Personeelsdossiers bij outsourcing: denk aan de privacybelangen van werknemers

Bij een outsourcing worden regelmatig werknemers overgenomen. Indien de outsourcing kwalificeert als een overgang van onderneming, zal de insourcer de nieuwe werkgever worden. Deze insourcer zal willen weten wie precies de werknemers zijn die bij hem in dienst treden. Maar hoe zit het met de privacy van deze werknemers? Mogen personeelsdossiers integraal worden overgedragen aan de insourcer of moeten personeelsdossiers eerst worden ‘opgeschoond’? Kortom: welke regels gelden er bij de overdracht van personeelsdossiers ter bescherming van de privacy van werknemers?

Volgens het College Bescherming Persoonsgegevens (‘het CBP’) worden de privacybelangen van werknemers gewaarborgd als aan drie eisen is voldaan: (1) de overdracht wordt aangekondigd in een daarvoor geschikt medium, (2) de werknemers krijgen de mogelijkheid bepaalde gegevens te laten verwijderen uit het personeelsdossier en bezwaar aan te tekenen tegen de overdracht en (3) er worden niet meer gegevens verstrekt dan noodzakelijk is voor de uitvoering van de arbeidsovereenkomst.

Informatievertrekking aan werknemer

Bij een outsourcing zal de insourcer de persoonsgegevens van de werknemers via de outsourcer verkrijgen. De outsourcer moet de werknemer informeren op het moment dat hij de persoonsgegevens aan de insourcer wil overdragen. Zo moet aan de werknemer worden gemeld aan wie de persoonsgegevens zullen worden verstrekt en wat de doelen van de verwerking zijn. Daarnaast moet de informatieverstrekking aan de werknemers gebeuren via een medium waarvan vaststaat dat de groep daarmee bereikt wordt, bijvoorbeeld via een personeelsblad.

Werknemer mag verzoeken om opschoning van personeelsdossier

De outsourcer die het personeelsdossiers gaat overdragen moet de werknemers de mogelijkheid geven om bepaalde persoonsgegevens te verbeteren, aan te vullen of af te schermen. De werknemer kan zijn werkgever zelfs verzoeken om bepaalde gegevens uit zijn personeelsdossier te verwijderen. Bovendien moeten de werknemers worden geïnformeerd over de mogelijkheid bezwaar aan te tekenen tegen de overdracht van hun personeelsdossier. Indien geen bezwaar is aangetekend, kan worden uitgegaan van de veronderstelde toestemming van de werknemer voor de overdacht.

Niet meer gegevens dan noodzakelijk

De outsourcer mag niet meer gegevens aan de insourcer verstrekken dan noodzakelijk is voor de uitvoering van de arbeidsovereenkomst. Dit betekent dat alle personeelsdossiers moeten worden opgeschoond en dat alle oude en niet meer relevante gegevens, zoals een verslag van een functioneringsgesprek of een officiële waarschuwing van tien jaar geleden, moeten worden verwijderd.

Voor gezondheidsgegevens gelden bijzondere – meer strikte – regels. Zo mogen deze gegevens alleen worden overgedragen als de overdracht noodzakelijk is voor de re-integratie of verzuimbegeleiding van werknemers in verband met arbeidsongeschiktheid, bijvoorbeeld omdat het een ‘lopend ziektegeval’ betreft.

Gevolgen van niet naleven privacy regels

Indien de privacyregels niet worden nageleefd, kan de werknemer naar de rechter gaan en een schadevergoeding vorderen (op voorwaarde dat hij schade heeft geleden). Ook kan de werknemer bij het CBP een melding doen van de onrechtmatigheid. Het CBP kan naar aanleiding van de melding of ambtshalve een onderzoek starten en vervolgens sancties opleggen. Los van deze juridische sancties, ligt zowel voor de outsourcer als de insourcer een ander – misschien nog wel belangrijker – risico op de loer: imagoschade. Let bij de overdracht van personeelsdossiers in het kader van een outsourcing dus altijd op de eisen die het CBP stelt.

Dit artikel is ook als blog verschenen op Blogit.nl op 8 april 2014.

Auteur(s)

  • Soo-ja SchijfSoo-ja Schijf