U bent hier

OR & Medezeggenschap
Bewaartermijnen voor personeelsadministratie onder AVG

Bewaartermijnen voor personeelsadministratie onder AVG

Werkgevers moeten voor het verwerken van persoonsgegevens van hun personeel rekening houden met (wettelijke) bewaartermijnen. Wat bepaalt de AVG over de bewaartermijnen voor de personeelsadministratie?

De nieuwe Europese privacyregels uit de Algemene verordening gegevensbescherming (AVG) zijn per 25 mei van toepassing. Door deze privacyregels (tool) vervalt de Wet bescherming persoonsgegevens (WBP). In de WBP staat dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij verzameld en verwerkt worden. Deze bepaling is ook verwerkt in de AVG. De Autoriteit Persoonsgegevens geeft dan ook aan dat onder de AVG dezelfde regels gelden voor het bewaren van persoonsgegevens als nu. De bewaartermijnen voor de personeelsadministratie (tool) wijzigen niet.

Geen bewaartermijnen opgenomen in AVG

In de AVG (e-learning) zelf zijn geen bewaartermijnen vastgelegd. Het uitgangspunt is dat de werkgever persoonsgegevens niet langer bewaart dan nodig is. Een voorbeeld: een werkgever is wettelijk verplicht om een kopie van het identiteitsbewijs van een werknemer (tool) tot vijf jaar na uitdiensttreding te bewaren. Na die vijf jaar is het niet meer nodig om over de kopie te beschikken en dus moet de werkgever die kopie vernietigen. Als er voor bepaalde gegevens geen wettelijke bewaartermijn bestaat – zoals voor verzuimgegevens – is het minder helder welke bewaartermijn is toegestaan. De werkgever moet dan nagaan tot wanneer er een gerechtvaardigd doel is om over de informatie te beschikken. Is er geen doel meer, dan moet hij de persoonsgegevens vernietigen.

Bewaartermijnen vastleggen in verwerkingsregister

De organisatie moet bewaartermijnen (e-learning) vastleggen in een bewaarbeleid. Onder de AVG (tools) behoort de werkgever zijn werknemers te informeren over de verwerking van hun persoonsgegevens én ook over de bijbehorende bewaartermijnen. Ook moet hij de (beoogde) bewaartermijnen opnemen in het register waarin hij verwerkingen van persoonsgegevens bijhoudt.