Skip to content
Hoe GDPRWise Werkt calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

Personeelsprivacybeleid: Wat je Werknemers Moet Vertellen

Als werkgever verwerk je veel persoonsgegevens van je personeel. De GDPR verplicht je om werknemers te informeren over wat je verwerkt en waarom. Dit artikel legt uit wat een personeelsprivacybeleid moet bevatten en wanneer je het moet overhandigen.

summarize Kernpunten
  • check_circle Een personeelsprivacybeleid is verplicht en staat los van je website-privacyverklaring
  • check_circle Overhandig het beleid bij indiensttreding, idealiter als bijlage bij het arbeidscontract
  • check_circle Beschrijf alle verwerkingen: salarisadministratie, HR-dossiers, camerabewaking, GPS-tracking, ziekteverzuim en badges
  • check_circle GDPRWise genereert een personeelsprivacybeleid automatisch op basis van je personeelsdossier

Waarom een apart personeelsprivacybeleid?

De meeste bedrijven hebben een privacyverklaring op hun website. Die is gericht op klanten en websitebezoekers. Maar als werkgever verwerk je ook veel persoonsgegevens van je eigen personeel, en de GDPR (ook wel AVG genoemd) vereist dat je hen daar net zo goed over informeert.

Het is belangrijk om te beseffen dat de persoonsgegevens die je over personeel verzamelt vaak veel gedetailleerder en gevoeliger zijn dan wat je over klanten verzamelt. Denk aan salarisinformatie, gezinssamenstelling, pensioengegevens, beoordelingsgesprekken, ziekteverzuim, disciplinaire dossiers en biometrische gegevens zoals vingerafdrukken voor toegangscontrole. Dat maakt het personeelsprivacybeleid niet zomaar een formaliteit voor compliance, maar een oprecht belangrijk document voor je team.

Een personeelsprivacybeleid (ook wel intern privacybeleid of employee privacy policy genoemd) is het document waarmee je dat doet. Het staat volledig los van je website-privacyverklaring en richt zich specifiek op de verwerkingen die te maken hebben met de arbeidsrelatie.

Wanneer overhandigen?

Het juiste moment is bij indiensttreding. Voeg het personeelsprivacybeleid toe als bijlage bij het arbeidscontract. Zo weet de werknemer van het begin af aan welke gegevens je verwerkt, waarom, en welke rechten hij of zij heeft.

Pas je het beleid later aan, bijvoorbeeld omdat je camerabewaking introduceert of een nieuw HR-systeem in gebruik neemt? Dan moet je alle werknemers opnieuw informeren over de wijziging.

Wat moet erin staan?

Een personeelsprivacybeleid bevat in grote lijnen dezelfde onderdelen als een website-privacyverklaring, maar dan toegespitst op de arbeidsrelatie.

1. Wie is de verwerkingsverantwoordelijke?

Je bedrijfsnaam, adres en contactgegevens. Als je een Functionaris Gegevensbescherming (DPO) hebt, vermeld ook diens contactgegevens.

2. Welke gegevens verwerk je?

Hier moet je specifiek zijn. Als werkgever verwerk je doorgaans:

  • Identificatiegegevens: naam, adres, geboortedatum, rijksregisternummer / BSN
  • Salarisadministratie: bankgegevens, loonfiches, belastinggegevens
  • HR-dossiers: arbeidscontract, evaluaties, opleidingen, waarschuwingen
  • Ziekteverzuim: ziekmeldingen, duur van afwezigheid (let op: je mag geen medische details registreren)
  • Toegangscontrole en badges: wie wanneer het gebouw betreedt of verlaat
  • Camerabewaking: als je camera’s hebt op de werkplek
  • GPS-tracking: als je locatiegegevens van bedrijfsvoertuigen bijhoudt
  • IT-gebruik: loggegevens, e-mailgebruik, internetgebruik (als je dit monitort)

3. Waarvoor verwerk je de gegevens?

Per categorie gegevens het doel. Voorbeelden:

  • Salarisadministratie: uitvoering van de arbeidsovereenkomst en wettelijke verplichtingen
  • Camerabewaking: beveiliging van eigendommen en veiligheid van werknemers
  • GPS-tracking: routeplanning en efficientiebeheer
  • Badges: toegangscontrole en naleving van arbeidstijdenwetgeving

4. Op welke rechtsgrond verwerk je?

De meest gebruikte grondslagen voor personeelsgegevens:

  • Uitvoering van de arbeidsovereenkomst (salaris, contractbeheer)
  • Wettelijke verplichting (belastingaangifte, sociale zekerheid)
  • Gerechtvaardigd belang (camerabewaking, IT-beveiliging)

Toestemming is bijna nooit geschikt in een werkrelatie, omdat een werknemer niet echt “vrij” kan weigeren.

5. Met wie deel je de gegevens?

Vermeld alle partijen die toegang hebben:

  • Sociaal secretariaat of salarisverwerker
  • Arbodienst / externe preventiedienst
  • Verzekeraar
  • IT-leveranciers met toegang tot HR-systemen
  • Overheidsinstanties (belastingdienst, RSZ/UWV)

6. Bewaartermijnen

Beschrijf per type gegeven hoe lang je het bewaart:

  • Salarisgegevens: wettelijke bewaarplicht van 7 jaar
  • Personeelsdossier: tot 5 jaar na einde dienstverband
  • Camerabeelden: maximaal 1 maand (tenzij er een incident is)
  • GPS-gegevens: enkele weken, afhankelijk van het doel

7. Rechten van werknemers

Werknemers hebben dezelfde rechten als andere betrokkenen: inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar. Vermeld hoe ze deze rechten kunnen uitoefenen en bij wie ze terecht kunnen.

Hoe GDPRWise dit voor je regelt

Wanneer je in GDPRWise het personeelsdossier doorloopt, worden vragen gesteld over je HR-processen, camerabewaking, GPS-tracking en IT-beleid. Op basis van je antwoorden genereert GDPRWise automatisch een personeelsprivacybeleid dat je als bijlage bij het arbeidscontract kunt voegen.

Wijzigt je situatie? Werk je antwoorden bij en het document wordt automatisch bijgewerkt.

auto_awesome Personeelsprivacybeleid automatisch genereren?

GDPRWise stelt gerichte vragen over je HR-verwerkingen en genereert automatisch een personeelsprivacybeleid. Klaar om als bijlage bij het arbeidscontract te voegen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.