Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | E-mail | 40 reacties

Een lezer vroeg me:

Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor “adequate” oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een ‘gedwongen’ situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud

Mag mijn loonstrook digitaal?

| AE 1609 | Contracten | 28 reacties

cheque-check-betalen-ontvangen-loonstrook.jpgEen lezer ontving een mail van de HR-afdeling met de volgende tekst en vroeg zich af of dat zomaar kon:

Vanaf eind juni willen wij graag de loonstroken digitaal gaan versturen. Standaard gaan deze naar je bedrijfsadres. Als je liever een ander e-mailadres wilt gebruiken, dan willen we graag voor 1 juni van je horen welk adres dit moet worden. Let wel op dat het dan jouw verantwoordelijkheid is dat die mailbox ook werkt.

In principe moet een loonstrookje schriftelijk, zo blijkt uit artikel 7:626 BW. Nu is e-mail op zich een rechtsgeldig communicatiemiddel, maar op het moment dat wetsartikelen expliciet het woord “schriftelijk” gebruiken wordt dat spannend. Het wetsartikel dat elektronisch en papier aan elkaar gelijkstelt (art. 6:227b BW) gaat namelijk alleen over overeenkomsten. En een loonstrookje valt daar niet onder.

Maar gelukkig staat er een behulpzame bijzin in dat 7:626 lid 1: “tenzij zich ten opzichte van de vorige voldoening in geen van deze bedragen een wijziging heeft voorgedaan.” De meeste mensen ontvangen elke maand hetzelfde bedrag, zodat je dus niet verplicht bent om als werkgever elke keer een identiek stuk papier (afgezien van de maand dan) uit te reiken. Je kunt dus een elektronisch loonstrookje uitreiken, behalve bij de eerste loonstrook en bij salarisverhogingen of bijzondere uitkeringen (vakantiegeld, 13e maand).

Er schijnt wel een nieuwe wet te komen, die het digitale loonstrookje helemaal mogelijk maakt. Maar daar kan ik niets over vinden. Wel de opmerking bij SalarisNet dat de Belastingdienst desgevraagd ontheffing kan verlenen voor dit schriftelijkheidsvereiste.

Een ander punt is het gebruik van die mailbox. In verband met de privacy van medewerkers moet zo’n salarisstrookje wel afgeschermd zijn tegen meelezen door derden. Bij zakelijke mailboxen zijn er vaak regelingen over wie bij wiens mailbox mag. In die situatie zou ik niet aanraden om zomaar PDF bestanden met loonstroken daarheen te mailen. Een eigen adres is dan een betere optie, hoewel daar weer het risico van een volle mailbox of een overactief spamfilter meespeelt.

Arnoud