3.20 Invoering digitale personeelsdossiers

Transcriptie

1 Werkveld Datum Instemming/Advies GMR Vastgesteld CvB Personeel Maart Invoering digitale personeelsdossiers 1

2 Inhoud 1. Inleiding 3 2. Wet bescherming persoonsgegevens (Wbp) Het verwerken van persoonsgegevens Verstrekken van persoonsgegevens Bewaren van persoonsgegevens Beveiliging Gegevens vernietigen Meldplicht datalekken 7 3. Implementatie Opbouw digitaal personeelsdossier Uploaden en inzien Documentsoorten Omschrijving document Stappenplan voorjaar Toelichting 11 2

3 1. Inleiding Enige tijd geleden is het Onderwijsbureau gestart met het digitaliseren van personeelsdossiers binnen het personeelsadministratiesysteem van RAET waar zij gebruik van maakt. Vanuit het Onderwijsbureau worden de documenten die nodig zijn voor een correcte salarisverwerking en voor een juiste opbouw van het personeelsdossier in het digitale systeem Personeelsdossier Online (Pdol) gezet. Aves heeft besloten om met ingang van 1 augustus 2016 ook gebruik te maken van Pdol. Het papieren personeelsdossier zoals dat aanwezig is in het bestuurskantoor zal vanaf die datum niet meer worden aangevuld, maar kan wel worden geraadpleegd. In deze notitie wordt allereerst ingegaan op de Wet bescherming persoonsgegevens (Wbp) waarvoor als bron is gebruikt en vervolgens wordt aandacht besteed aan de implementatie van het digitaal personeelsdossier. 3

4 2. Wet bescherming persoonsgegevens (Wbp) De Wet bescherming persoonsgegevens (Wbp) regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen. En wat hun privacyrechten zijn als organisaties hun gegevens verwerken. Bijvoorbeeld dat zij recht hebben op informatie over het gebruik van hun gegevens. En dat zij inzage en correctie van hun gegevens mogen vragen. Aves verwerkt gegevens ten behoeve van: het geven van leiding aan de werkzaamheden van de medewerker; het zorgdragen voor een correcte salarisuitbetaling; het kunnen voldoen aan wettelijke verplichtingen; het voorkomen en verminderen van verzuim en arbeidsongeschiktheid; het verhogen van de professionaliteit; vergroten van inzetbaarheid en carrièrekansen van medewerkers. De medewerker, de directeur, de personeelsfunctionaris en de bestuurder kunnen in het digitaal personeelsdossier documenten inzien en uploaden. Medewerkers van het Onderwijsbureau Meppel kunnen dat doen voor dat deel dat nodig is voor een correcte salarisuitbetaling Het verwerken van persoonsgegevens Het verwerken betreft alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. De Wbp bepaalt dat een organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor een bepaald doel. En dat de organisatie deze gegevens niet zomaar voor een ander doel mag gebruiken. Ook hebben organisaties de verplichting om persoonsgegevens goed te beveiligen Verstrekken van persoonsgegevens Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen. Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld: 4

5 de verwantschap met het doel van verzamelen; de aard van de gegevens; de gevolgen van een verstrekking; de waarborgen die zijn getroffen; de verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt). Naast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de 6 gronden (ook wel grondslagen genoemd) uit artikel 8 van de Wet bescherming persoonsgegevens (Wbp). Dat zijn: toestemming van de betrokkene; uitvoeren van een overeenkomst; wettelijke verplichting; vitaal belang van de betrokkene; uitvoeren van een publiekrechtelijke taak; gerechtvaardigd belang van de organisatie Bewaren van persoonsgegevens De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is. Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving. Voor sommige gegevens uit het personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet de werkgever 5 jaar bewaren nadat de werknemer uit dienst is. Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat de werknemer uit dienst is. 5

6 Aves hanteert een bewaartermijn voor zowel het papieren als het digitaal personeelsdossier van 7 jaar nadat de werknemer uit dienst is Beveiliging Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens; bijvoorbeeld identiteitsfraude. Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat hiervoor passende technische- en organisatorische maatregelen moeten worden genomen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens? Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn. Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. Kortom, wat moet een organisatie doen om persoonsgegevens te beveiligen? Niet meer gegevens gebruiken dan nodig is voor bepaald doel Toegang van aantal personen tot de gegevens beperken Moderne beveiligingstechniek gebruiken Gegevens vernietigen Een organisatie moet de gegevens vernietigen als de bewaartermijn voorbij is of de gegevens niet meer noodzakelijk zijn. Daarbij moet de organisatie zorgvuldig omgaan met de persoonsgegevens. Dat betekent dat de organisatie goed moet stilstaan bij de manier waarop deze de gegevens vernietigt. Zeker als het om gevoelige gegevens gaat. Voor digitaal opgeslagen gegevens zijn bijvoorbeeld systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip. De organisatie die het papieren dossier digitaal wil maken, mag het originele papieren dossier pas vernietigen als de organisatie zorgt voor een goede beveiliging van het digitale dossier. 6

7 De werknemer heeft het recht om een organisatie te vragen bepaalde persoonsgegevens van hemzelf te verwijderen. De werknemer kan dit vragen als deze gegevens niet kloppen, niet compleet zijn of niet (meer) ter zake doen Meldplicht datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld over de meldplicht datalekken. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Bron: 7

8 3. Implementatie 3.1 Opbouw digitaal personeelsdossier In het bestuurskantoor van Aves zijn de personeelsdossiers van alle medewerkers aanwezig. Nagegaan zal worden of alle relevante documenten aanwezig zijn in het personeelsdossier. Documenten die nog op school liggen zullen aan het personeelsdossier worden toegevoegd. Per 1 mei 2016 zullen geen documenten meer aan het papieren personeelsdossier worden toegevoegd. Nieuwe documenten voor het personeelsdossier zullen vanaf die datum worden geüpload in het digitaal personeelsdossier. Taakverdeling: Documenten die zijn ondertekend door het CvB en/of die gevolgen hebben voor aanstelling of salaris zullen door het bestuurskantoor in Pdol worden geüpload. Documenten rondom functioneren en professionalisering zullen door de directeur van de school worden geüpload. Geleidelijk zullen de papieren personeelsdossiers worden geüpload in het digitale systeem. De papieren dossiers blijven, tot de bewaartermijn verstreken is, aanwezig in het bestuurskantoor en kunnen zo nodig nog worden geraadpleegd. Het digitaal personeelsdossier bestaat uit een aantal mappen: Medewerker dossier (alle documenten) Dit is onderverdeeld in submappen: Aanstellingsbescheiden (documenten die OBM heeft geplaatst) Arbeidsovereenkomsten ( idem) Overige documenten (idem) Bestuur (documenten die Aves heeft geplaatst) Aves is van mening dat het digitaal personeelsdossier volledig toegankelijk en inzichtelijk moet zijn voor de medewerker. Zowel de medewerker als Aves kunnen geen documenten uploaden die door de ander niet ingezien kunnen worden. 3.2 Uploaden en inzien De documenten die vanuit het Onderwijsbureau in het digitaal dossier worden gezet kunnen door het bestuur, personeelsfunctionaris, de directeur en de betrokken medewerker worden ingezien. 8

9 Documenten die door Aves of de medewerker in het digitaal dossier worden gezet, kunnen niet worden ingezien door het Onderwijsbureau. Deze documenten zijn te vinden in de map Bestuur. Zowel door Aves (bestuur, personeelsfunctionaris, directeur) als door de medewerker kunnen documenten worden geüpload en worden ingezien. Bij uploaden moet worden aangegeven tot welk documentsoort het document behoort. Het documentsoort geeft aan wie het document kan uploaden en wie het recht heeft om het document in te zien. Voor de schuine streep staat aangegeven wie het document kan uploaden. Na de schuine streep wie het document kan inzien. Bijv. bpd/m. De bestuurder, personeelsfunctionaris en de directeur kunnen in dit geval het document uploaden. De medewerker kan het document inzien Documentsoorten Documentsoorten die je als werkgever kunt aangeven voor het uploaden van nieuwe documenten zijn: Correspondentie bpd/m Bijvoorbeeld inzake aanvraag en bevestiging verloven inclusief tool van zwangerschapsverlof, ouderschapsverlof en bevestiging wijziging wtf of locatie, aanvraag en bevestiging ontslag, aanvraag en bevestiging mobiliteit, afspraken weektaaktool, enz. Gesprekkencyclus pd/bm Bijvoorbeeld agenda en verslag functionerings- en beoordelingsgesprekken, POP-gesprek, enz. Persoonlijke ontwikkeling bpd/m Diploma s, deelname certificaten, scholingsaanvraag, scholingsovereenkomst, resultaten assessment, enz. Verzuimdossier pd/bm Bijvoorbeeld spreekuurrapportages, probleemanalyse, plan van aanpak, verslag voortgang re-integratie, WIA aanvraag Documentsoorten die de medewerker kan gebruiken voor het uploaden van nieuwe documenten zijn: Correspondentie m/bd Gesprekkencyclus m/bd Professionalisering m/bd Omschrijving document Bij het uploaden van een document wordt gevraagd naar omschrijving document. 9

10 In de documentomschrijving wordt gestreefd naar een eenduidige naamgeving, door in ieder geval te beginnen met het onderwerp van het document, bijvoorbeeld ouderschapsverlof, functioneringsgesprek, enz.. Bij de vermelding van de ingangsdatum kan de ingangsdatum van het verlof of aanstellingen worden aangegeven. Op de omschrijving van het document kan worden gesorteerd. Daarbij is het handig hierbij te beginnen met het onderwerp bijv.: Ontslag bevestiging Aanstelling wijziging bevestiging Ouderschapsverlof bevestiging en tool Onbetaald verlof Zwangerschapsverlof voorlopig en tool Zwangerschapsverlof definitief en tool Beoordelingsgesprek Spreekuurrapportage Re-integratie evaluatie voortgang Re-integratie plan van aanpak Scholingsovereenkomst Enz. 10

11 3.3 Stappenplan voorjaar 2016 Activiteit Wie Wanneer Uploaden van documenten die aanwezig zijn Onderwijsbureau Vanaf op het Onderwijsbureau Bespreken concept notitie Invoering digitaal HRM-adviseur/ personeelsdossiers en geven van uitleg over Pdol aan directeuren in klankbordbijeenkomst J. Timmermans Bespreken notitie in de GMR J. Timmermans Bespreken notitie in Directeurenberaad HRM-adviseur/ J. Timmermans Bespreken notitie in de GMR (instemming) J. Timmermans Toegang geven aan directeuren tot het Onderwijsbureau/ digitaal personeelsdossier HRM-adviseur Uitleg geven aan directeuren over informeren HRM-adviseur September 2016 teamleden Directeur informeert team Directeuren September 2016 Toegang geven aan medewerkers tot het Onderwijsbureau/ digitaal personeelsdossier HRM-adviseur Evaluatie van het digitaal personeelsdossier J. Timmermans Toelichting Het Onderwijsbureau zorgt voor uploaden van documenten die in hun bezit zijn. De directeuren zullen worden geïnformeerd door de HRM-adviseur en de medewerkers zullen worden geïnformeerd door hun directeur over het digitaal personeelsdossier. Tevens zal er uitleg gegeven worden over het uploaden en inzien documenten. Na opdracht van Aves geeft het Onderwijsbureau toegang aan directeuren en medewerkers tot het digitaal personeelsdossier. Vanaf 1 mei 2016 kunnen documenten uitsluitend aan het digitaal personeelsdossier worden toegevoegd. Het papieren personeelsdossier blijft op de huidige locatie en is alleen in te zien na overleg met personeelszaken. De afspraken die met medewerkers worden gemaakt die gevolgen hebben voor hun aanstelling of salaris worden op de gebruikelijke wijze doorgegeven aan het Onderwijsbureau, via OSS of /post. 11

12 De medewerker ontvangt hiervan een schriftelijke bevestiging, de directeur en het Onderwijsbureau ontvangen een kopie van deze brief ter informatie. 12