Softwarepakketten.nl

Wiki Salaris- en HRM-software

Wiki Salaris- en HRM-software > Specifieke onderwerpen salaris- en HR-systemen

AVG, privacy en salaris- en HR-systemen

Sinds 1 januari 2016 bent u verplicht om een (ernstig) datalek direct te melden aan de Autoriteit Persoonsgegevens, voorheen College bescherming persoonsgegevens (CBP). Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Maar wat verstaan we eigenlijk onder een datalek? Als er alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. In het laatste geval hoeft geen melding gedaan te worden aan de Autoriteit Persoonsgegevens (bron: De IT-Jurist).

 

We hebben in de praktijk al langer te maken met de “Wet bescherming persoonsgegevens” (Wbp), de Nederlandse uitwerking van een EU-privacyrichtlijn uit 1995. De Wbp geeft betrokkenen (degenen van wie persoonsgegevens worden verwerkt) een aantal rechten. Zoals het verzoeken om inzage, correctie of zelfs verwijdering van hun persoonsgegevens bij organisaties.

De Algemene verordening gegevensbescherming (AVG) is de Nederlandse implementatie van de General Data Protection Regulation (GDPR) en is op 25 mei 2018 in werking getreden en vervangt de hiervoor genoemde EU-privacyrichtlijn uit 1995. De Wbp komt dan ook te vervallen, net als nationale privacywetten van de andere EU-lidstaten.

De AVG voegt een nieuw recht toe voor personen, te weten: het recht op dataportabiliteit. Oftewel overdraagbaarheid van persoonsgegevens. Dit laatste geeft betrokkenen het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Dat gaat dus duidelijk verder dan alleen maar inzien.

En heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Dan zijn u en de verwerker volgens de AVG verplicht om een aantal onderwerpen vast te leggen in een schriftelijke “verwerkersovereenkomst” (conform artikel 28, lid 3 van de AVG). Geheimhouding en beveiliging spelen hierbij een belangrijke rol. En de al bestaande meldplicht datalekken is binnen de AVG nog wat verder aangescherpt.

Een organisatie moet ook inzichtelijk maken hoe en welke persoonsgegevens verwerkt worden. Welke persoonsgegevens worden gebruikt, met welk doel, waar worden ze opgeslagen en wie hebben toegang tot die gegevens. Mogelijk kan salaris- en/of HRM-software ondersteuning bieden voor het opstellen van een “overzicht verwerkingen”. Denk bijvoorbeeld aan een overzicht welke persoonsgegevens aanwezig zijn in het systeem en met welk doel.

Dataportabiliteit
De Autoriteit Persoonsgegevens meldt over dataportabiliteit onder meer het volgende:
Betrokkenen moeten betreffende gegevens zelf kunnen opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. Bijvoorbeeld als ze willen overstappen naar een andere telecomprovider of als ze een dienst van een andere organisatie willen gebruiken, zoals een online huishoudboekje. De organisatie die de gegevens verstrekt, mag betrokkenen hierin niet tegenwerken.

Het gaat bij dataportabiliteit uitsluitend om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

Er moet voor gezorgd worden dat de betrokkenen hun gegevens makkelijk kunnen krijgen en doorgeven. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine-leesbaar formaat te verstrekken.

Overzetten per medewerker
Uit bovenstaande kunnen we afleiden dat dataportabiliteit ook betrekking heeft op gegevens van betrokkenen uit de salaris- en HRM-administratie. Enerzijds voor persoonlijk her)gebruik door de betrokkene, maar anderzijds om gegevens te kunnen doorgeven aan een andere organisatie. Het moet dan mogelijk zijn om gegevens van een betrokkene over te zetten van het ene naar het andere salaris- en/of HRM-softwaresysteem. Dus geen integrale conversie van alle werknemers, maar van een individuele werknemer.

Bewaarplicht
Basisgegevens, waaronder ook de loonadministratie wordt verstaan, moeten in de regel wettelijk zeven jaar bewaard worden. Binnen een redelijke termijn moeten gegevens toegankelijk en controleerbaar zijn. In principe moeten gegevens in hun originele vorm bewaard worden. Ook als de administratie verzorgd wordt door een administratiekantoor of een salaris service bureau vallen de gegevensdragers daarvan, waarop gegevens staan van uw onderneming, onder de wettelijke bewaarplicht.

Let op:
Vanwege de fiscale bewaarplicht moet een werkgever de salarisgegevens van een betrokkene in elk geval zeven jaar bewaren, ook al worden diezelfde gegevens doorgegeven aan een andere organisatie in het kader van het recht op dataportabiliteit.

XML Auditfile Salaris en AVG
Hiervoor (hoofdstuk 2.4 Data-analyse) is de XML Auditfile Salaris aan bod gekomen. De Stuurgroep Auditfiles heeft eind 2017 de vraag gesteld welke gevolgen de AVG heeft voor de (omgang met) Auditfiles. In het verslag van deze stuurgroep is eind 2017 het volgende gemeld:

XAS is na ingelast overleg met Belastingdienst, PWC, Deloitte, ADP, Centric en Unit4 in september AVG-proof gemaakt. De Belastingdienst kan vanuit haar wettelijke taken over alle gegevens beschikken, maar voor de Controle en Advies praktijk, lijkt dit toch anders te liggen. Alhoewel het filteren van privacygevoelige informatie aan de kant van de ontvanger een optie zou kunnen zijn, is het van belang dat dergelijke informatie niet zonder meer wordt aangeboden. Op basis van ‘’Privacy by Design’’ is het verstandig dat bedoelde informatie al wordt gefilterd bij het samenstellen van de Auditfile.

Het is een mogelijkheid om 2 aparte berichten te definiëren. Dan kan ieder bericht tegen een eigen XML-Schema gevalideerd worden. Een andere optie is de gevoelige gegevens die de Controle- en Advies praktijk niet mogen ontvangen, te labelen. Deze meer flexibele en ieder moment uitbreidbare oplossing, heeft op dit moment de voorkeur.

In Bericht Algemeen is aangeven of de Auditfile Salaris wordt aangemaakt voor:

  1. De Belastingdienst;
  2. De Controle- Adviespraktijk.

Expliciet is benoemd welke (persoons)gegevens niet (zonder meer) verstrekt mogen worden aan de Controle- en Adviespraktijk.”

Eigenschappen salaris- en HRM software
In reatie tot salaris- en HRM software kunnen de volgende eigenschappen onderscheiden worden m.b.t. de AVG:

  • Overdraagbaarheid van persoonsgegevens;
    Gegevens door betrokkene zelf kunnen opslaan voor persoonlijk (her)gebruik of om door te geven aan een andere organisatie. Dit in verband met dataportabiliteit, oftewel de overdraagbaarheid van persoonsgegevens. Dit geeft betrokkenen het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Organisaties zijn wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken.
      
  • Persoonsgegevens automatisch verwijderen als ze niet meer nodig zijn;
    Voor salarisgegevens geldt de fiscale bewaarplicht van 7 jaar. Maar voor een aantal HRM-gegevens is verplichte bewaartermijn aanzienlijk korter. En zo ook voor verzuimgegevens. Het gaat erom dat het systeem erin voorziet dat digitaal vastgelegde gegevens automatisch verwijderd kunnen worden na afloop van de bewaartermijnen die daar voor gelden.
       
  • Ondersteuning bij overzicht verwerkingen;
    Een organisatie moet inzichtelijk maken hoe en welke persoonsgegevens verwerkt worden. Welke persoonsgegevens worden gebruikt, met welk doel, waar worden ze opgeslagen en wie hebben toegang tot die gegevens. Mogelijk kan salaris- en/of HRM-software ondersteuning bieden voor het opstellen van een overzicht verwerkingen. Denk bijvoorbeeld aan een overzicht weke persoonsgegevens aanwezig zijn in het systeem en met welk doel.
       
  • Wachtwoord bij PDF-documenten;
    Vaak worden salarisspecificaties als bijlage in PDF-formaat per e-mail verzonden of beschikbaar gesteld op een portal (ESS). PDF-documenten kunnen beveiligd worden door een wachtwoord. De ontvanger moet dan het wachtwoord kennen of betreffende documenten te kunnen lezen. De vraag is of uw softwaresysteem ondersteuning biedt voor het toekennen van wachtwoorden voor PDF-documenten.
       
  • Versleuteling bij e-mailverkeer;
    Deze vraag is van toepassing voor salaris- en HRM-toepassingen waar vanuit de omgeving van de salarissoftware e-mails worden verzonden. Kan het e-mailverkeer tussen mailservers met behulp moderne internetstandaard(en) worden versleuteld. Zoals via STARTTLS, Pretty Good Privacy (PGP) en DMARC (een combinatie van SPF en DKIM). Het gaat te ver om deze, en andere beveiligingstechnieken, hier te behandelen. Wil je er meer over weten? Google dan gewoon even op deze termen. 

Meer informatie over AVG

  1. Autoriteit Persoonsgegevens; uitgebreide informatie over de meldplicht datalekken en de AVG, met in het bijzonder het recht op dataportabiliteit, is te vinden op https://autoriteitpersoonsgegevens.nl.
      
  2. Rapport Meldplicht datalekken: inleiding met een juridisch kader met aandacht voor de Safe Harbor / Privacy Shield actualiteiten. Om u nader te informeren over de Meldplicht datalekken en de ‘Privacy Shield’ die in de plaats in getreden van ‘Safe Harbor’ heeft De IT-Jurist een en ander voor u op een rij te zetten in een overzichtelijk rapport.
       
  3. Blog “Meldplicht datalekken in de GDPR” door De IT-Jurist.
     
  4. De AVG factsheet “Omgaan met gegevens” van de Belastingdienst, te vinden op Belastingdienst in beeld.

 


Thema Salaris- en HRM-software

Met opvragen salaris- en HRM-software, laatste nieuws en artikelen.
Naar Thema Salaris- en HRM-software...
      

Gids Salaris- en HRM-software

De "Gids Salaris- en HRM-software" biedt inzicht in het complete spectrum van toepassingen op het gebied van salaris- en HRM-software. Met inzicht in: 
- Zelfstandige salarissoftware;
- Geïntegreerde salaris- en HRM-software;
- Zelfstandige HRM-software;
- Toepassingen gericht op slechts een of enkele aspecten.
Met ook aandacht voor cloud computing, employee self services (ESS), elektronische gegevensuitwisseling en data-analyse.
Naar opvragen gratis Gids Salaris- en HRM-software...

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.


WIKI suggesties
Suggesties om deze WIKI te verbeteren kunnen gemaild worden aan redactie@softwarepakketten.nl


Onerzoeksbureau GBNED