Onderzoek: AVG verbeterpunt salarisadministratie
De naleving op de invoering van de Algemene verordening gegevensbescherming van 25 mei jl. is het grootste aandachtspunt voor veel salarisprofessionals. Dat blijkt uit het Trendonderzoek Salarisprofessionals 2018.
Opvolgen AVG
Uit het onderzoek werd eveneens duidelijk dat minstens 30 procent van de deelnemende salarisprofessionals weinig tot niet op de hoogte zijn. Desalniettemin is het de taak van de salarisadministrateur om ruimte te maken voor de naleving op de AVG-wetgeving.
Doordat deze administratie nog vaak wordt gedaan door een financiële administrateur of P&O medewerker binnen een kleine of middelgrote organisatie, komt het voor dat er weinig tijd is voor het bijleren over regel- en wetgeving, blijkt uit onderzoek. Nieuwe ontwikkelingen blijven dan ook achter voor efficiëntie en effectiviteit in salarisadministratie en daarmee ook de kennis op wetgeving.
Registratie verwerkingsactiviteiten
Hetzelfde aantal deelnemende professionals geeft aan geen registratie van verwerkingsactiviteiten te hebben. Het verwerkingsregister stelt vast welke privé of persoonlijke informatie de administrateur vast mag leggen. Organisaties met minder dan 250 medewerkers hoeven geen verwerkingsregister bij te houden, tenzij zij zich onderscheiden middels de onderstaande kenmerken.
- Niet incidentele persoonsgegevens
- Informatie met een hoog risico aan rechten en vrijheden van de persoonlijke informatie
- Verwerking van buitengewone persoonsgegeven zoals godsdienst, gezondheid, politieke voorkeur en strafrechtelijke gegevens
Verantwoordelijkheid
De salarisadministrateur binnen de organisatie die haar eigen administratie voert is hiermee de hoofdverantwoordelijke voor het volgen van de AVG-wetgeving. Hiermee moet de administrateur verantwoording afleggen over de gegevensverwerking wanneer Autoriteit Persoonsgegevens daarnaar vraagt.
Als hoofdverantwoordelijke moet de salarisadministrateur voldoen aan de volgende maatregelen:
- Registreren van verwerkingsactiviteiten
- Data protection impact assessment voor hoog gevoelige gegevens
- Registreren van ontstane datalekken
- Bewijs hebben van toestemming voor gegevensregistratie
- Beargumenteren wanneer een functionaris voor de gegevensbescherming is ingesteld (speciale toezichthouder)
Verwerkingsovereenkomst
Het inschakelen van derde partijen voor salarisverwerking zal leiden tot de verplichting van het aangaan van een verwerkingsovereenkomst. Deze overeenkomst bepaald waar de derde partijen aan moeten voldoen en welke gegevens zij wel of niet gedeeld krijgen van de hoofdverantwoordelijke.
In het geval van de salarisadministratie zal het gaan om bijvoorbeeld een derde partij die de salarisadministratie uitvoert. Wanneer de opdracht tot salarisadministratie uitbesteden wordt gegeven aan een derde partij dan is die partij ook verantwoordelijk voor de verwerkingsactiviteiten, maar over het algemeen wordt de informatie verstrekt door de opdrachtgever en daarmee zijn zij beide verantwoordelijk voor de verwerkingsactiviteiten.
- In de verwerkingsovereenkomst zijn dan ook de volgende onderdelen opgenomen:
- De duur en aard van de overeenkomst
- Soort gegevens waarmee gewerkt wordt en rechten en plichten
- Instructies van de opdrachtgever
- Geheimhoudingsplicht
- Op te volgen beveiligingsmethoden
- Samenwerking met sub-verwerkers van de samenwerkende partij
- Privacy rechten van betrokkenen
- Gegevens bewaren en vernietiging
- Meewerken aan audits
Bron: www.autoriteitpersoonsgegevens.nl
Implementatie AVG
In de Wet Bescherming Persoonsgegevens, die is vervangen door de AVG, waren al een aantal activiteiten al opgenomen zoals de verwerkingsovereenkomst en meldplicht datalekken. Maar ook hierover werd duidelijk dat een kwart van de salarisprofessionals geen antwoord kon geven over hoe deze verplichtingen zijn geregeld ten behoeve van de nieuwe wet.
Het mag duidelijk zijn dat voor 2018 het opvolgen en implementeren van de AVG-wetgeving de belangrijkste focus is voor de salarisprofessional. Ook uit andere onderzoeken naast die van Trendonderzoek Salarisprofessionals 2018 is duidelijk geworden dat veel organisaties nog niet klaar zijn om compleet gehoor te geven aan de AVG-wetgeving waarvan is aangetoond dat de helft van de bedrijven nog niet klaar is.