AVG in HR: Verwerking van werknemersgegevens

Inleiding

Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 staan ​​HR-afdelingen in de frontlinie van compliance. Human Resources-functies verwerken dagelijks gevoelige persoonlijke gegevens: cv's, loonstroken, gezondheidsgegevens, evaluaties, bankgegevens. Slecht management stelt het bedrijf bloot aan sancties die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet (artikel 83 van de AVG). Dit artikel presenteert de belangrijkste verplichtingen en best practices voor het beveiligen van de verwerking van werknemersgegevens gedurende de gehele HR-cyclus.

De fundamentele beginselen die van toepassing zijn op HR-gegevens

De AVG legt zes hoofdbeginselen op die zijn gecodificeerd in artikel 5: rechtmatigheid, loyaliteit, transparantie, beperking van doeleinden, minimalisering, nauwkeurigheid, beperking van bewaring en integriteit/vertrouwelijkheid. In de praktijk betekent dit dat de HR-afdeling alleen de gegevens kan verzamelen die strikt noodzakelijk zijn voor een specifiek doel. Het vragen naar het burgerservicenummer bij de aanvraag is bijvoorbeeld buitenproportioneel: dit is alleen gerechtvaardigd na inhuur voor de DSN.

De CNIL heeft, via haar beraadslagingsnr. 2019-160 met betrekking tot personeelsbeheer specificeert de aanbevolen bewaartermijnen: 2 jaar voor niet-succesvolle sollicitaties (tenzij toestemming), 5 jaar na vertrek voor het administratief dossier, 6 jaar voor loonstroken in de werkgeversversie.

Rechtsgrondslag en informatie voor werknemers

In tegenstelling tot wat vaak wordt gedacht, is toestemming zelden de juiste rechtsgrondslag in HR, vanwege de relatie van ondergeschiktheid. De relevante grondslagen zijn veeleer de uitvoering van de arbeidsovereenkomst (artikel 6.1.b), de wettelijke verplichting (artikel 6.1.c) of het gerechtvaardigd belang (artikel 6.1.f). Voor gevoelige gegevens (gezondheid, vakbond) vereist artikel 9 een specifieke grondslag, zoals de verplichting op het gebied van het arbeidsrecht.

De werkgever moet duidelijke informatie verstrekken via een AVG-kennisgeving bij aanwerving, het verwerkingsregister bijwerken (artikel 30) en de CSE raadplegen voordat nieuwe verwerkingen gevolgen hebben voor werknemers (artikel L.2312-38 van de Arbeidswet).

Beveiliging en rechten van werknemers

Technische en organisatorische beveiliging (artikel 32) vereist: encryptie van HRIS, toegangscontrole per profiel, traceerbaarheid van consultaties, vertrouwelijkheidsclausules met loon- of wervingsonderaannemers (artikel 28). Bij overtreding hiervan binnen 72 uur melding maken bij de CNIL.

Werknemers hebben versterkte rechten: toegang, rectificatie, verwijdering (beperkt door wettelijke bewaarplichten), overdraagbaarheid, verzet. Een interne procedure moet een reactie binnen maximaal één maand mogelijk maken. De weigering van toegang tot het tuchtdossier moet juridisch gerechtvaardigd zijn.

Praktische voorbeelden

Voorbeeld 1 – Werving:Een kmo bewaart de cv's van alle kandidaten gedurende 5 jaar in een gedeelde map. Niet-conform: buitensporige duur, gebrek aan beveiliging. Oplossing: geautomatiseerde opschoning na 2 jaar, beperkte toegang tot recruiters, AVG-vermelding in de vacature.

Voorbeeld 2 – Videobewaking:Een logistiek magazijn filmt voortdurend werkstations. Mogelijke sanctie (de CNIL heeft Amazon France Logistique in 2024 een sanctie opgelegd van € 32 miljoen). Oplossing: begrenzing tot gevoelige gebieden, individuele informatie, raadpleging van de CSE, bewaartermijn van maximaal één maand.

Voorbeeld 3 – Samenwerkingstools:De implementatie van Microsoft 365 vereist een impactanalyse (AIPD) als monitoringfuncties worden geactiveerd, evenals een conforme uitbestedingsclausule met de uitgever.

Naleving en sancties

Naast de CNIL-boetes wordt de werkgever blootgesteld aan acties van arbeidsrechtbanken wegens inbreuk op de privacy (artikel 9 van het Burgerlijk Wetboek, artikel L.1121-1 van de Arbeidswet). De aanwijzing van een DPO is verplicht voor entiteiten die op grote schaal gegevens verwerken. Het jaarlijks in kaart brengen van de HR-verwerking, gekoppeld aan training van managers, vormt de beste juridische en operationele bescherming.

Conclusie

AVG-compliance in HR is geen eenmalig project, maar een continu proces van verbetering. Tussen wettelijke verplichtingen, werknemersrechten en operationele prestaties moeten HR-managers het databeheer rigoureus beheren. Door te investeren in een HRIS dat aan de voorschriften voldoet, door teams op te leiden en elke verwerking te documenteren, worden wettelijke beperkingen omgezet in een hefboom voor het vertrouwen van werknemers.