Universiteit Leiden

nl en

AVG: Personeelsgegevens worden goed beschermd

Van medewerkers van de universiteit wordt veel persoonlijke informatie bewaard. Denk bijvoorbeeld aan de verslagen van de resultaat- en ontwikkelingsgesprekken, die informatie over het functioneren van de medewerker bevatten. Daarom worden personeelsgegevens heel goed beschermd.

In het kader van de Algemene Verordening Gegevensbescherming heeft een team van de centrale dienst Bedrijfsvoering kritisch gekeken naar de stand van de bescherming van de gegevens die over personeelsleden zijn opgeslagen en de manier waarop ze worden gebruikt. Dat team bestaat uit onder anderen het hoofd Functioneel beheer Peter Magielse en de functionaris Gegevensbescherming Jasper Casteleijn. Het is nu bezig met het opstellen van het Verwerkingsregister (zie kader).

Annemarie Duijnstee
Annemarie Duijnstee: 'De functionaliteit van de systemen kan beter.'

Gratificatie en verzuimgegevens

Het gaat om allerlei gegevens die samenhangen met de aanstelling – of achtereenvolgende aanstellingen. Maar ook om de verslagen van resultaat- en ontwikkelingsgesprekken (R&O-gesprekken, vroeger de functioneringsgesprekken) die worden opgeslagen en allerlei andere bijzonderheden. Bijvoorbeeld specifieke afspraken die met iemand worden gemaakt en ontvangen gratificaties. Ook verzuimgegevens worden opgeslagen.

Bescherming op orde

Annemarie Duijnstee, hoofd HRM bij het Bestuursbureau, kan geruststellende woorden spreken: de bescherming is op orde. ‘Wel kan de functionaliteit van de systemen nog worden verbeterd. Te denken valt aan automatisch in plaats van handmatig gegevens wissen als ze niet meer bewaard hoeven worden, wanneer iemand ergens anders is gaan werken of met pensioen is en de wettelijke bewaartermijn is verstreken. Verder heb je alleen als het strikt nodig is voor je functie (bijvoorbeeld de leidinggevende of personeelsmedewerker) toegang tot de gegevens van een specifieke medewerker’, zegt ze.  ‘En waar gewerkt wordt met uitdraaien, bijvoorbeeld  bij de bespreking van een R&O-verslag met de medewerker, zijn leidinggevenden ervan doordrongen dat die niet op een bureau moeten slingeren en dat ze moeten worden vernietigd als de procedure is afgerond.’

Meer transparantie

Medewerkers kunnen documenten uit hun dossier opvragen bij hun P&O-adviseur. Dat recht is overigens niet nieuw.

Wat nog wat beter kon is de transparantie: er is een Privacy Statement voor de medewerkers opgesteld waarin helderheid is gegeven over toegang tot hun persoonsgegevens, waar/hoe worden hun gegevens bewaard, hoe worden ze beschermd en wanneer worden ze vernietigd?

Back up noodzakelijk

Voor de opslag van gegevens van medewerkers geldt dat er een back up moet zijn voor het geval een systeem crasht. Er komt een nieuw systeem dat automatisch een back up elders wegzet,  nu zorgt het ISSC dagelijks voor een nieuwe kopie van DocMan, waarin alle gedigitaliseerde personeelsdocumenten van de universiteit staan opgeslagen.

Bewaartermijnen

Gert Suurland, hoofd van DIA, de centrale afdeling Documentaire Informatievoorziening en Archiefbeheer, vertelt dat er voor allerlei documenten wettelijke bewaartermijnen zijn.  Zo moet de universiteit het dossier van iemand die met pensioen gaat nog tien jaar bewaren. Als er een specifieke regeling is afgesproken met een medewerker, gaat de termijn van tien jaar pas in als de regeling afgelopen is. Dit resulteert erin dat de universiteit nog ruim 19.000 digitale personeelsdossiers bewaart, waarvan een groot deel van ex-werknemers.

Sollicitaties

Zeer tijdelijk is het contact van de meeste sollicitanten met de universiteit: er wordt immers doorgaans maar één kandidaat gekozen voor de invulling van de vacature. Sollicitanten mogen verwachten dat vertrouwelijk met hun brief en cv wordt omgegaan. Alleen de leden van de sollicitatiecommissie krijgen deze en na afloop van de procedure dienen de documenten te worden gewist en eventuele papieren uitdraaien vernietigd. Tenzij een leidinggevende een net-nietkandidaat in portefeuille wil houden. Met toestemming van de betreffende kandidaat mag dat. Duijnstee gaat deze verplichting nog eens nadrukkelijk onder de aandacht brengen.

Hoewel her en der nog verbetering mogelijk is, is de universiteit zich terdege bewust van de uiterste vertrouwelijkheid van personeelsgegevens.

Dit is het vierde artikel in een serie over de betekenis van de nieuwe Europese Verordening Gegevensbescherming - van kracht per 25 mei 2018 - voor de Universiteit Leiden. Zie voor de eerste drie de links rechts op deze pagina.In de nieuwe verordening verandert er inhoudelijk niet veel: de regels blijven hetzelfde. Wel gaat de Autoriteit Persoonsgegevens veel scherper dan voorheen toezien op de naleving en zijn de boetes bij niet-naleving enorm verhoogd, tot € 20 miljoen of 4% van de omzet. Voorts moet elk bedrijf en elke instelling een zogenoemd verwerkingsregister aanleggen waarin precies beschreven staat over welke persoonsgegevens men beschikt, wat daarmee gebeurt, en hoe deze worden beschermd. Verder moeten de grotere bedrijven en instellingen een onafhankelijke functionaris gegevensbescherming in dienst hebben.

(CH)

Deze website maakt gebruik van cookies. Meer informatie