwijzen (DPA of RGPD-referent) voor ontvangst aanvragen

• Speciaal formulier opstellen voor werknemers

• Elke aanvraag en reactie documenteren in register aanvragen

• HR-managers trainen om impliciete aanvragen te herkennen (werknemer vraagt om « zijn personeelsdossier » oefent de recht op toegang uit)

De rol van de DPA in bedrijf

RGPD verplicht aanstelling van Gegevensbeschermingsambtenaar (DPA) in drie gevallen (art. 37): openbare autoriteit, verwerking op grote schaal van gevoelige gegevens, of systematische grootschalige bewaking. Veel bedrijven met aanzienlijke HR-verwerking vallen onder deze verplichting. DPA kan intern of uitbesteed zijn; moet functioneel onafhankelijk zijn en betrokken zijn bij alle beslissingen met gevolgen voor gegevensbescherming, inclusief nieuwe HR-IT-tools. Rol is adviserend, niet beslissend: eindverantwoordelijkheid rust bij verwerkingsverantwoordelijke, d.w.z. werkgever.

Toepasselijk juridisch kader voor HR-gegevenverwerking

RGPD: de grondwet

De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (RGPD) vormt het regelgevingsgrondwerk voor gegevensbescherming in Europa. Rechtstreeks van toepassing in alle lidstaten sinds 25 mei 2018, is het bindend voor elke werkgever die gegevens verwerkt van werknemers in EU, ongeacht bedrijfsnationaliteit. Belangrijkste toepasselijke artikelen in HR-context:

• Art. 5: grondprincipes (wettigheid, eerlijkheid, transparantie, minimalisatie, juistheid, beperking bewaring, integriteit en vertrouwelijkheid, verantwoordingsplicht)

• Art. 6: wettelijke grondslagen

• Art. 9: gevoeligenregime

• Art. 12 tot 22: rechten van betrokkenen

• Art. 24 tot 32: verplichtingen verwerkingsverantwoordelijke en dienstverlener

• Art. 33-34: melding inbreuken (72 uur aan CNIL, informatie betrokkenen bij hoog risico)

• Art. 35: impactanalyse (DPIA) verplicht voor hoog-risico-verwerkingen

• Art. 83: bestuursrechtelijke sancties (tot 20 M€ of 4% wereldwijd CA)

De gewijzigde Wet informatica en vrijheden

In Frans recht completeert de wet van 6 januari 1978 over informatica, bestanden en vrijheden, gewijzigd door wet van 20 juni 2018 en ordonnantie van 12 december 2018, de RGPD met nationale speelruimte (« open clausules »). Onder de belangrijkste in HR: mogelijkheid gegevens vakbonden te verwerken voor werknemersvertegenwoordiging (art. 9 wet), of specifieke regels voor arbeidsgezondheidsgegevens.

Arbeidsrecht en maatschappelijke jurisprudentie

Het arbeidsrecht stelt informatie- en raadplegingsverplichting op voor het Comité Sociale en Economische (CSE) vóór inzet van controle- of bewakingsmiddelen (art. L. 2312-38). Zonder raadpleging ontstaan onvatbaarbaarheid van bewijzen en strafwetmatig risico.

De jurisprudentie van Cour de Cassation herinnert regelmatig dat controleprogramma's (geolocatie, badgesysteem, activiteitenvolging) proportioneel moeten zijn en niet voor andere doeleinden dan aangegeven mogen worden gebruikt.

Elektronische handtekening HR-documenten: eIDAS en Burgerlijk Wetboek

Bij digitalisering arbeidsovereenkomsten, wijzigingen of disciplinaire documenten moet werkgever Verordening (EU) 910/2014 eIDAS respecteren, die drie handtekenniveaus bepaalt. Voor doorslaggevende documenten als CDI of beëindigingsovereenkomst wordt geavanceerde elektronische handtekening (eventueel gekwalificeerd) aanbevolen voor zekerheid identiteit en integriteit. Burgerlijk Wetboek artikelen 1366-1367 geven elektronische schrift en handtekening bewijswaarde, mits betrouwbare identificatie en integriteitsgarantie.

CNIL-sancties in HR-context

CNIL heeft aanzienlijke sancties uitgevaardigd voor HR-gegevenverwerking: in 2022 kreeg bedrijf 400.000€ boete voor buitensporige bewaking thuiswerknemers via schermafvangsoftware. In 2023 kreeg veiligheidsbedrijf 200.000€ voor overmatige biometrische gegevensverzameling zonder geldige grondslag. Dit illustreert groeiende aandacht van regelgever.

Praktijkscenario's: RGPD HR in werking

Scenario 1 — Midden-groot industriebedrijf (450 werknemers) maakt wervingsproces compliant

Industrieel bedrijf kreeg jaarlijks meer dan 3.000 spontane sollicitaties en beantwoordde zo'n 60 functies. CV's en motivatiebrieven werden onbeperkt opgeslagen in gedeelde e-mailbox zonder informatie aan kandidaten.

Na RGPD-audit:

• Migratie naar RGPD-gecertificeerd ATS met automatische verwijdering na 24 maanden inactiviteit

• Informatiemededeleing RGPD in sollicitatieformulier

• Elektronische handtekening aanbiedingsbrieven en contracten via eIDAS-compliant platform, reducing retourdag van 8 naar <48 uur

• Registerupdate met 12 nieuwe HR-verwerkingsfiches

Resultaat: geen CNIL-aanvragen volgende 18 maanden; geschatte besparing 1,2 FTE in administratie door digitalisering.

Scenario 2 — Distributiegroep (1.200 werknemers) regelt videobewakingsbeleid

Distributiegroep had 34 verkooppunten uitgerust met videobewaking, beelden 45 dagen bewaard zonder personeelsinformatie. Permanente bewaking kassastations riep proportionaliteitsrisico op.

Na salarispklacht CNIL:

• Bewaartermijn gereduceerd naar 30 dagen

• Cameraherpositioning om continue individuele werkpostbewaking te voorkomen

• CSE-raadpleging en akkoord vereist

• Systematische informatie werknemers via contracten en zichtbare charterbord

Resultaat: klacht gesloten zonder sanctie; klimaatverbetering (+11 punten vertrouwen).

Scenario 3 — HR-uitbestedingsbureau beveiligt gegevensoverdrachten

Bureau beheerde gegevens voor 20 KMO-klanten (~1.800 maandelijkse salarissen). Loonbestanden per ongecodeerde e-mail zonder DPA (art. 28).

Bureau voerde volledige hervorming door:

• Ondertekening Data Processing Agreements (DPA) conform artikel 28 met alle klanten via geavanceerde elektronische handtekening

• Beveiligd klantportaal (TLS + 2FA) voor loonbestandsuitwisseling

• Servering in Frankrijk, HDS-gecertificeerd

• Subcontractorbeleid voor softwareleveranciers

Resultaat: nul onbeveiligde e-mailverzending; twee nieuwe klanten selecteerden RGPD-compliance als verplichte eis.

Conclusie

RGPD in HR is geen louter administratieve belasting: het is vertrouwensmechanisme tussen werkgever en medewerkers en competitief voordeel waar transparantie gewaardeerd wordt. Register actueel, bewaartermijnen beheerst, werknemer geïnformeerd, gevoelige gegevens beveiligd, dienstverleners gecontracteerd: elk onderdeel bouwt verantwoorde HR-beleid op.

Digitalisering HR-documenten — contracten, wijzigingen, salarissen, mededelingen — combineert RGPD-compliance met efficiëntie mits gecertificeerde tools. Certyneo helpt met eIDAS-conforme elektronische handtekeningoplossing voor HR-teams. Ontdek onze prijzen en start gratis proefversie op Certyneo⟧ voor HR-documentbescherming vandaag.