Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

Een lezer vroeg me:

Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor “adequate” oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een ‘gedwongen’ situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud

42 reacties

    1. Een administratie kantoor wachtwoorden (gebruikt om in bv een Windows omgeving in te loggen) van werknemers geven om salaris PDFs versleutelen lijkt me nogal een veiligheidsrisico. Op mijn werk gebruikt het administratiekantoor een portal beveiligd met unieke inlog naam en een uniek paswoord. (nee, -nog- geen 2-factor authentication).

    2. Hi Marcel, dat betekent dan daar je dat wachtwoord van je werknemers ergens onversleuteld hebt opgeslagen, anders kan je het niet gebruiken om te versleutelen. Lijkt me dat dat helemaal niet door de beugel kan…

    3. Ehhh wat was mijn wachtwoord ook al weer 8 maanden geleden….. Als het goed is roteren wachtwoorden elke x dagen. Dan ga je die pdf van voorheen dus nooit meer open krijgen tenzij je een lijst gaat bijhouden…

      1. Het periodiek roteren van wachtwoorden is inmiddels helemaal geen best practice meer, maar word juist afgeraden door IT security specialisten. De reden hiervoor is dat het bij een gemiddelde gebruiker ertoe leidt dat ze dingen gaan doen als “mijnwachtwoord1” vervangen door “mijnwachtwoord2”, wat de beveiliging juist minder sterk maakt. In plaats daarvan zou je wachtwoord changes af moeten dwingen als er een redelijk vermoeden bestaat dat het wachtwoord gecompromitteerd is.

          1. Ik heb niet direct een mooi rapport voor je, maar de Open Web Application Security Project (OWASP) een bekende autoriteit op het gebied van web security verwijst in deel A2 van de 2017 top 10 naar de volgende policy als voorbeeld van hoe het wel moet. Daar staat vervolgens:

            Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

    1. Moet je de betreffende loonsoftware daar wel aan kunnen koppelen. En dan bedoel ik uiteraard ook dat die software gelijktijdig aan een paar duizend van dat soort omgevingen gekoppeld moet kunnen zijn. Nog naast het probleem dat niet ieder bedrijf een dergelijk iets heeft.

  1. Telfort wil me reguliere facturen al niet mailen e enkel de laatste circa 12 maanden kan ik online inzien. KPN stuurt ze gelukkig wel. Totaal verschillende beleid binnen dezelfde BV. Als consument en werknemer zou ik graag de keus hebben.

    1. Telfort is een dochteronderneming van KPN en mogen dus eigen keuzes maken. Er is dus geen sprake van “binnen dezelfde BV”. Net zoals bijv. dat Dacia een dochteronderneming is van Renault; die maken ook eigen modellen en hebben eigen aanbiedingen en afhandeling van dingen, enz. En datzelfde geldt bijv. ook Hermes, dat een dochteronderneming is van Connexxion.

  2. Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar

    Let op dat salarisstroken vaakveel meer bevatten dan alleen financiele gegevens. Denk aan adres, naam, en BSNnummer! Ook vind ik persoonlijk dat toestemming voor dit soort zaken via een arbeidscontract niet gezien kan worden als “vrij gegeven”. Er is teveel een machtsverhouding daarvoor. Tenslotte vraag ik me af hoeveel bedrijven daadwerkelijk iets kunnen en willen met het intrekken van deze toestemming (wat je recht is). Kan dit uberhaupt als de toestemming deel uitmaakt van een arbeidscontract?

    1. De wet zegt dat het alleen mag met uitdrukkelijke toestemming van de werknemer, en volgens mij kun je die hier wel vrij vragen omdat het om een klein administratief dingetje gaat. Zijn er echt werkgevers die je gaan achterstellen of je vaste contract ontzeggen omdat je je loonstrook op papier wilt? Zou wel heel kleinzerig zijn. Intrekken is ook hierbij een wettelijk recht dus je zult wel moeten, dnek ik.

      1. Eh, ja. Ik werk al 11 jaar voor dezelfde club, en heb al die tijd de loonstroken digitaal (via de werknemersportal) gekregen. Dat was van ver voor de tijd, dat de wet de mogelijkheid had, om loonstroken digitaal te verstrekken.

        Laat ik eens een balletje opwerpen. 🙂

            1. Geldt dat trouwens ook voor uitkeringsspecificaties? Aangezien dat ook een soort “loonstrookje” is. UWV verstrekt die namelijk alleen nog digitaal. Nu heb ik daar niet zo’n moeite mee, maar stel dat ik er wel moeite mee zou hebben, zou ik dan ook een papieren versie kunnen eisen?

  3. Probleem is dat ’toestemming’ van werknemer in beginsel niet kan, omdat deze nooit (althans zo wordt aangenomen) in vrijheid kan zijn gegeven, gezien de ongelijke verhouding tussen werkgever en werknemer…. Wat vind jij hiervan Arnoud?

    Ik zie pas net dat je hier al eerder over schreef. Als advocaat (vooral van werkgevers) ben ik toch voorzichtig voor wat betreft het ’toestemming’ aspect met werknemers, omdat ik zeker niet uitsluit dat werknemers daar een issue van gaan maken. Zodra ik een opinie van AP of de opvolger van de Art.29 werkgroep heb gezien waarin zij vastleggen dat er situaties denkbaar zijn waarbij werkgevers op basis van toestemming persoonsgegevens van werknemers mogen verwerken, zal ik mijn voorzichtigheid wat laten varen….

      1. Punt is ook nog eens dat veel werkgevers werken via een extern loonadministratiekantoor. Als dan de ene werknemer wel toestemming verleent om de loonstroken per e-mail te ontvangen en de andere werknemer weigert, dan moet het loonadministratiekantoor dat wel kunnen verwerken. Nu gebeurt dat vaak nog geautomatiseerd (ik krijg elke maand een mail direct van de salarisadministratie, niet van onze eigen afdeling).

        Bij ons was het bijvoorbeeld zo dat er van de ene op de andere dag de loonstroken via e-mail binnen kwamen, en ik daarvoor per sé mijn privé e-mail adres moest opgeven. Ik heb toen nog om privacy-redenen geprobeerd om te weigeren, maar daar werd niet mee akkoord gegaan.

        Nu is dat natuurlijk een geschil tussen de werkgever en de salarisadministrateur, maar uiteindelijk is het wel de werkgever die aan de eisen moet voldoen.

        Bovendien, wat is er mis met de ouderwetse loonstroken die in een envelop gingen en in de analoge brievenbus van de werknemer belanden?

        1. WAt is er mis: het kost meer. Mar goed, als we daar even overheen stappen:

          Is email onveiliger dan een brief in een postvakje?Ik zou denken van niet. Dus als het ene mag, waarom dan niet het andere?

          Zijn we niet wat aan het overdrijven met die AVG?

          1. Het kost meer, het is slecht voor het milieu (tenzij je gerycycled of FSC-papier en bijbehorende envelop gebruikt, maar dat kost nog veel meer!) en bovendien is inderdaad niet per se veiliger. Het openbreken van brievenbussen is niet zo moeilijk en dan heb je ook nog de postbode die jouw brief kan openen. Plus het kan zoekraken op de sorteerafdeling, de postbode kan je brief verliezen (een kans van 1 op 100.000 of zo, maar het is wel een risicio), de postbode kan het op het verkeerde adres bezorgen… Ik kan nog wel meer argumenten bedenken, dus zo onveilig is e-mail dan nog niet.

      2. Vriend, wil jij een vast contract, dan hier tekenen dan kan ik je loonstrook mailen?

        En dat zeg je onder je blog waarin je linkt naar je eigen antwoord op security.nl waarin je weer linkt naar emerce.nl. En wat lees ik daar :

        Ook genoeg is het bedingen van toestemmen door middel van een standaardzin in het arbeidscontract, aangezien de werknemer daarvoor tekent. Maar deze zin mag niet verstopt zijn in het arbeidsreglement waar een werkgever wellicht naar verwijst in de arbeidsovereenkomst. Dat verstoppen maakt de toestemming niet meer uitdrukkelijk.
        Lijkt mij dat je dan inderdaad de situatie hebt van ‘Vriend, wil jij een (vast) contract, dan hier tekenen dan kan ik je loonstrook mailen’… Waarom trouwens niet gewoon een linkje naar BW 7:626, dat is immers de bron van de regels over het (electronisch) verstrekken van loonstroken.

        1. Nee, dan is het verstopt en niet expliciet. “Uitdrukkelijk” is niet hetzelfde als “vrijwillig”. Dat zijn twee verschillende eisen. Ik vind een bepaling in het arbeidscontract uitdrukkelijk omdat het daar dan gewoon stáát als artikel in een document van 4 pagina’s waar je elke pagina parafreert. Een reglement of personeelshandboek lees je niet, bovendien kan dat wijzigen van tijd tot tijd. Daar ga je dus hooguit impliciet mee akkoord.

          Ik blijf erbij dat ik niet inzie hoe sprake is van dwang. Welke werkgever gaat iemand ontslaan of niet verlengen vanwege dit punt?

          1. Het niet aanbieden van een alternatief (voor internet) is ook dwang, zeker in combinatie met de fiscale verplichtingen van de werkgever en het effect daarvan op de werknemer.

            Via een intranet is anders, getuige de wettelijke bepalingen voor ambtenaren en P-direct. Betreft overigens zeer lezenswaardig materiaal, die parlementaire behandeling

          2. Ik kan mij goed voorstellen dat er zat werkgevers zijn die geen behoefte hebben om het arbeidscontract of de daarbij behorende voorwaarden aan te gaan passen omdat jij het met dit specifieke punt niet eens bent en dus niet wilt tekenen. Dat aanpassen zal, zeker voor grotere organisaties, veel te veel gedoe zijn want het moet dan langs 4 afdelingen etc etc en waar doe je nou eigenlijk moeilijk over? Het is maar een loonstrook.

            Dan heb je weliswaar nog steeds een keuze, maar dat gaat dan tussen toch maar akkoord gaan of helemaal niet (meer) daar werken, want je werkgever biedt je dit contract. Misschien is dat geen dwang, maar helemaal vrijwillig kan ik het ook niet noemen.

  4. Ik beschik ook over een intranet portaal en daar log in dan in en download de PDF met de loonstrook en mail die dan vervolgens zelf naar mijn persoonlijke emailadres en verwijder die PDF vervolgens weer. Ik wordt er niet vrolijk van.

    En qua veiligheid. Mijn papieren loonstroken zijn al meermaals bij de buren in de brievenbus gegooid zelfs tot een punt waarbij ik bij TNT klachten moest neerleggen over de postbezorging (met name in de vakantietijd wordt veel post verkeerd bezorgd). Voor mij is email juist veel betrouwbaarder dan versturen van post.

  5. Ik moet kotsen van die hele AVG. Het hangt als een zwaard van Damocles boven het MKB. Het is de zoveelste bureaucratische regelgeving die het hebben van een eigen onderneming ontmoedigt. Voldoen aan AGV is schier onmogelijk voor de gemiddelde zelfstandige ondernemer. Er gaat véél te veel tijd in zitten, terwijl de markt door buitenland, corporaties en internet vrijbuiters al onder druk staat. En het blijft tijd kosten want er is altijd wel weer iets wat blijkbaar gereguleerd moet worden. Er is maar één beroepsgroep die hier beter van wordt: juristen. zoals zo vaak met nieuwe regels trouwens…

    En loonstroken? Ik krijg ze gewoon op papier, in een gesloten envelop op mijn bureau. En dat is ook hartstikke onveilig. Ze gaan per post vanuit de accountant naar onze chef. De steekt ze in enveloppen en plakt ze dicht, maar wie zeg mij dat niet eerder al iemand de post van de accountant heeft open gemaakt? Vervolgens worden ze op mijn bureau gelegd waar ik de helft van de tijd niet aanwezig ben, dus wie zegt mij dat deze niet stiekum geopend worden door een collega? Bovendien, wie garandeert mij dat sowieso de juiste envelop op het juiste bureau terecht komt?

    Ik bedoel maar, digitaal of niet, per mail of op papier, het is allemaal zo lek als een mandje. Daar verandert een AVG helemaal niets aan. In dit tijdperk van wantrouwen wordt alles kapot gereguleerd…

    1. Wat een onzin. Als je het grondrecht privacy wil beschermen, en dat willen we, dan moet het wel zo. Persoonsgegevens zijn niet van jou, je hebt ze in bruikleen van de personen over wie ze gaan. Beter leer je snel vanuit het perspectief van diegenen te denken.

      Aangaande brieven openmaken: daartegen hebben we al sinds jaar en dag het briefgeheim. Zelfs als iemand dat aan zijn laars lapt, is doorgaans aan de enveloppe te zien dat dat gebeurd is. Als je dat wilt voorkomen is dat moeizaam handwerk per loonstrookjesbrief. Totaal anders dan bij digitale loonstroken, waar je ongeoorloofde toegang er doorgaans niet aan afziet, en toegang tot heel veel informatie ineens tot de mogelijkheden behoort.

      1. Zelfs als iemand dat aan zijn laars lapt, is doorgaans aan de enveloppe te zien dat dat gebeurd is.
        Tsja, iemand die dat per ongeluk doet (of dat claimt) zegt gewoon sorry en iemand die moedwillig post dooorzoekt doet dat ofwel onzichtbaar ofwel vernietigt de post gewoon na deze gelezen te hebben.

      2. Het maakt toch niet uit of je kunt zien dat iemand de envelop heeft geopend? Als iemand eenmaal jouw BSN e.d. heeft, die vaak op loonstrookjes staan, dan ben je sowieso de pineut. Stel dat de brief om 10:00 bezorgd wordt en hij is om 9:00 ongeoorloofd geopend en jij ziet dat pas om 16:00 als je de brief uit je brievenbus/van je bureau vist… Meer dan genoeg tijd voor iemand om jou gegevens te misbruiken in de tussentijd.

  6. Met dank aan de “privacy”: binnenkort overal separaat inloggen: loonstrookjes, facturen, pensioenoverzichten, zorg-overzichten en dergelijke. Voorheen gewoon eenvoudig per post, nu een zaterdagmiddag per maand gezellig overal gaan inloggen. Echt een vereenvoudiging is dat niet. Overigens is nog niet duidelijk wat de juridische gevolgen zijn als iemand niet inlogt en dus geen kennis neemt van de inhoud. Wanneer gaan de soms korte verval en verjaringstermijnen lopen? Verzenden per e-mail kan ook met een (automatisch) veiligheidscertificaat. Dit maakt het risico kleiner. Uiteindelijk is het ontvangen van de post toch prettiger dan het zelf moeten gaan ophalen bij verschillende “post”kantoren.

  7. Maar zo heel spannend is het toch niet om die loonstroken via een beveiligd kanaal aan te bieden? Bij mijn werkgever is het salarispakket een hybride oplossing (lees: fat client die over een beveiligde verbinding contact legt met het backend van de leverancier). Vanuit de fat client, worden de e-mails via TLS verstuurd naar onze mailserver. De medewerkers kunnen vervolgens via webmail (https uiteraard) inloggen, hun e-mails lezen en de loonstrook downloaden. Overigens mogen de medewerkers ook gewoon Outlook installeren op hun systeem en daarmee (over zo’n zelfde beveiligde verbinding) hun email ophalen. Standaard e-mail is inderdaad niet veilig, maar een beetje Exchange server gebruikt bij voorkeur TLS en HTTPS, waarmee de data in ieder geval encrypted tussen de server en de gebruiker wordt verstuurd.

  8. Waarom mogen dit soort gevoelige gegevens uberhaupt via een riskant middel als “de post” verstuurd worden? Een beveiliging die bestaat uit een stuk papier, wat lijm en de beste inzet van een zzp-er die bijna onder het minimumloon zit lijkt mij niet echt voldoende.

    Om 1 of andere reden is “traditie” een geldige reden om allerlei onveilige praktijken zondermeer toe te staan terwijl veiligere alternatieven aan allerlei voorschriften en wetten moeten voldoen. Post, handtekeningen, contant geld. Als je die zaken nu zou uitvinden zou men je uitlachen.

    1. Het gaat niet om de beveiliging, dat een werknemer recht heeft op een papieren loonstrook. Het gaat erom, dat de werkgever voldoende duidelijk moet informeren. De gedachte is, dat digitaal lastiger is voor de werknemer om de informatie tot zich te nemen, en dus recht heeft op een hard-copy.

      1. Als er nu iets onduidelijk is, is het wel de gemiddelde loonstrook. Ik denk dat je tegenwoordig weinig werknemers zal kunnen vinden die niet in staat zijn een pdf te downloaden van een website EN wel in staat zijn de loonstrook te begrijpen. De meeste digibeten zullen zolangzamerhand met pensioen zijn.

    2. Op dit moment willen veel bedrijven zelfs weer kiezen voor post, omdat dit relatief gezien veiliger is dan email. Op brieven zit in Nederland het briefgeheim. Dit betekent dat het openen van post strafbaar is wanneer deze niet voor jou is bedoeld. Op emails rust geen briefgeheim. Dit betekent dat het niet strafbaar is om de email ergens uit de lucht te trekken en te openen en lezen. Bovendien is bij briefpost de kans aanwezig op een lek bij 1 persoon die het in handen krijgt. Emails kunnen door miljoenen uit de lucht gehaald worden. Maar goed… dit was niet helemaal het onderwerp van dit stuk eigenlijk!

  9. Een uitdrukkelijke toestemming vraagt om een actieve handeling, waardoor het ondertekenen van een arbeidsovereenkomst, met daarin opgenomen een voorgedrukte toestemming, waarschijnlijk niet voldoet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.