VERDIEPINGSARTIKEL

De eisen die de nieuwe privacyregels stellen aan uw salarissoftware

10 oktober 2019 4 minuten Door redactie

Ook in de salarisadministratie kunt u niet om de Algemene verordening gegevensbescherming (AVG) heen. Uw salarispakket moet voldoen aan de eisen die de AVG sinds 25 mei 2018 aan de verwerking van persoonsgegevens stelt. Zo moeten werknemers het recht hebben om de persoonsgegevens in te zien die uw organisatie van hen heeft verwerkt. Dat moet uw systeem onder de motorkap wel kunnen regelen.


Dit verdiepingsartikel is geschreven door Gerard Bottemanne, onderzoeksbureau GBNED


Dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens, geeft werknemers het recht om de persoonsgegevens te ontvangen die uw organisatie van hen heeft. Dat gaat dus duidelijk verder dan alleen maar inzien.

De Autoriteit Persoonsgegevens meldt over dataportabiliteit onder meer dat betrokkenen de betreffende gegevens zelf moeten kunnen opslaan voor persoonlijk gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie.

Salarissoftware

Dataportabiliteit is ook van toepassing op salarissoftware en iets waar leveranciers van zulke software dus rekening mee moeten houden. De volgende functies zijn essentieel voor de ondersteuning van de AVG door salarissoftware:

  1. Overdraagbaarheid van persoonsgegevens
    Werknemers moeten hun persoonsgegevens zelf kunnen opslaan voor persoonlijk (her)gebruik of om door te geven aan een andere organisatie. Uw organisatie is wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken. Dat laatste moet dan wel ondersteund worden door uw salarissoftware.
  2. Automatische verwijdering van overbodige personeelsgegevens
    Voor salarisgegevens geldt de fiscale bewaarplicht van zeven jaar. Maar voor een aantal personeelsgegevens is de verplichte bewaartermijn aanzienlijk korter. Hetzelfde geldt voor verzuimgegevens. Het gaat erom dat het systeem erin voorziet dat digitaal vastgelegde gegevens altijd automatisch verwijderd kunnen worden na afloop van de bewaartermijnen die daar voor gelden, voorafgegaan door een signalering aan de gebruiker.
  3. Ondersteuning bij overzicht verwerkingen
    Uw organisatie moet inzichtelijk maken hoe en welke persoonsgegevens verwerkt worden. Welke persoonsgegevens worden gebruikt, met welk doel, waar worden ze opgeslagen en wie hebben toegang tot die gegevens? Mogelijk kan salarissoftware ondersteuning bieden voor het opstellen van een verwerkingenregister. Denk bijvoorbeeld aan een overzicht welke persoonsgegevens aanwezig zijn in het systeem en met welk doel.
  4. Wachtwoord bij pdf-documenten
    Vaak worden salarisspecificaties of andere documenten met persoonlijke gegevens als bijlage in pdf-formaat per e-mail verzonden of beschikbaar gesteld op een portal (ESS). Pdf’s kunnen dan beveiligd worden met een wachtwoord. De ontvanger moet het wachtwoord kennen om het document te kunnen lezen.

    De vraag is of uw software ondersteuning biedt voor het toekennen van wachtwoorden aan pdf’s. Ook onder de motorkap van uw salarispakket moet de techniek zijn toegerust voor de eisen die de AVG aan de verwerking van persoonsgegevens stelt.

    Application programming interface (Api) is de techniek die softwaresystemen gebruiken om real-time gegevens uit te wisselen. Api’s zijn de tegenhangers van de ouderwetse interfaces, waarbij batches met gegevens via uploads en downloads worden uitgewisseld tussen administratiesystemen.

    Denk aan de situatie waarin op basis van de loonverdeelstaat een financiële boeking (journaalpost) wordt aangeboden aan de boekhoudsoftware. Door gebruik te maken van api-techniek wordt zo’n financiële boeking automatisch vanuit de salarisadministratie doorgezet naar de boekhouding.

Gesynchroniseerde gegevensuitwisseling

Voor het uitwisselen van gegevens met uitvoeringsinstanties, zoals de Belastingdienst en pensioenfondsen, wordt al langer gebruik gemaakt van webservices, waar api’s feitelijk deel van uitmaken. Digipoort van de overheid, waarmee loonaangiftes aan de Belastingdienst uitgewisseld worden, is daar een goed voorbeeld van.

Ook in relatie tot de werkkostenregeling kan api-techniek uitkomst bieden. In de ideale situatie is er sprake van een functie of module ‘WKR’ die ondersteund wordt door zowel de boekhouding als de salarisadministratie.

Anders bent u aangewezen op het apart bijhouden van gegevens, en dat is verre van efficiënt. Er zijn nu eenmaal kosten die werknemergebonden zijn en zullen blijken uit de salarisadministratie en kosten die werknemeroverstijgend zijn (zoals een personeelsfeest) en die blijken uit de boekhouding. Door middel van api-techniek kunnen gegevens voor de werkkostenregeling automatisch uitgewisseld worden tussen salaris- en boekhoudsoftware.

Urenregistratie en personeelsplanning

Ook leveranciers van salarissoftware spelen steeds meer in op het gebruik van api’s, zoals voor de eerdergenoemde mogelijkheden. En ook als het gaat om real-time koppelingen tussen salarissoftware en software voor tijdregistratie, urenregistratie, personeelsadministratie, verzuimregistratie of zelfs branchespecifieke software, zoals het plannen van personeel in de gezondheidszorg of kinderopvang.

Autorisatie en beveiliging

Het zal duidelijk zijn dat bij het gebruik van api-techniek ook rekening gehouden moet worden met de AVG. Enerzijds wat betreft de gegevens die uitgewisseld worden en anderzijds wat betreft het tijdig verwijderen van persoonsgegevens in de verschillende systemen. Autorisatie, authenticatie en beveiliging vervullen dan ook een sleutelrol als het gaat om het werken met api’s.

Sleutel tot de salarisstrook

Tien tot vijftien jaar geleden was het sturen van loonstroken en jaaropgaves per e-mail nog een bijzondere functionaliteit van salarissoftware. Het lijkt er nu op dat de invoering van de AVG het laatste duwtje is geweest om loonstroken en jaaropgaves juist niet meer per e-mail te versturen aan werknemers. Er komt namelijk heel wat bij kijken om deze gegevens – met inachtneming van de privacyregels – via e-mail te versturen.


Versleuteld

Om gegevens vanuit het salarispakket veilig te versturen, moet het e-mailverkeer in elk geval met moderne internetstandaard(en) worden versleuteld. Bijvoorbeeld via beveiligingstechnieken of STARTTLS, Pretty Good Privacy (PGP) of DMARC. Steeds vaker kiezen organisaties ervoor om vertrouwelijke gegevens niet meer per mail te communiceren, maar bijvoorbeeld voor werknemers beschikbaar te maken in een beveiligde portal.