De Algemene Verordening Gegevensbescherming (AVG) en salarisadministratie

Per 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van toepassing. Gezien alle lidstaten van de EU momenteel nog een eigen privacywet hanteren, heeft de EU besloten om de richtlijnen, wetten, regels en vrijstellingen op te nemen in een overkoepelende wet voor alle EU lidstaten. De privacy rechten worden uitgebreid en organisaties krijgen meer verantwoordelijkheden. Maar wat betekend dit precies voor de salarisadministratie?

Het Digitale Tijdperk

De afgelopen decennia is de wereld omgetoverd tot een digitaal tijdperk. Zo werden “vroeger” belangrijke documenten in een kuis bewaard, of in een grote archiefkast met een paar flinke sloten erop. Kopieën van paspoorten of gevoelige persoonlijke informatie over werknemers bijvoorbeeld. Deze kasten stonden vaak in een afgesloten ruimte binnen het bedrijfspand en zo was het voor kwaadwillende zonder toegang tot deze ruimte of de betreffende kasten bijna onmogelijk om toegang te krijgen tot deze gegevens. In het huidige zogenoemde digitale tijdperk is dit een heel ander verhaal. Persoonlijke, gevoelige en belangrijke informatie wordt opgeslagen op een harde schijf of in de cloud, vaak toegankelijk met enkel een gebruikersnaam en wachtwoord. Een wachtwoord wat doorgaans door de werknermers zelf is aangemaakt en voor een bekwame hacker meestal niet moeilijk te kraken is. Daarom vond de EU het tijd om de privacy rechten uit te breiden en de verantwoordelijkheid van organisaties die met bovenstaande te maken hebben flink op te schroeven om de privacy van de mensen te proberen te waarborgen. In dit artikel gaan wij daarom bespreken welke gevolgen de nieuwe AVG heeft voor de salarisadministraties van bedrijven.

Verantwoordelijke, verwerker en het opstellen van een verwerkersovereenkomst

In de AVG wordt veel gesproken over Verantwoordelijke en Verwerker. Maar wat is het verschil eigenlijk? Heel simpel, om een voorbeeld te noemen binnen de salarisadministratie: Zodra wij een klant krijgen waar wij de salarisadministratie voor voeren, zijn wij de verwerker van de persoonsgegevens die onze nieuwe klant aanlevert. De klant is in deze dus de Verantwoordelijke voor deze gegevens. Dit betekend ook dat wij, zonder nadrukkelijke opdracht of toestemming van de Verantwoordelijke op eigen houtje aan de slag mogen gaan met de aangeleverde persoonsgegevens. Wij als verwerker mogen deze gegevens uitsluitend gebruiken voor het uitvoeren van de opdracht van de Verantwoordelijke. Naast het vaststellen wie er de Verwerker en Verantwoordelijke is, is het per 25 mei 2018 ook verplicht om een aantal andere zaken zwart op wit te zetten tussen de partijen die te maken hebben met persoonsgegevens. Deze afspraken worden vastgelegd in een zogenoemde Verwerkersovereenkomst.

In deze overeenkomst moeten minimaal de volgende punten zijn opgenomen:

– Het onderwerp en de duur van de verwerking
– Het doel en de aard van de verwerking
– Het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft
– De categorieën van verwerking van de betreffende betrokkenen
– De rechten en plichten van de verwerkingsverantwoordelijke

En kan naar wens aangevuld worden met specifieke afspraken of uitzonderingen. Let er wel goed op dat het juridisch bindend moet en kan zijn. Heb je zelf te maken met een situatie waar je verplicht bent om een verwerkersovereenkomst af te sluiten, zorg dan dat je je altijd laat adviseren door een professional met specialistische kennis of besteed het juridische deel uit aan een partij met ervaring.

De verwerkersovereenkomst hoeft overigens niet een apart document te zijn, deze kun je ook toevoegen als bijlage bij een opdrachtovereenkomst.

Het opzetten en bijhouden van een verwerkingsregister

Volgens de oude privacy wetgeving waren organisaties verplicht om verwerken van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Zodra de AVG van kracht is zijn organisaties dit niet meer verplicht, echter moeten zij nu wel een zogeheten verwerkingsregister bijhouden. Is er sprake van verwerking van gegevens met een hoog risico voor de betrokkenen, dan is er nog wel een meldingsplicht.

Niet elke organisatie hoeft een verwerkingsregister bij te houden. Heeft een organisatie minder dan 250 personeelsleden, is het volgens de AVG niet verplicht. Let wel goed op dat ook hier belangrijke uitzonderingen van toepassing zijn! In de volgende situaties is het namelijk weer wél verplicht om een dergelijk verwerkingsregister bij te houden:
• Als er verwerkingen plaatsvinden met een hoog risico voor de betrokkenen
• Als er verwerkingen van bijzondere persoonsgegevens plaatsvinden. Denk hierbij aan bijvoorbeeld medische of strafrechtelijke gegevens.
• Als de verwerkingen die plaatsvinden structureel zijn. Denk hierbij aan een debiteurenadministratie of een salarisadministratie.

Zoals je ziet is het bij een salarisadministratie dus altijd verplicht om een verwerkingsregister bij te houden. Maar wat is een verwerkingsregister dan precies?
Het verwerkingsregister is onderdeel van de verantwoordingsplicht. Als organisatie dien je in dit register een aantal zaken bij te houden. Je mag als organisatie zelf weten hoe je dit register opstelt, zolang de verplichte gegevens er maar in staan. Ook moet je er voor zorgen dat als de Autoriteit Persoonsgegevens om het register vraagt, je dit direct kan laten zien.

De verplichte gegevens hangen af of de organisatie een “verantwoordelijke” binnen de organisatie of een “verwerker” buiten de organisatie is. Verzorgd de organisatie het doel en de middelen voor het verwerken zelf? Dan is het een “verwerkingsverantwoordelijke”. Verwerkt de organisatie gegevens in opdracht van een verantwoordelijke? Dan is het een “verwerker”. Denk hierbij aan bijvoorbeeld een administratiekantoor of een Salarisadministrateur.

Om het volledige overzicht van de verplichte gegevens voor zowel verwerkingsverantwoordelijke of verwerker te zien, kijk dan op de website van de Autoriteit Persoonsgegevens om er zeker van te zijn dat het de meest actuele gegevens bevat.

Bewaartermijnen

In de nieuwe Algemene Verordening Persoonsgegevens zijn geen concrete bewaartermijnen vastgesteld. Organisaties worden geacht zelf te bepalen hoe lang het nodig is om bepaalde gegevens te bewaren. Zo is een werkgever bijvoorbeeld verplicht om een kopie van het identiteitsbewijs minimaal 5 jaar na uitdiensttreding te bewaren. Een organisatie is echter niet wettelijk verplicht om verzuimgegevens voor een bepaalde tijd te bewaren. In een dergelijke situatie is het dus aan de organisatie om zelf een besluit te maken tot wanneer het aannemelijk is dat deze gegevens nodig kunnen zijn.

Zodra het niet meer noodzakelijk is om de gegevens te bewaren, is de organisatie verplicht om de gegevens te vernietigen. De gegevens mogen ook bewaard worden in een archief, echter is het dan wel van belang dat de organisatie een doel heeft met dat archief. Bijvoorbeeld een statistisch of wetenschappelijk doel. In dat opzicht veranderen de regels niet vergeleken bij de vorige Wet Bescherming Persoonsgegevens (WBP).

Wet, regelgeving en boetes

De nieuwe AVG kent een hoop nieuwe regels en de daarbij horende uitzonderingen. Het is dus van groot belang dat een organisatie de juiste maar vooral meest recente kennis in huis heeft, of de vraagstukken bij een externe gespecialiseerde partij neerlegt. Bij een overtreding van de AVG kunnen de boetes namelijk hoog oplopen. De overtredingen zijn opgedeeld in twee categorieën:
Categorie 1: Een overtreding van fundamentele verplichtingen. Deze overtredingen kunnen worden bestraft tot maximaal €20.000.000 of 4% van de wereldwijde omzet.
Categorie 2: Een overtreding van administratieve aard. Deze overtredingen kunnen worden bestraft tot maximaal €10.000.000 of 2% van de wereldwijde omzet.

Als het percentage van de wereldwijde omzet hoger is dan de maximale geldboete, dan geldt de wereldwijde omzet om zo ook grote multinationals te motiveren om de regels van de AVG na te leven.

Categorie 1 overtredingen:
Deze categorie betreft vooral de zware overtredingen binnen de AVG. Denk hierbij bijvoorbeeld aan het schenden van de rechten van een betrokkene, het doorgeven van persoonlijke gegevens zonder toestemming aan bijvoorbeeld een land buiten de EU of een internationale organisatie.

Categorie 2 overtredingen:
Voor de overtredingen in deze categorie gaat het vooral om het niet voldoen aan de gestelde richtlijnen in de AVG. Denk hier bijvoorbeeld aan het niet melden van een data-lek, beveiligingsmaatregelen die niet voldoen aan de voorschriften of een onvolledig verwerkingsregister.

Zoals eerder aangegeven is het van groot belang om je als organisatie goed in te lezen in deze nieuwe wet en er voor te zorgen dat ook jij per 25 mei 2018 aan alle voorschriften en richtlijnen voldoet.