PDPA en HR-gegevens in Singapore — Wat elke werkgever moet weten
De Singaporese PDPA is ook van toepassing op personeelsgegevens met specifieke regels over NRIC-verzameling, toestemming en bewaring. Praktische gids voor HR-afdelingen.

PDPA en HR-gegevens in Singapore — Wat werkgevers moeten weten
HR beheert de meest gevoelige gegevens
De afdeling Human Resources beheert de meest gevoelige persoonlijke informatie: NRIC-nummers, salarisgegevens, medische dossiers, prestatie-evaluaties en disciplinaire dossiers.
In Singapore regelt de Personal Data Protection Act (PDPA) hoe organisaties persoonsgegevens verzamelen, gebruiken en openbaar maken. Werknemersgegevens zijn evenzeer beschermd.
Hoe PDPA van toepassing is op werknemersgegevens
Veronderstelde toestemming (Deemed Consent) — maar niet onbeperkt
De PDPA voorziet in "veronderstelde toestemming" voor werkgerelateerde doeleinden. Routinematige HR-activiteiten zoals salarisverwerking, CPF-bijdragen of IRAS-belastingaangiften vereisen geen uitdrukkelijke toestemming.
Veronderstelde toestemming is echter geen onbeperkte toelating.
| Activiteit | Veronderstelde toestemming? | Opmerking |
|---|---|---|
| Salarisverwerking | Ja | Standaard werkdoeleinde |
| CPF-bijdragen | Ja | Wettelijk vereist |
| IRAS-belastingaangifte | Ja | Wettelijk vereist |
| Werknemersfoto's voor marketing | Nee | Uitdrukkelijke toestemming vereist |
| Medische info delen met collega's | Nee | Toestemming of wettelijke basis vereist |
NRIC-richtlijnen
Sinds 1 september 2019 zijn NRIC-richtlijnen van kracht.
Wat NIET mag
- Volledige NRIC/FIN-nummers verzamelen zonder wettelijke verplichting
- NRIC als algemene identifier gebruiken
Wat WEL moet
- Alleen de laatste 4 tekens van NRIC verzamelen wanneer gedeeltelijke identificatie volstaat
- Alternatieve identifiers gebruiken (werknemersnummer)
Rechten van werknemers
Werknemers hebben recht op inzage, correctie van onjuiste gegevens en informatie over het gebruik van hun gegevens. Werkgevers moeten binnen 30 dagen reageren.
Gegevensretentie
| Gegevenstype | Aanbevolen bewaartermijn | Reden |
|---|---|---|
| Salarisgegevens | 5-7 jaar na vertrek | IRAS-auditvereisten |
| Belastingdossiers (IR8A) | 5 jaar | IRAS-vereiste |
| CPF-dossiers | 5 jaar | CPF Board-vereiste |
| Medische claims | 1-2 jaar na vertrek | Verzekeringsafrekening |
Veelvoorkomende HR PDPA-schendingen
- Medische informatie delen zonder toestemming
- Zichtbare salarisstroken
- Verkeerde ontvanger — salarisinformatie naar de verkeerde persoon sturen
HR-documenten veilig delen
LOCK.PUB maakt het mogelijk om wachtwoordbeveiligde memo's te maken voor het veilig delen van salarisgegevens, aanbiedingsbrieven of medische documentatie. Gebruik een beveiligde link in plaats van WhatsApp of onbeveiligde e-mail.
Kernpunten
- PDPA geldt voor werknemersgegevens — veronderstelde toestemming is niet onbeperkt
- Stop met het verzamelen van volledige NRICs — verboden sinds september 2019
- Bewaar gegevens niet voor altijd — stel een duidelijk verwijderingsschema op
- Deel gevoelige HR-documenten veilig — gebruik LOCK.PUB
- Train uw HR-team
Gevoelige HR-documenten veilig delen? Probeer LOCK.PUB.
Trefwoorden
Misschien vind je dit ook leuk
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
RGPD (AVG/GDPR) Compliance Gids voor Bedrijven in Frankrijk
Boetes tot 20 miljoen EUR of 4% van de omzet. Praktische RGPD-gids voor bedrijven in Frankrijk: toestemming, DPO, verwerkingsregister, melding datalekken binnen 72 uur, DPIA.
Spaans RGPD & LOPDGDD: gids gegevensbescherming voor bedrijven
Praktische gids voor GDPR/LOPDGDD-compliance voor bedrijven in Spanje. AEPD-handhaving, toestemming, DPO, meldingsplicht en boetes.
Maak nu je met wachtwoord beveiligde link
Maak gratis met een wachtwoord beveiligde links, geheime memo’s en versleutelde chats.
Gratis Beginnen