De 5 grootste risico’s bij onzorgvuldig beheer van personeelsdossiers

Werkgevers verwerken veel persoonsgegevens van hun werknemers. Deze zijn vaak opgeslagen in een personeelsdossier. Werkgevers mogen echter alleen een personeelsdossier aanleggen als dat noodzakelijk is om een arbeidsovereenkomst of een aanstelling als ambtenaar uit te voeren. En zij moeten daarbij rekening houden met de privacy van hun werknemers. Informatie die zich in de personeelsdossiers bevindt, is van toenemend belang, zowel voor werkgever, HR-manager als werknemer. Daarom is het cruciaal dat u zich de risico’s bij onzorgvuldig beheer realiseert. Weten waar de gevaren schuilen, én welke gevolgen dat zou kunnen hebben, bepaalt in hoge mate welke maatregelen u moet nemen om te voorkomen dat gevoelige personeelsinformatie onder ogen komt van onbevoegden.

Ik heb de vijf grootste risico’s van onzorgvuldig beheer voor u op een rij gezet:

1. Compliancy

Compliancy wil zeggen dat u voldoet aan geldende wet- en regelgeving. Die kan in het geval van personeelsdossiers overigens behoorlijk complex zijn. Het gaat om uiteenlopende typen documenten met veelal eigen bewaartermijnen. Die documenten moeten bovendien door de verschillende belanghebbenden ingezien kunnen worden. Weten wat je bewaart, voor welk doel en welke termijnen daaraan gekoppeld zijn, bepaalt de borging van rechtmatigheid van de dossiers en individuele documenten. Binnen de overheid zijn heel duidelijke regels voor bewaartermijnen vastgesteld. Gegevens vanuit de salarisadministratie die fiscaal van belang zijn, moeten bijvoorbeeld tot 7 jaar na uitdiensttreding worden bewaard, terwijl een kopie van een identiteitsbewijs 5 jaar na uitdiensttreding moet worden vernietigd. Die termijnen kunnen vanuit een goed ingericht HR-systeem met daaraan gekoppelde document management functionaliteit, volledig geautomatiseerd worden bewaakt. Dat geeft u de zekerheid dat u voldoet aan wet- en regelgeving. Dat er geen stukken meer in het dossier zitten die daar niet meer hadden moeten zitten of omgekeerd. Vanaf de creatie of bij binnenkomst van de documenten worden de eigenschappen mét bijbehorende termijnen vastgelegd. Daarna wordt u automatisch herinnerd aan de actie die moet volgen.

2. Privacy

Privacy van digitale personeelsdossiersMet de inwerkingtreding van wetten en regels als de wet Meldplicht Datalekken en de Europese Privacy Verordening (de Europese opvolger van de Wet Bescherming Persoonsgegevens) is er een verhoogde aandacht gekomen voor privacy, veiligheid en betrouwbaarheid van informatie. De boetes en imagoschade die aan deze wetten zijn gekoppeld, zijn niet gering en vormen een groot risico voor de continuïteit van de organisatie. Inherent aan privacy is het op orde hebben van de personeelsdossiers. Wanneer dat het geval is, is de informatie die zich erin bevindt ook makkelijker te beschermen tegen onbevoegde ogen. Daarbij maakt het overigens niet uit of het gaat om informatie die op paper staat of digitaal is. Om de privacy van de werknemer te beschermen is het belangrijk dat informatie altijd juist, actueel en volledig is; dat niet meer gegevens in het personeelsdossier worden vastgelegd dan noodzakelijk is en dat die gegevens ook daadwerkelijk ter zake doen. Werknemers moeten ook actief worden geïnformeerd over welke gegevens worden verzameld en waarom. Daarbij moeten zij altijd de mogelijkheid krijgen die gegevens in te zien en eventueel te corrigeren.

3. Veiligheid

Informatie is in grotere hoeveelheden digitaal beschikbaar. Dat heeft als voordeel dat u er makkelijker en overal mee kunt werken. Het nadeel is echter, dat de beveiliging een stuk complexer is geworden. Op het werk wordt steeds vaker gebruik gemaakt van laptops, mobiele telefoons, tablet computers en andere mobiele devices. Daarin schuilen grote risico’s. Gegevens raken verspreid, worden op onveilige plaatsen geraadpleegd en kunnen via zo’n (gestolen of verloren) device worden gehackt. Gebruikersrechten, inloggegevens en bevoegdheden van management en betrokken medewerkers moeten daarom worden vastgelegd in heldere afspraken en werkbare protocollen. Afhankelijk van rollen en functies in de organisatie kan vervolgens worden bepaald wie wat mag inzien of doen en welke devices daarvoor mogen worden gebruikt. Die regels en bevoegdheden kunnen worden vastgelegd en automatisch bewaakt in een goed ingericht HR-systeem, gekoppeld met een document management systeem. Dat geldt dus ook in het geval een manager wisselt van functie en de daarbij behorende bevoegdheden voor het inzien van specifieke personeelsdossiers veranderen. Rollen, functies en bevoegdheden kunnen in het HR-systeem automatisch worden gekoppeld. Dat maakt het voor u eenvoudiger – ook achteraf - om uw medewerkers uit te leggen hoe u met zijn persoonlijke gegevens omgaat en waarom. Het biedt volledige transparantie naar uw medewerkers en geeft u te allen tijde grip op de volledigheid en rechtmatigheid van informatie die zich in de personeelsdossiers bevindt.

4. Onjuiste beslissingen

Onjuiste beslissingen in het HRM-procesBij onzorgvuldig beheer van een personeelsdossier bestaat het risico dat u een onjuiste beslissing neemt, gebaseerd op onvolledige, achterhaalde of onjuiste informatie. Stel dat de gegevens over beroepscertificeringen en -opleidingen in het dossier niet op orde zijn. Dan zou het kunnen dat u op basis daarvan beslist een medewerker niet te laten doorstromen naar een andere functie. Leasecontracten die aflopen, arbeidscontracten die juist automatisch verlengd worden, het is gevoelige informatie die het gevaar van verkeerde beslissingen in zich bergt. Daarom moet u altijd beschikken over volledige en actuele informatie in de personeelsdossiers. Daarnaast is het belangrijk om precies te weten welke competenties zich binnen uw organisatie bevinden. Talentbegeleiding, -ontwikkeling en doorstromingsmogelijkheden vormen voor veel werknemers een belangrijke reden om te blijven of juist om bij u te komen werken.

5. Onvolledigheid

Het komt nog regelmatig voor dat informatie verspreid over verschillende afdelingen en vakapplicaties is opgeslagen en in gebruik is. Daarin schuilt het gevaar dat een personeelsdossier versnippert raakt en niet volledig is. Of dat alle informatie er wel is, maar op verschillende plaatsen, waardoor het totaaloverzicht in het dossier ontbreekt. Een bekend voorbeeld: er is een afdeling loonadministratie en een afdeling personeelszaken. Bepaalde informatie moet in het personeelsdossier zitten, zoals een salarisstrook, en die komt dan vanuit de loonadministratie. Hoe is dat geregeld? Wie kan daar bij? Moeten er twee systemen worden geraadpleegd om een volledig beeld te krijgen? En zo zijn er meer voorbeelden te bedenken waarbij informatie in verschillende vakapplicaties zit, die eigenlijk ook beschikbaar zou moeten zijn in het personeelsdossier. Wie controleert dat en hoe hou je alle informatie actueel?

De basis op orde

Belangrijk bij het goed kunnen beheren van personeelsdossiers is dat de basis op orde is. Die basis wordt gevormd door centrale, digitale, volledige en actuele informatie; door goed ingeregelde en vastgelegde bevoegdheden en een adequate beveiliging van zowel de informatie als de toegang daartoe. En uiteraard is het net zo belangrijk om de medewerkers bewust te maken van de gevaren die in onachtzaamheid schuilen. Een laptop die onbeheerd ergens op een bureau staat; een memorystick die mee naar huis gaat met daarop gevoelige informatie. We kennen allemaal de verhalen uit de media. Maar het kan worden voorkomen, met een goed doordacht HR-systeem gekoppeld met een gedegen document management systeem.

 

De nieuwste artikelen in uw mailbox?
Blijf op de hoogte met de Eburg nieuwsbrief!