Documentatieplicht in HR: zo voldoe je aan de AVG

De documentatieplicht is voor HR geen bijzaak, maar een vast onderdeel van verantwoord werken met persoonsgegevens. In iedere organisatie worden dagelijks persoonsgegevens verwerkt van werknemers, kandidaten, klanten en andere betrokkenen. Denk aan salaris, verzuim, prestaties, contactgegevens en soms zelfs strafrechtelijke gegevens. De AVG, oftewel de algemene verordening gegevensbescherming, vraagt dat je kunt aantonen dat je gegevensbescherming serieus neemt. Dat betekent dat je verwerkingen niet alleen veilig uitvoert, maar ook dat je ze vastgelegd hebt in een register en dat je kunt uitleggen waarom de verwerking noodzakelijk is, welke maatregelen je neemt en hoe je de rechten en vrijheden van personen beschermt.

Voor HoorayHR draait dit artikel om de praktijk: wat vraagt de wet, welke documentatie moet je bijhouden, wat is de rol van de verwerkingsverantwoordelijke en de verwerker, hoe ga je om met meldplicht bij datalekken, en hoe maak je dit alles goed gedocumenteerd zonder dat het een papieren tijger wordt. Daarbij komt ook de Autoriteit Persoonsgegevens, de toezichthouder in Nederland, regelmatig terug: zij kan om je verwerkingsregister vragen en in het slechtste geval kan er een boete verschuldigd zijn als je niet voldoet.

Wat is documentatieplicht in HR volgens de AVG?

De documentatieplicht houdt in dat je als organisatie schriftelijk of in elektronische vorm kunt aantonen hoe je persoonsgegevens verwerkt, waarom dat gebeurt en welke beveiliging en maatregelen zijn getroffen. De algemene verordening gegevensbescherming en de algemene verordening in bredere zin leggen de nadruk op aantoonbaar werken: je moet kunnen aantonen dat je aan de wetgeving voldoet. Dat gaat dus verder dan alleen “iets regelen”; het gaat om bijhouden, controleren, en waar nodig aangepast werken als processen of systemen veranderen.

In HR is de toepassing breed, omdat gegevensverwerking overal voorkomt. Denk aan recruitment, onboarding, salaris, performance, verzuim en offboarding. In plaats daarvan dat je losse documenten verspreid opslaat, is het verstandig om een centrale aanpak te kiezen: een verwerkingsregister met een duidelijke beschrijving van verwerkingsactiviteiten, verwerkingsdoeleinden, categorieën gegevens, categorieën betrokkenen, ontvangers, bewaartermijnen en beveiliging. Daarmee breng je je verwerkingen in kaart en kun je ze beoordelen op risico en impact op de persoonlijke levenssfeer.

Wie is verantwoordelijk: verantwoordelijke, verwerkingsverantwoordelijke en verwerker?

De verantwoordelijke, vaak de werkgever, is meestal de verwerkingsverantwoordelijke: de partij die de doeleinden en middelen van de gegevensverwerking bepaalt. De verwerker is een dienstverlener die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt, bijvoorbeeld een salarisverwerker, een recruitmenttool of een IT-partij. In HR werk je vaak met meerdere bewerkers tegelijk. Juist daarom moet verantwoordelijkheid plaatsvinden op basis van duidelijke afspraken, een overeenkomst en vastgelegd beleid.

In de praktijk betekent dit dat iedere organisatie moet vastleggen:

• wie de verwerkingsverantwoordelijke is per proces
• welke verwerker of bewerkers je inschakelt en welke opdracht zij uitvoeren
• welke organisatorische beveiligingsmaatregelen en passende technische maatregelen zijn getroffen
• hoe je toezicht houdt op naleving en hoe je audits of controles uitvoert

Als er discussie ontstaat, of als de Autoriteit Persoonsgegevens of de AP vragen stelt, moet je kunnen overleggen wat je hebt geregeld. Dat is precies waar documentatie en het register voor dienen.

Welke persoonsgegevens verwerkt HR en waarom is dat risico-gedreven?

HR verwerkt veel categorieën persoonsgegevens. Sommige gegevens zijn relatief standaard, zoals naam, adres, contactgegevens en bankrekening waarvan het salaris wordt overgemaakt. Andere gegevens zijn gevoeliger, zoals gegevens over gezondheid bij verzuim, of strafrechtelijke gegevens in een voorkomend geval, bijvoorbeeld bij een VOG of screening voor een beroep met extra eisen. In alle gevallen geldt dat je moet kunnen uitleggen op welke grond je de verwerking baseert, wat het doel is, en waarom het noodzakelijk is.

Een goede algemene beschrijving van je HR-processen helpt om te identificeren waar het risico inhoudt voor betrokkenen. Hoe hoger het risico, hoe meer aandacht nodig is voor technische en organisatorische maatregelen, en mogelijk ook voor een gegevensbeschermingseffectbeoordeling. Denk daarbij aan profilering, grootschalige monitoring of langdurige opslag van gevoelige gegevens.

Het verwerkingsregister: de kern van de documentatieplicht

Het verwerkingsregister is voor veel organisaties het belangrijkste document binnen de documentatieplicht. In het verwerkingsregister leg je verwerkingsactiviteiten vast: welke verwerkingen je uitvoert, voor welke doeleinden, welke categorieën betrokkenen en gegevens het betreft, wie de ontvangers zijn, of er doorgifte is naar derde landen of internationale organisaties, en hoe je de beveiliging hebt ingericht.

Het register hoeft niet ingewikkeld te zijn, maar het moet wel kloppen en actueel blijven. Je moet het register bijhouden, en bij wijziging van processen of tools moet het register worden vervangen of bijgewerkt. De AVG noemt in artikel over het register welke volgende informatie je minimaal moet opnemen. Zorg dus dat je per verwerking een duidelijke beschrijving hebt, inclusief bewaartermijn, toegang, en maatregelen.

Een praktische indeling voor HR-verwerkingen is bijvoorbeeld:

• Recruitment en selectie, inclusief kandidaten en afwijzing
• Salarisadministratie, loonstroken en uitbetaling salaris
• Verlof en verzuim, inclusief meldingen en re-integratie
• Performance, beoordeling en ontwikkeling, inclusief manager-notities
• Toegangsbeheer, accounts, logging en beveiliging
• Offboarding, bewaarplicht en verwijdering

Door dit in kaart te brengen, maak je zichtbaar welke gegevens je gebruikt, op welke wijze je deze verwerkt en waar de bescherming persoonsgegevens extra aandacht vraagt.

Technische en organisatorische maatregelen: wat moet je vastleggen?

De AVG verwacht dat je passende technische en organisatorische maatregelen neemt. “Passend” betekent: afgestemd op risico, aard van de verwerking, stand van de techniek en de impact op de rechten en vrijheden van betrokkenen. Leg dus vast welke maatregelen je neemt, waarom je die gekozen hebt en hoe je controleert of ze werken. Denk aan beveiliging van systemen, toegangsbeheer, autorisaties per manager, logging, back-ups, encryptie, MFA en dataminimalisatie via standaardinstellingen.

Voor HR is het slim om in je documentatie per systeem of proces vastgelegd te hebben:

• wie toegang heeft en op basis van welke rol
• hoe je gegevens beschermt in opslag en transport
• hoe je bewaartermijnen toepast en verwijderen in plaats daarvan van eindeloos bewaren
• welke procedure er is bij verzoek van een betrokkene

Organisatorische beveiligingsmaatregelen gaan ook over gedrag en processen: training, geheimhouding, incidentmanagement, en het vastleggen van verantwoordelijkheden. Zo wordt gegevensbescherming onderdeel van je organisatiecultuur in plaats van losse acties.

Meldplicht en datalekken: documenteer elke melding en actie

De meldplicht is een belangrijk onderdeel van de AVG. Als er sprake is van datalekken, moet je in een geval met risico voor betrokkenen mogelijk melden bij de toezichthouder, de Autoriteit Persoonsgegevens. Soms moet je ook de betrokkenen informeren. Het gaat hierbij niet alleen om het melden, maar juist ook om het vastleggen van wat er is gebeurd, welke gegevens zijn verkregen door onbevoegden, wat de gevolgen zijn voor de persoonlijke levenssfeer en welke maatregelen je hebt genomen om herhaling te voorkomen.

Zorg dat je een vaste procedure hebt voor melding en melden, inclusief beslismomenten: wanneer is er een risico, wanneer is het ernstig, en wanneer is melden verplicht. Dit moet aantoonbaar zijn. Ook als je besluit niet te melden, leg je de toelichting en beoordeling vast. Dat is essentieel bij toezicht of als de autoriteit later vragen stelt.

Doorgifte naar derde landen en internationale organisaties

Veel HR-tools werken met subverwerkers of hosting buiten Nederland. Doorgifte naar derde landen buiten de Europese Unie, of verwerking door internationale organisaties, vraagt extra documentatie. Leg vast waar data staat, welke verwerker betrokken is, en op welke basis doorgifte plaatsvindt. Denk aan contractuele afspraken, passende waarborgen en inzicht in subverwerkers. Dit is geen formaliteit: de AP kan specifiek vragen naar doorgifte en de gebruikte mechanismen.

Neem in het verwerkingsregister expliciet op:

• of er doorgifte is naar derde landen
• welke internationale organisaties of leveranciers betrokken zijn
• welke waarborgen gelden en welke maatregelen zijn getroffen

Rechten van betrokkenen: leg verzoeken en afhandeling vast

Betrokkenen hebben rechten onder de AVG, zoals inzage, correctie, verwijdering, beperking en dataportabiliteit. In HR kan een werknemer of kandidaat een verzoek doen om gegevens op te vragen, te laten aanpassen of te laten verwijderen. Je moet kunnen aantonen dat je een verzoek tijdig en zorgvuldig afhandelt. Leg dus vast wanneer het verzoek binnenkwam, welke identificeren-stappen je hebt gedaan, welke informatie je hebt verstrekt, en wat je besluit was.

Dit geldt ook voor uitzonderingen: soms hoef je niet alles te verstrekken, of mag je niet verwijderen vanwege een wettelijke plicht. Ook dat moet vastgelegd zijn, inclusief de grond en de omstandigheden. Daarmee laat je zien dat je zorgvuldig handelt in overeenstemming met wet en regelgeving.

Functionaris gegevensbescherming, vertegenwoordiger en contactgegevens

Afhankelijk van je organisatie en verwerkingen kan een functionaris voor gegevensbescherming nodig zijn. Ook als het niet verplicht is, kan het verstandig zijn om een interne verantwoordelijke aan te wijzen voor privacy en gegevensbescherming. Leg contactgegevens vast zodat betrokkenen en de toezichthouder weten waar ze terechtkunnen. Als je organisatie buiten de EU gevestigd is maar in de Europese Unie actief is, kan een vertegenwoordiger verplicht zijn; ook dat moet in je documentatie terugkomen.

Zorg dat in je privacydocumentatie duidelijk staat:

• naam en contactgegevens van de functionaris of privacycontact
• wie intern verantwoordelijk is voor uitvoering en beheer van procedures
• hoe escalatie werkt richting management en manager

Van wet bescherming persoonsgegevens naar AVG: wat verandert in de praktijk?

Voor wie al langer meedraait: onder de wet bescherming persoonsgegevens lag de nadruk vaker op algemene compliance. Onder de algemene verordening gegevensbescherming is het beginsel van accountability sterker: je moet aantonen wat je doet. Het artikel over het register, de meldplicht bij datalekken en de nadruk op technische en organisatorische maatregelen maken dat documentatieplicht zwaarder weegt. In praktijk betekent dit: minder ad hoc, meer structureel bijhouden en periodiek controleren.

Veel organisaties werken nog met losse documenten in mappen, of met diverse tools zonder overzicht. Dat maakt het lastig om je verwerkingsactiviteiten consistent te beschrijven en actueel te houden. Een centrale HR-aanpak helpt dan enorm, zeker als je wilt voorkomen dat gegevens versnipperd raken of te lang blijven staan.

Documentatieplicht in HR werkbaar maken: een praktische aanpak

Documentatieplicht klinkt soms als extra administratie, maar met een slimme inrichting wordt het onderdeel van je standaard HR-processen. Begin met het in kaart brengen van alle verwerkingen, bepaal per verwerking de verantwoordelijke en verwerker, en leg de beschrijving vast in een verwerkingsregister. Daarna voeg je procedures toe voor meldplicht, verzoeken van betrokkenen, en periodieke evaluatie. Maak afspraken met bewerkers, leg ze vast in een overeenkomst en check of subverwerkers bekend zijn.

Een praktische checklist die vaak werkt:

• Breng HR-verwerkingsactiviteiten in kaart en maak één register
• Leg per verwerking verwerkingsdoeleinden, categorieën gegevens en betrokkenen vast
• Documenteer technische en organisatorische beveiligingsmaatregelen
• Maak een meldplicht-procedure voor datalekken, inclusief interne melding
• Leg processen vast voor rechten van de betrokkene en verzoek-afhandeling
• Plan periodieke review, zeker na wijziging of nieuwe tools

Wil je dat HR-documentatie niet verspreid raakt, dan helpt het om personeelsgegevens centraal te beheren en processen te standaardiseren. Een Digitaal personeelsdossier kan daarbij ondersteunen, doordat je informatie, autorisaties en vastlegging op één plek organiseert. Dat maakt het eenvoudiger om aan te tonen wat er gebeurt, wie toegang heeft en welke gegevens waar staan.

Wat kan er gebeuren als je het niet op orde hebt?

Als je documentatieplicht niet op orde is, loop je meerdere risico’s. Je kunt tekortschieten bij een verzoek van een betrokkene, bij een controle door de Autoriteit Persoonsgegevens of bij een incident met datalekken. Zonder goede documentatie is het lastig om aan te tonen dat je voldoet aan de AVG en dat je bescherming en beveiliging passend zijn. In ernstige gevallen kan er een boete verschuldigd zijn. Los daarvan is de reputatieschade vaak groot, zeker als werknemers het gevoel krijgen dat hun privacy en persoonlijke levenssfeer onvoldoende worden beschermd.

Het doel is dus niet “paperwork om het paperwork”, maar grip op gegevensbescherming. Als je het goed doet, helpt het je ook intern: duidelijkheid over rollen, minder fouten, sneller reageren bij incidenten en betere ondersteuning voor managers en HR bij dagelijkse vragen.

Veelgestelde vragen over documentatieplicht

Wat betekent documentatieplicht voor HR in één zin?

Documentatieplicht betekent dat HR moet kunnen aantonen welke persoonsgegevens verwerkt worden, waarom dat noodzakelijk is, hoe de verwerking is beveiligd en hoe rechten van betrokkenen worden gerespecteerd volgens de AVG en de algemene verordening gegevensbescherming.

Is een verwerkingsregister verplicht voor iedere organisatie?

In veel gevallen is een verwerkingsregister verplicht, zeker als verwerkingen niet incidenteel zijn, als je bijzondere categorieën gegevens verwerkt of als de verwerking een risico kan vormen voor betrokkenen; HR-verwerkingen zijn in de praktijk zelden puur incidenteel, waardoor het register doorgaans nodig is.

Welke HR-gegevens vallen onder persoonsgegevens?

Onder persoonsgegevens vallen onder andere naam, contactgegevens, personeelsnummer, salaris, verlof, beoordelingen, verzuimgegevens en alle informatie die direct of indirect een persoon kan identificeren; in een voorkomend geval kunnen ook strafrechtelijke gegevens onderdeel zijn van HR-dossiers.

Wat moet ik vastleggen rond datalekken en meldplicht?

Je legt iedere melding van een mogelijk datalek vast, je beoordeling van het risico, of melden aan de toezichthouder en betrokkenen verplicht is, welke maatregelen je hebt genomen en welke lessen zijn geleerd, zodat naleving aantoonbaar is richting de Autoriteit Persoonsgegevens.

Hoe verhouden verwerkingsverantwoordelijke en verwerker zich tot elkaar?

De verwerkingsverantwoordelijke bepaalt doelen en middelen van gegevensverwerking, terwijl de verwerker namens de organisatie persoonsgegevens verwerkt; je legt dit vast in een overeenkomst, inclusief technische en organisatorische maatregelen, zodat verantwoordelijkheid duidelijk is en controle mogelijk blijft.

Wat als onze HR-software data verwerkt in derde landen of via internationale organisaties?

Dan moet je in je documentatie en verwerkingsregister vastleggen dat er doorgifte is naar derde landen of verwerking via internationale organisaties, welke waarborgen gelden en welke maatregelen zijn getroffen om gegevensbescherming en bescherming persoonsgegevens te borgen.

Wanneer is een gegevensbeschermingseffectbeoordeling nodig?

Een gegevensbeschermingseffectbeoordeling is nodig als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, bijvoorbeeld bij grootschalige monitoring, gevoelige data of systematische profilering, en je legt de uitkomst en acties vast als onderdeel van je documentatieplicht.