Persoonsgegevens op het werk: wat mag je bijhouden en wat niet

Stel je voor: Jan rijdt al acht jaar voor je bedrijf, elke dag een volle dienst. In die acht uur laat hij sporen achter, zijn inklokmoment, de locatie van de bestelbus, het aantal opdrachten dat hij heeft afgerond, de berichten die hij stuurt via het werktelefoonplan, en zelfs hoe vaak hij de app opent. Dat zijn allemaal persoonsgegevens. Ze verzamelen kost vandaag bijna niets, en de verleiding om alles maar te bewaren (“je weet maar nooit”) is begrijpelijk. Alleen: de wet heeft al lang bepaald wat je van die berg mag houden, en de grens ligt precies waar je hem niet verwacht.

Die grens loopt niet tussen “nuttige data” en “gevoelige data”. Hij loopt tussen wat je echt nodig hebt en wat je verzamelt omdat het kan. Dat principe heet dataminimalisatie, en het is de ruggengraat van de AVG als die op arbeidsverhoudingen wordt toegepast: je mag persoonsgegevens van personeel alleen verwerken voor een vooraf omschreven doel, alleen zoveel als dat doel vereist, en alleen zolang het nodig is. Klinkt als juridisch jargon, is in de praktijk gewoon één vraag: waarvoor heb ik dit gegeven precies nodig? Als het antwoord “geen idee, maar ik houd het bij voor het geval dat” is, hoort dat gegeven er niet te zijn. Bijna alle klachten bij de Autoriteit Persoonsgegevens ontstaan niet uit complexe systemen, maar uit datasets die niemand meer weet te verklaren.

Neem aanwezigheidsregistratie, het meest voorkomende geval in elke organisatie met buitendienstteams. Weten wanneer iemand is begonnen en wanneer hij klaar was: dat is een legitiem doel, nodig voor salaris, facturatie aan de opdrachtgever, en voor de aantoonbaarheid dat het werk daadwerkelijk is verricht. Weten waar Jan elke minuut van de dag naartoe rijdt: dat is iets anders, en bijna nooit noodzakelijk voor dat doel. Tussen die twee zit werelden van verschil, en precies dat verschil bepaalt of je een conforme registratie voert of een vorm van continue tracking die de AVG niet zomaar toestaat.

De gratis tools om in orde te komen

Drie gratis tools, allemaal in je browser en zonder account, om van theorie naar praktijk te gaan:

• Ben je in orde met werknemersgegevens? — een test van 9 vragen met een score en de te herstellen punten.
• Generator voor GPS-privacyverklaring — maakt het model conform art. 13, nu met de clausule over werknemersvertegenwoordiging per land.
• Generator voor bewaarbeleid — een bewaartabel per land, met aanbevolen termijnen en PDF-export.

Eerst het doel, dan het gegeven

Er is een reflex die ook de meest zorgvuldige HR-managers parten speelt: eerst verzamelen, dan bedenken waarvoor. De AVG denkt er precies andersom over. Je stelt eerst de verwerkingsgrondslag en het doel vast, daarna bepaal je welke gegevens daarvoor strikt nodig zijn. Neem een concreet voorbeeld dat voor elke organisatie met teams in het veld opgaat: je wilt kunnen aantonen dat een monteur een klant heeft bezocht en de opdracht heeft voltooid. Daarvoor heb je een tijdstempel bij aankomst en vertrek nodig, eventueel een foto van het resultaat. Je hebt het rijtraject daartussen niet nodig, je hebt de lunchpauze-locatie niet nodig, en je hebt al die gegevens zeker niet drie jaar later nog nodig nadat de factuur is betaald. Elk stukje extra dat je bijhoudt is een stukje dat je op een gegeven moment moet verantwoorden, beveiligen, en bij een datalek moet melden.

En dan is er bewaartermijn, het hoofdstuk waar bijna iedereen pas naar kijkt als het te laat is. Een gegeven dat correct is verzameld maar voor altijd wordt bewaard, is een gegeven dat buiten de norm valt. Locatiegegevens van een inklokmoment zijn na een paar weken al niet meer relevant, foto’s van een afgeronde klus zijn na betaling niet meer nodig. Ze bewaren “voor de zekerheid” is geen voorzichtigheid, het is het omgekeerde: je bouwt risico op zonder dat het je iets oplevert. Echte zekerheid is aan de Autoriteit Persoonsgegevens kunnen laten zien dat je verwijdert wat je niet meer nodig hebt, en dat ook hard kunnen maken.

---

De ondernemingsraad en de rechtsgrond die je niet kunt omzeilen

Er is iets dat werknemersdata onderscheidt van alle andere persoonsgegevens, en het is de reden waarom de AVG hier strenger is dan elders: in een arbeidsverhouding is er geen gelijkwaardigheid. Jan kan geen vrij “nee” zeggen aan zijn werkgever zonder gevolgen te riskeren. Daarom telt toestemming van de werknemer als rechtsgrond bijna nooit: een toestemming die niet echt vrij is gegeven, is juridisch niets waard. De rechtsgrond voor personeelsdata ligt bij gerechtvaardigde belangen van de werkgever of bij de uitvoering van de arbeidsovereenkomst, maar die moet je dan wel concreet benoemen, zorgvuldig afwegen en vastleggen in een informatieplicht die de medewerker vooraf leest, niet achteraf.

Heeft jouw organisatie vijftig of meer werknemers, dan komt daar nog het instemmingsrecht van de ondernemingsraad bij. Artikel 27 van de Wet op de Ondernemingsraden geeft de OR instemmingsrecht bij elk systeem waarmee je personeel monitort of registreert, dus ook bij aanwezigheids- of locatieregistratie. Dat is geen formaliteit om snel af te vinken: het is de manier waarop de wet borgt dat medewerkers een stem hebben in de vraag welke gegevens er over hen worden bijgehouden. Bedrijven die die stap overslaan en achteraf alsnog instemming moeten regelen, lopen vertraging op die ze niet wilden.

Zo bekeken houdt AVG-naleving op een rem te lijken en wordt het wat het altijd al was: een werkwijze waarbij je bewijs verzamelt van het verrichte werk, zonder aanspraak te maken op controle over de persoon. Dat is ook de logica achter GeoTapp, dat alleen op het moment van in- of uitklokken de locatie vastlegt en verder niets registreert over de rest van de dienst. Zo houd je precies het gegeven dat je nodig hebt, en kun je aan je team, je OR, en als het erop aankomt de AP, gewoon laten zien wat je doet en waarom. Wil je weten hoe de regels per EU-land van elkaar verschillen, dan is de interactieve kaart met GPS-regelgeving per land een handig startpunt, en er is ook een generator die in een paar minuten een conforme informatieverplichting voor je opmaakt.

De vraag om mee te sluiten is er maar één, en hij is voor jou: van alle gegevens die je nu bijhoudt over je medewerkers, hoeveel daarvan kun je vandaag concreet koppelen aan een doel dat je van tevoren hebt vastgelegd?