Het is het jaar 2015. Op de personeelsadministratie van een grote onderneming wordt er hard gewerkt aan het verwerken van diverse mutaties. Een aantal medewerkers hebben uitzonderlijk gepresteerd en komen in aanmerking voor een gratificatie. Haastig wordt er een brief opgesteld met daarin opgenomen welke medewerkers hiervoor in aanmerking komen, aangevuld met de hoogte van de gratificatie en gearchiveerd in de dossiers van de betreffende medewerkers. Er is ook een nieuwe medewerker gestart. Alle benodigde documenten zoals een identiteitsbewijs, arbeidsovereenkomst, loonbelastingverklaring en diploma’s worden fysiek gearchiveerd en, omdat het handig is om dit alvast digitaal op te slaan, als één document gescand en opgeslagen op de schijf. Daarnaast krijgt Mevrouw A. de Jong een salarisverhoging, deze wordt nog doorgevoerd en het document wordt snel opgeborgen in het dossier. In de haast belandt het document echter niet in het dossier van mevrouw A. de Jong, maar in het dossier van de heer B. de Jong. Dit wordt echter niet opgemerkt en men gaat over tot de orde van de dag.
Het is 25 mei 2018, de Algemene Verordening Gegevensbescherming is ingegaan. De impact hiervan is enorm voor veel bedrijven en hun personeelsadministratie. Werkgevers dienen zorgvuldig om te gaan met hetgeen ze bewaren in de personeelsdossiers, ineens mag een werkgever alleen nog documenten opnemen die noodzakelijk zijn voor het doel van het personeelsdossier. Waar vroeger nog alles bewaard werd in het dossier onder het mom van ‘kan handig zijn om later nog op te kunnen zoeken’ of ‘is leuk voor als de medewerker met pensioen gaat’, mag dit sinds 2018 niet zomaar meer. Organisaties dienen te beschikken over een bewaarbeleid, aangevuld met (wettelijk bepaalde) bewaartermijnen. Als klap op de vuurpijl heeft een medewerker recht op inzage in zijn of haar dossier.
Waar zit dan het gevaar voor organisaties?
Het grootste gevaar zit hem in het ontbreken van inzicht in waar de mogelijke risico’s zich bevinden. Veel organisaties zijn, overigens geheel terecht én verstandig, volop bezig met het digitaliseren van personeelsdossiers en werken vaak vanuit een HR-softwaresysteem. Door het maken van een digitaliseringsslag kun je vaak efficiënter en eenvoudiger voldoen aan de AVG-wetgeving dan wanneer je nog werkt met analoge dossiers. Hier schuilt echter ook een gevaar in. In de eerste alinea van dit artikel viel al te lezen hoe een document van mevrouw A. de Jong per ongeluk terecht is gekomen in het dossier van de heer B. de Jong. Daarnaast is er ook nog sprake van een brief met gevoelige informatie die in het dossier van meerdere medewerkers terecht is gekomen, iets waar vroeger niemand van opkeek, maar vandaag de dag echt niet meer kan.
Wanneer je alleen het fysieke archief digitaliseert, los je deze problemen niet op. De foutief gearchiveerde documenten bevinden zich nog altijd in het dossier, alleen dan nu digitaal. Veel organisaties zijn zich er niet eens van bewust dat deze gevaren zich bevinden in de personeelsdossiers. Nog altijd constateren wij regelmatig dat de personeelsdossiers documenten bevatten die eigenlijk niet meer aanwezig zouden mogen zijn.
Ook bij het scannen van meerdere documenten of zelfs een geheel dossier tot één pdf-bestand voldoe je niet meer aan de AVG. Bovendien kun je dan niet de bewaartermijnen per afzonderlijk document instellen. Of erger nog: er zit een document tussen dat er eigenlijk niet meer in mag zitten.
Is digitalisering dan niet de oplossing?
Zeker wel, digitalisering is absoluut een goede stap in de juiste richting, maar niet de enige stap die genomen moet worden. Wil je echt AVG-compliant zijn, dan is het essentieel voor organisaties om inzage te krijgen waar voor hen de mogelijke pijnpunten zitten. Uiteraard is het voor organisaties een enorm tijdrovende klus om ieder dossier afzonderlijk te controleren of zelfs maar om steekproeven te doen. Immers is dit niet de kernactiviteit van de organisatie. Juist hierin biedt de AVG-audit de oplossing. Op basis van onze kennis en ervaring met personeelsdossiers én de geldende wet- en regelgeving zijn we in staat om op nauwkeurige en efficiënte wijze de risico’s in kaart te brengen. Door middel van ons onderzoek m.b.t. de personeelsdossiers van een organisatie zijn we in staat om de vinger op de zere plek te leggen of om te bevestigen dat de personeelsadministratie op orde is. De AVG-audit geeft organisaties grip en zekerheid! Het bevindingenrapport geeft u inzage of uw dossiers voldoen aan de AVG-wetgeving. Blijkt uit het onderzoek dat uw personeelsadministratie niet op orde is? Geen paniek, ook hierin kunnen wij hulp bieden. Karmac Informatie & Innovatie voert complete optimaliseringstrajecten uit, waarna organisaties na afloop de zekerheid hebben dat ze voldoen aan de AVG.
Op zoek naar inzage in waar de risico’s zich bevinden in uw organisatie? Aarzel dan niet langer en laat een AVG-audit uitvoeren.