Regelgeving

AVG en toegangsregistratie van medewerkers

Toegangscontrolesystemen registreren wanneer medewerkers een gebouw of ruimte betreden. Deze registratie is een verwerking van persoonsgegevens onder de AVG. Facility managers moeten weten welke juridische grondslag van toepassing is, hoe lang gegevens bewaard mogen worden en welke rechten medewerkers hebben.

Nederlandse context

De Autoriteit Persoonsgegevens (AP) beschouwt toegangsloggegevens als persoonsgegevens wanneer ze herleidbaar zijn tot een individu. De grondslag is doorgaans het gerechtvaardigd belang van de werkgever (artikel 6 lid 1 sub f AVG). De AP adviseert een bewaartermijn van maximaal vier weken voor reguliere toegangsloggegevens, tenzij een langer bewaartermijn noodzakelijk is voor specifieke beveiligingsdoeleinden.

Kernbegrippen

Verwerkingsgrondslag: De juridische basis voor het verwerken van persoonsgegevens. Voor toegangsregistratie is dit doorgaans het gerechtvaardigd belang van de werkgever bij gebouwbeveiliging.
Verwerkingsregister: Verplichte administratie waarin de organisatie alle verwerkingen van persoonsgegevens documenteert, inclusief doel, grondslag en bewaartermijn.
Bewaartermijn: De maximale periode dat toegangsloggegevens bewaard worden. Na afloop moeten gegevens worden verwijderd of geanonimiseerd.
Recht op inzage: Het recht van een medewerker om te weten welke toegangsgegevens over hem of haar zijn geregistreerd en voor welk doel.
Doelbinding: Het AVG-principe dat persoonsgegevens alleen mogen worden gebruikt voor het doel waarvoor ze zijn verzameld — toegangsbeveiliging, niet werknemersprestatie.

Wat de wet vereist

De verwerking van toegangsgegevens vereist een rechtmatige grondslag. In de meeste gevallen is dit het gerechtvaardigd belang van de werkgever bij het beveiligen van gebouwen, eigendommen en personen. U moet een belangenafweging maken: het beveiligingsbelang van de organisatie weegt zwaarder dan het privacybelang van de medewerker, mits de verwerking proportioneel is.

Documenteer de verwerking in het verwerkingsregister van de organisatie. Vermeld het doel (gebouwbeveiliging), de categorieën gegevens (naam/pasnummer, locatie, tijdstempel), de ontvangers (beveiligingsdienst, IT-afdeling), de bewaartermijn en de beveiligingsmaatregelen. Stel een maximale bewaartermijn vast — vier weken is gangbaar voor reguliere loggegevens. Bij beveiligingsincidenten kan een langere bewaring gerechtvaardigd zijn, maar documenteer de reden.

Informeer medewerkers actief over de toegangsregistratie. Dit kan via het privacyreglement, het personeelshandboek of een specifiek informatieblad. Vermeld welke gegevens worden verzameld, waarvoor ze worden gebruikt, wie er toegang toe heeft en hoe lang ze bewaard blijven. Medewerkers hebben recht op inzage in hun eigen toegangsgegevens. Gebruik toegangsdata nooit voor doeleinden buiten beveiliging — het monitoren van werktijden of prestaties via toegangsloggegevens is niet toegestaan zonder aanvullende grondslag.

Verwante onderwerpen

Volg het laatste nieuws over dit onderwerp via Toegangscontrole op FM Radar →