VERDIEPINGSARTIKEL

Welke invloed heeft de AVG op de loonstrook en het versturen ervan?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Natuurlijk betekent dit ook de nodige aanpassing voor uw routines. Met name dat u meer vooraf moet gaan informeren waarom u al die persoonsgegevens van uw werknemers nodig heeft en dit ook moet vastleggen. Welke invloed heeft de AVG op de loonstrook en het versturen ervan?


12 maart 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online en Dik van Leeuwen, Portfolio Product Owner Wet- en Regelgeving bij ADP Nederland B.V., e-mail: dik.vanleeuwen@ adp.com, www.adp.com


Allereerst is het goed om te weten dat uw onderneming alleen persoonsgegevens mag verwerken als de AVG u daarvoor een grondslag biedt. In AVG-termen heet dit een rechtmatigheid. Er zijn er zes waarvan u als salarisadministrateur er uiteindelijk op drie het meest een beroep kunt doen:

    • U heeft een wettelijke verplichting om persoonsgegevens te verwerken.
    • De betrokkene heeft toestemming gegeven om de persoonsgegevens te verwerken.
    • U heeft een gerechtvaardigd belang en de privacyrechten van de betrokkene wegen niet zwaarder dan uw belang.

Wettelijke verplichting

Logischerwijze beroept u zich het vaakst op de ‘wettelijke verplichting’. In feite voert u het merendeel van uw werk uit omdat er één of meer wettelijke verplichtingen zijn. De loonbelastingwetgeving verplicht u bijvoorbeeld om te beschikken over naam- en adresgegevens, het burgerservicenummer (BSN) en een kopie van een geldig identiteitsbewijs van de werknemers. Ook voor het verstrekken van een loonstrook geldt een wettelijke verplichting. Art. 626 BW schrijft voor dat de werkgever verplicht is om bij elke voldoening van het in geld vastgestelde loon de werknemer een schriftelijke of elektronische opgave te verstrekken van het loonbedrag, van de gespecificeerde bedragen waaruit dit is samengesteld en van de gespecificeerde bedragen die op het loonbedrag zijn ingehouden. Alleen als er niets is veranderd ten opzichte van de vorige betaling, kan die loonstrook achterwege blijven.

Minimumloon

Ook schrijft dit wetsartikel voor dat op de loonstrook het voor de werknemer geldende wettelijke minimumloon moet staan. De werknemer moet immers kunnen controleren of u zich houdt aan de Wet minimumloon en minimumvakantiebijslag (WML). De naam van de werkgever en de werknemer, de termijn waarover het loon is berekend en de overeengekomen arbeidsduur zijn ook verplichte items op de loonstrook. Tegelijkertijd raakt het wetsartikel de grondslag ‘toestemming’. U mag namelijk een elektronische opgave doen (met andere woorden: een digitale loonstrook uitdelen) maar alleen als de werknemer daar uitdrukkelijk mee heeft ingestemd. Dit betekent – net als bij toestemming volgens de AVG – dat er sprake moet zijn van een ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de elektronische loonstrook aanvaardt.

Verwerkingenregister

Vanzelfsprekend gaat u altijd al zeer zorgvuldig met gevoelige persoonsgegevens om. Maar de AVG verplicht u ook om dit meer te verantwoorden. Omdat de verwerkingen van persoonsgegevens voor een salarisadministratie niet incidenteel zijn, moet u een zogenoemd register van verwerkingsactiviteiten aanleggen. In dit verwerkingenegister moet u een algemene omschrijving opnemen van uw technische en organisatorische beveiligingsmaatregelen. Hierin neemt u dus bijvoorbeeld op dat de loonstrook van werknemers beschikbaar wordt gesteld via een portaal.

Actieve handeling

Een ondubbelzinnige actieve handeling kan zijn het plaatsen of verwijderen van een vinkje. Het zomaar elektronisch versturen van de loonstrook mag dus niet. De AVG schrijft voor dat u moet kunnen aantonen dat de betrokkene toestemming heeft gegeven. U moet de verklaring van de werknemers dus ook netjes archiveren. Verder moet de elektronische loonstrook op een manier worden verstrekt die het mogelijk maakt dat de werknemer deze opslaat en later altijd weer kan benaderen.

Beveiliging

Waar het gaat over elektrische loonstroken komt natuurlijk de beveiliging om de hoek kijken. Net als de Wet bescherming persoonsgegevens (WBP) stelt de AVG hier eisen aan. Helaas zijn deze niet zo duidelijk. De AVG schrijft namelijk voor dat u passende technische en organisatorische maatregelen moet nemen om de persoonsgegevens te beschermen tegen verlies of enige andere vorm van onrechtmatige verwerking. Dit is overigens nagenoeg gelijk aan de huidige bepalingen in de WBP; in de kern verandert er dus niet veel. Volgens de uitleg van de Autoriteit Persoonsgegevens (AP) moet u bij het nemen van passende maatregelen rekening houden met de aard van het risico en de stand van de techniek. Bij het nemen van passende beveiligingsmaatregelen kunt u bijvoorbeeld denken aan het afschermen van gegevens die u op de salarisadministratie verwerkt. Autorisaties voor de directory’s op het netwerk waarop deze privacygevoelige gegevens zijn opgeslagen, zijn bijvoorbeeld passende maatregelen. Maar denk ook aan het simpelweg onmogelijk maken dat iemand anders op uw scherm meekijkt als u met persoonsgegevens aan het werk bent. Activeren van een schermbeveiliging met een wachtwoord, voor als u ‘even’ van uw werkplek af bent, draagt ook bij aan een betere beveiliging van de gegevens van de werknemers. Vanzelfsprekend is ook hier een goed wachtwoordbeheer noodzakelijk. Wijzig het wachtwoord regelmatig en maak het niet te makkelijk.

Toegankelijk

Een voorbeeld van een organisatorische maatregel om de persoonsgegevens te beveiligen is dat u de ruimte waar u werkt alleen voor u en uw collega’s toegankelijk maakt. Een fysieke drempel, zoals een balie, zorgt er al voor dat niet iedereen zomaar toegang krijgt. Controleer ook goed of u geen persoonsgegevens of salarisstroken op uw bureau laat slingeren. Zeker niet als u van uw werkplek af bent. Ook de mappen in de kast moet u afschermen tegen ongeoorloofd inzien. Een andere organisatorische maatregel die u kunt nemen is dat elke HR- en salarismedewerker die binnen uw organisatie werkt, een goed gespecificeerde geheimhoudingsplicht tekent.

Zorgvuldig

Al met al zou de AVG geen aardverschuiving in uw dagelijkse werk met zich mee moeten brengen. De AVG kent veel verplichtingen die ook al in de huidige WBP zijn opgenomen. En vanzelfsprekend gaat u nu ook al zorgvuldig om met alle persoonsgegevens die u verwerkt. Het opstellen van het verwerkingenregister (zie ook het kader hierboven) is wel een nieuwe verplichting, maar is in feite niet meer dan het vastleggen van hetgeen u doet. Als u daarmee bezig bent, kan het tegelijkertijd geen kwaad meteen een check te doen of u verder wel aan de andere verplichtingen voldoet. Heeft bijvoorbeeld elke werknemer in uw onderneming toestemming gegeven voor het ontvangen van een digitale loonstrook?

Mag u de loonstrook straks eigenlijk nog wel per mail verspreiden?

Mag uw onderneming – als de Algemene verordening gegevensbescherming (AVG) van kracht is geworden – de salarisstroken eigenlijk nog wel per mail aan werknemers versturen? Op een salarisstrook staan natuurlijk flink wat persoonsgegevens waarmee zeer zorgvuldig moet worden omgegaan.


Elektronische loonstrook

De vraag rijst dan vaak of de werkgever de salarisstrook – en ook andere financiële gegevens die elektronisch worden verstrekt – nog wel mag mailen. Hoewel de regelgeving rond de bescherming van persoonsgegevens het mailen van loonstroken niet expliciet verbiedt, is het wel belangrijk om af te wegen of het per mail verspreiden van dit soort gevoelige gegevens nog wel zo verstandig is. Mailen is immers niet de meest veilige manier van het overbrengen van gegevens.


Beveiligd portaal

Het mailen van de salarisstrook door uw onderneming of de salarisverwerker zou dan ten minste ‘secured’ of ‘encrypted’ moeten gebeuren. Dat betekent dat de ontvanger de gegevens dan alleen maar kan benaderen als hij deze opent met een door hemzelf gekozen wachtwoord. Een betere optie is echter om de salarisstrook klaar te zetten in een beveiligd portaal. Een mail met de simpele mededeling dat de loonstrook weer klaar staat, kan dan natuurlijk wel. Daarbij worden immers geen persoonsgegevens gedeeld. De werknemer logt daarna in met een gebruikersnaam en wachtwoord. Die inloggegevens worden bij aanvang van het dienstverband separaat verstuurd.


Wachtwoordbeheer

Een goed wachtwoordbeheer door de medewerker is dan wel essentieel. Wachtwoorden als ‘Welkom1’ kan inmiddels iedereen raden. Het is wenselijk om eisen te stellen aan het gekozen wachtwoord, bijvoorbeeld dat het in elk geval kleine letters en hoofdletters, cijfers en bijzondere tekens moet bevatten.