Ook in de salarisadministratie kunt u niet om de Algemene verordening gegevensbescherming (AVG) heen. Uw salarispakket moet voldoen aan de eisen die de AVG sinds 25 mei 2018 aan de verwerking van persoonsgegevens stelt. Zo moeten werknemers het recht hebben om de persoonsgegevens in te zien die uw organisatie van hen heeft verwerkt. Dat moet uw systeem onder de motorkap wel kunnen regelen.
Dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens, geeft werknemers het recht om de persoonsgegevens te ontvangen die uw organisatie van hen heeft. Dat gaat dus duidelijk verder dan alleen maar inzien.
De Autoriteit Persoonsgegevens meldt over dataportabiliteit onder meer dat betrokkenen de betreffende gegevens zelf moeten kunnen opslaan voor persoonlijk gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie.
Dataportabiliteit is ook van toepassing op salarissoftware en iets waar leveranciers van zulke software dus rekening mee moeten houden. De volgende functies zijn essentieel voor de ondersteuning van de AVG door salarissoftware:
Voor het uitwisselen van gegevens met uitvoeringsinstanties, zoals de Belastingdienst en pensioenfondsen, wordt al langer gebruik gemaakt van webservices, waar api’s feitelijk deel van uitmaken. Digipoort van de overheid, waarmee loonaangiftes aan de Belastingdienst uitgewisseld worden, is daar een goed voorbeeld van.
Ook in relatie tot de werkkostenregeling kan api-techniek uitkomst bieden. In de ideale situatie is er sprake van een functie of module ‘WKR’ die ondersteund wordt door zowel de boekhouding als de salarisadministratie.
Anders bent u aangewezen op het apart bijhouden van gegevens, en dat is verre van efficiënt. Er zijn nu eenmaal kosten die werknemergebonden zijn en zullen blijken uit de salarisadministratie en kosten die werknemeroverstijgend zijn (zoals een personeelsfeest) en die blijken uit de boekhouding. Door middel van api-techniek kunnen gegevens voor de werkkostenregeling automatisch uitgewisseld worden tussen salaris- en boekhoudsoftware.
Ook leveranciers van salarissoftware spelen steeds meer in op het gebruik van api’s, zoals voor de eerdergenoemde mogelijkheden. En ook als het gaat om real-time koppelingen tussen salarissoftware en software voor tijdregistratie, urenregistratie, personeelsadministratie, verzuimregistratie of zelfs branchespecifieke software, zoals het plannen van personeel in de gezondheidszorg of kinderopvang.
Het zal duidelijk zijn dat bij het gebruik van api-techniek ook rekening gehouden moet worden met de AVG. Enerzijds wat betreft de gegevens die uitgewisseld worden en anderzijds wat betreft het tijdig verwijderen van persoonsgegevens in de verschillende systemen. Autorisatie, authenticatie en beveiliging vervullen dan ook een sleutelrol als het gaat om het werken met api’s.
Tien tot vijftien jaar geleden was het sturen van loonstroken en jaaropgaves per e-mail nog een bijzondere functionaliteit van salarissoftware. Het lijkt er nu op dat de invoering van de AVG het laatste duwtje is geweest om loonstroken en jaaropgaves juist niet meer per e-mail te versturen aan werknemers. Er komt namelijk heel wat bij kijken om deze gegevens – met inachtneming van de privacyregels – via e-mail te versturen.
Om gegevens vanuit het salarispakket veilig te versturen, moet het e-mailverkeer in elk geval met moderne internetstandaard(en) worden versleuteld. Bijvoorbeeld via beveiligingstechnieken of STARTTLS, Pretty Good Privacy (PGP) of DMARC. Steeds vaker kiezen organisaties ervoor om vertrouwelijke gegevens niet meer per mail te communiceren, maar bijvoorbeeld voor werknemers beschikbaar te maken in een beveiligde portal.