AVG en het versturen van loonstroken via de mail

17 juli 2020

Het is bijna zover: op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG raakt iedereen en daarom dient zich nu een belangrijke vraag aan: zijn alle organisaties er wel klaar voor?

De AVG werd twee jaar geleden aangekondigd en dat was meteen ook de periode die men kreeg om aan de nieuwe wetgeving te wennen. Dit is vergelijkbaar met de aanloopperiode van de Werkkostenregeling (WKR). Toen die regeling werd ingevoerd, zijn veel organisaties op het allerlaatste moment ingestapt en dat lijkt nu weer het geval te zijn.
In grote lijnen is het belang van de AVG wel duidelijk. Op deze manier kunnen de persoonlijke gegevens van betrokkenen namelijk beter beschermd worden. Maar als je wat verder de diepte ingaat, loop je tegen allerlei problemen aan. Een voorbeeld: het versturen van loonstroken via de mail.

Op basis van wetgeving is een werkgever verplicht iedere loonperiode aan de werknemer een loonstrook te verstrekken. Een uitzondering daarop is dat het niet hoeft wanneer er geen wijzigingen zijn ten opzichte van de maand ervoor. Al geruime tijd ontvangt de werknemer bij veel bedrijven de loonstrook als bijlage in zijn mail, maar de vraag is of dat, in het kader van de AVG, nog wel kan. Hoe groot is de kans dat persoonsgegevens, via een datalek, in de verkeerde handen komen? Verandert de AVG daar wel wat aan? Of was de wetgeving al eerder aangepast? Kortom; het roept veel vragen op.

Gelukkig weten wij de antwoorden. De Telecomwet, die op 1 juli 2009 inging, regelt namelijk al heel veel. De AVG gaat, zoals hierboven genoemd, meer over de persoonlijke rechten van de betrokkene. Hiermee doelen we op het geven van toestemming voor de verwerking van persoonlijke gegevens, waarbij het voor de werknemer duidelijk moet zijn waar hij precies toestemming voor geeft. De kans dat de werknemer toestemming geeft, is behoorlijk groot, gezien zijn of haar afhankelijke rol. Als dit het geval is, is er echter geen sprake van vrijwillige toestemming.

Als werkgever mag je niet een algemeen document laten tekenen en er vervolgens vanuit gaan dat je toestemming van je werknemer hebt voor de verwerking van allerlei persoonsgegevens. De AVG verplicht de werkgever om in kaart te brengen waarom en welke persoonsgegevens vastgelegd worden. Ook moet duidelijk worden wat eraan gedaan wordt om die gegevens goed te beveiligen.
Op een salarisstrook staan allerlei (kwetsbare) persoonsgegevens en daarom moet er extra aandacht zijn voor de veilige verwerking. Meesturen in een email zou dus alleen acceptabel zijn als de werknemer daar nadrukkelijk om vraagt of mee instemt. Dat kan via de arbeidsovereenkomst of later in een apart document. Leg duidelijk vast wat wel en wat niet via de mail verzonden mag worden en communiceer dat ook binnen je organisatie.

Een oplossing hiervoor is de salarisstrook via een portal beschikbaar stellen. Dan staat de loonstrook op een beveiligde plek online en is deze te raadplegen wanneer de werknemer dat wil. Let dan wel op een veilig gebruik van wachtwoorden.

Heb je vragen over de salarisverwerking of de AVG? Bij Bentacera maken we tijd!