Mag u straks nog wel digitaal communiceren met de fiscus?

Dataprotectie wordt ook uw pakkie an

Geplaatst op 6 juli 2017 door Frans la Poutré (franslapoutre@2xplain.nl 

U bent vanaf 25 mei 2018 verantwoordelijk voor hoe uw serviceprovider of administratiekantoor de gegevens van uw personeel opslaat en verwerkt. Met dank aan de googles, facebooks, amazons en bol.coms van deze wereld. Het opslaan en koppelen van persoonsgegevens en het daaruit waardevolle informatie halen zijn een grote bedreiging voor onze privacy en daaraan moet een halt toegeroepen worden. Ook moet de overdracht aan strenge veiligheidseisen gaan voldoen. Gegevens mogen niet te gemakkelijk te onderscheppen zijn. De Europese landen hebben de handen ineen geslagen en een gezamenlijke richtlijn opgesteld: de General Data Protection Regulation, kortweg GDPR. In Nederland staat deze regeling bekend als de AVG, de Algemene Verordening Gegevensbescherming.

Misschien denkt u nu dat die hele AVG de zorg van de ICT-afdeling is, en van uw softwareprovider of in-serviceverwerker. Dan denkt u wat te gemakkelijk. De nieuwe regels richten zich zowel op de opdrachtgevers als op de uitvoerders van opslag en verspreiding van persoonsgegevens. Beide partijen dienen er op toe te zien dat gegevensoverdracht veilig verloopt. En veilig, dat wil zeggen dat de gegevens te allen tijden versleuteld moeten zijn. Als u een nieuwe medewerker vraagt om even zijn gegevens te mailen, ten behoeve van uw salarisadministratie, gaat u dus al in de fout. U kunt namelijk niet checken of de gegevensoverdracht gedurende het gehele traject versleuteld gaat plaatsvinden.

Behalve versleuteld, moeten gegevens ook gepseudonimiseerd zijn. Ik heb geen idee of ik zojuist een nieuw woord heb uitgevonden, maar kan zo gauw geen gangbare term bedenken. Mocht iemand de data onderscheppen, dan moet de onderschepper niet kunnen zien op wie specifieke data betrekking hebben. Niet echt handig als u aan uw administratiekantoor de gegevens voor de verloning wilt doormailen.

De AVG maakt geen onderscheid tussen groepen waarvan gegevens worden bijgehouden. Werknemers en klanten krijgen dezelfde rechten. Hoe dat straks dan moet met het recht om vergeten te worden, ofwel, het recht om je gegevens uit een database te laten verwijderen, is mij vooralsnog niet duidelijk.

Ook als de salarisverwerking bij u in huis gedaan wordt heeft u met de AVG te maken. Het al eerder genoemde e-mailverkeer moet aan dezelfde strenge voorwaarden voldoen. U wordt bovendien geacht, als leverancier van gegevens, actief te controleren of de verdere verzending en verwerking wel AVG-proof zijn. Stel dat u via een geavanceerde versleutelde en pseudonimiserende verbinding gegevens aan uw contactpersoon bij HR stuurt, en die stuurt ze vervolgens in een gewoon e-mailtje door, dan kunt u daar op aangesproken worden. De controle van andere partijen in het proces moet u ook regelmatig herhalen.

Wat me intrigeert is de vraag hoe dat dan moet met de gegevensverstrekking aan de Belastingdienst. U moet actief gaan controleren of daar de opslag en verwerking wel volgens de AVG-regels plaatsvindt. Recente ophef over een datalek maakt duidelijk dat de dienst momenteel niet AVG-bestendig is. Bij gebrek aan personeel komt de Belastingdienst niet of nauwelijks meer aan controleren toe, maar nu worden de rollen dus omgedraaid: salarisadministrateurs gaan massaal bij de Belastingdienst op controlebezoek. Bent u na zo'n controle niet overtuigd van de AVG-bestendigheid van de database, dan mag u geen gegevens digitaal aanleveren. Maar van de fiscus moet u dat wel.

Er zal overigens vast wel een achterdeurtje geopend worden om de belasting-inning niet in gevaar te laten komen. Het is namelijk maar zeer de vraag of de Belastingdienst vóór 25 mei 2018 zijn zaakjes op orde heeft. Er komen bewustzijnscampagnes en er wordt gewerkt aan betere beveiliging, aldus het hierboven gelinkte artikel in Trouw. Maar dat kost tijd, en veel tijd heeft Wiebes niet. Het is 25 mei 2018 voordat je het weet.We gaan leuke tijden tegemoet. 

De AVG is in ieder geval goed voor de werkgelegenheid, niet alleen gezien de taken die veel functionarissen erbij krijgen, maar ook doordat veel organisaties verplicht worden een Data Protection Officer aan te stellen. Er is al berekend dat er in Europa straks 48000 van rondlopen. 48000 nieuwe bullshitbanen. Kent u die term niet? Mijn volgende blog gaat daar helemaal over.

Mijn welgemeende advies aan u: zorg dat u weet wat er onder de AVG van u verwacht wordt. Met kennis van deze regels heeft u veel meerwaarde voor uw organisatie. Een eerste overzicht is het vaktechnische webinar van 2Xplain op 29 augustus. Van 10:00 - 11:00 uur zet een deskundige de voor uw vakgebied relevante aspecten van de AVG op een rijtje. En hij geeft aan wat u in de aanloop naar 25 mei 2018 kunt en moet doen. Heeft u nog niet eerder een webinar van 2Xplain gevolgd, dan mag u op 29 augustus gratis meedoen. Reserveer wel even uw plek via www.2xplain.nl/Opleiding/webinar-augustus.

Praat mee op Discussiegroep salarisadministratie op LinkedIn of volg ons via www.facebook.com/2xplain of


Naar alle blogs

Docnr: 113504