Meer blogs


Naar archief >

Delen

U bevindt zich hier: Trending > Blog > Werkgever: AVG voor loonadministratie

Werkgever: AVG voor loonadministratie

De Wet bescherming persoonsgegevens (Wbp) is vanaf mei 2018 vervangen door de Algemene verordening gegevensbescherming (AVG). Deze privacywet heeft duidelijke regels over de verwerking van persoonsgegevens. Wat betekent dit voor werkgevers? Wat zijn de gevolgen voor de loonadministratie? En hoe kun je de privacy waarborgen? In deze blog hebben wij een aantal gevolgen op een rij gezet.

AVG: meer privacy en verantwoordelijkheden
De AVG betekent meer verantwoordelijkheden voor organisaties en meer rechten voor werknemers (maar ook sollicitanten) omtrent de privacy van hun gegevens. Zoals het recht om hun gegevens in te zien of het recht om vergeten te worden. Als werkgever ben je verantwoordelijk voor gegevensbescherming tijdens de gegevensverwerking en de beveiliging hiervan. Ook heb je een verantwoordingsplicht: dit betekent dat je met documenten moet kunnen aantonen dat je de juiste organisatorische- en technische maatregelen hebt getroffen. Dit geef je weer in een register van verwerkingsactiviteiten.

Wanneer je de AVG niet naleeft, heb je kans op een flinke boete voor het schenden van beveiligingsregels rond de verwerking van persoonsgegevens of een datalek. Het is dus belangrijk om de AVG goed toe te passen.

Hoe pas je dit toe in de praktijk?
We hebben een aantal aandachtspunten in de praktijk voor je opgesomd:

  • Wat mag je vastleggen?
    Als werkgever mag je uitsluitend gegevens opnemen die noodzakelijk zijn voor het doel van het personeelsdossier. Ga dus zorgvuldig om met persoonsgegevens. Er geldt een doelbindingsbelang. Vraag je dus bij elk gegeven af of het echt noodzakelijk is om dit gegeven te registreren. Is het doel er niet, dan mag je het niet registreren. Naar de Arbodienst mag je bijvoorbeeld het BSN niet communiceren. Voor de salarisheffing is het wel noodzakelijk. Let op: je mag het BSN ook niet als personeelsnummer gebruiken!
  • Bewaartermijnen persoonsgegevens
    Sommige gegevens zijn voor een bepaalde periode wettelijk verplicht om te bewaren, bijvoorbeeld vanwege de fiscale bewaarplicht. Na deze bewaartermijn moeten deze gegevens direct vernietigd worden. Overige documenten mag je over het algemeen 2 jaar bewaren. Zijn de documenten al eerder niet meer nodig? Verwijder ze dan direct. Bepaal van te voren hoelang je de persoonsgegevens bewaart en neem de bewaartermijnen op in je verwerkingsregister. Medewerkers van wie je gegevens verwerkt, moet je informeren over de bewaartermijnen. Dat kan via een privacyverklaring.
  • Loonstroken
    Vanuit de AVG moet je zorgen voor een adequate beveiliging. E-mail is in principe geen veilig medium. Het verspreiden van loonstroken per e-mail is alleen acceptabel als de wederpartij daar zelf om vraagt. De werknemer moet hier uitdrukkelijk mee ingestemd hebben (in een arbeidsovereenkomst of later). Er zijn tegenwoordig veel betere alternatieven, zoals encryptie of een beveiligde portaal. Zie ook onze blog over loonstroken per e-mail.
  • Strengere eisen toestemming
    De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Je moet kunnen aantonen dat je medewerkers geldige toestemming hebben verleend om hun persoonsgegevens te verwerken.
  • Recht op vergetelheid
    Een werknemer of sollicitant heeft het recht dat persoonsgegevens vergeten worden. Bijvoorbeeld wanneer gegevens niet meer nodig zijn, bij onrechtmatige verwerking, als de werknemer zijn toestemming intrekt voor het gebruik van zijn gegevens of bezwaar maakt tegen de verwerking. Of als de werknemer jonger is dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.
  • Registratie toegang persoonsgegevens
    Onder de AVG moet je registreren wie toegang had tot de persoonsgegevens die je verwerkt. Verder moet je betrokkenen, waaronder je eigen personeel, informeren over wie hun gegevens heeft gezien als zij daarom vragen.
  • Functionaris voor Gegevensbescherming
    Een functionaris benoemen is verplicht voor overheidsinstanties, publieke organisaties, organisaties met als kernactiviteit het grootschalig volgen van individuen en organisaties die als kernactiviteit grootschalig bijzondere persoonsgegevens verwerken. Het is ook een aanrader als het niet verplicht is. Je hebt dan een aanspreekpunt voor gegevensbescherming.
  • Let op bij datakoppeling en cloud
    Als de salarisadministratie in de cloud wordt gevoerd, dan is het extra opletten. Het is verboden om zaken te doen met partijen die onvoldoende waarborgen bieden voor de bescherming van de salarisgegevens. Wees op de hoogte hoe je service provider met de gegevens omgaat, van je rechten en plichten en de maatregelen die je moet nemen.

Kortom
Als werkgever ben je altijd al met vertrouwelijke gegevens bezig. Dit is met de AVG nog strenger. Het vereist soms ook een andere manier van werken. In de praktijk zijn er nog veel werkgevers die loonstroken mailen, dit is eigenlijk niet veilig. Wees ook strikt op de naleving van bewaartermijnen. Stel bijvoorbeeld een herinnering in om documenten te verwijderen, zodat je dit niet vergeet. Denk bij de implementatie van de AVG aan het waarborgen van de verschillende fasen die werknemers doorlopen en de bijbehorende werkzaamheden. Zoals sollicitatie, indiensttreding en vertrek. In deze cyclus heb je te maken met salarisverwerking, onkosten,- uren,- verlof en verzuimadministratie, training, functionerings- en beoordelingsgesprekken. Overal pas je de AVG toe.

Wil je weten of je aan alle stappen voldoet?
Bekijk de AVG regelhulp van de RVO of stel je vraag aan Patricia ter Haar van ONS.

Over de auteur:
Patricia ter Haar is beloningsadviseur bij ONS en adviseert werkgevers bij hun werknemersbeleid. Zij ondersteunt en adviseert bijvoorbeeld bij personeelsaanname, arbeidsovereenkomsten, personeelsverzekeringen, beoordelings- en functioneringsformulieren, wet- en regelgeving, kostenvergoedingen, verplichtingen bij ziekte van werknemers, aanvraag van WGA/WIA uitkering en ontslagaanvragen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *