Momenteel komen er bij veel werkgevers (en verwerkers voor werkgevers zoals salarisadministrateurs) vragen op omtrent het gebruik van het BSN nummer op de loonstrook, en de wijze van ter beschikking stellen van de loonstrook aan het personeel.
Gebruik van het BSN nummer door de werkgever
Gebruik van het BSN nummer door de werkgever is nog gewoon toegestaan onder de AVG. Wel staat in de Uitvoeringswet op de AVG dat het BSN nummer slechts mag worden gebruikt door de werkgever ter uitvoering van een wettelijke verplichting, omdat de risico’s van het verwerken van het BSN nummer groot kunnen zijn. Bij onrechtmatig gebruik van het BSN nummer kunnen ernstige nadelige gevolgen optreden voor de betrokken persoon, zoals identiteitsfraude.
Voor een werkgever gelden er bepaalde wettelijke verplichtingen op basis waarvan het BSN nummer geregistreerd en/of gebruikt moet worden. Deze verplichting geldt bijvoorbeeld op grond van toepasselijke belastingwetgeving in het kader van de salarisadministratie en de verwerking van de loonstrook. De werkgever mag zoals hiervoor al gesteld uitsluitend het BSN nummer verwerken voor het doel van de wet en dus niet voor andere doeleinden. Zo mag een werkgever het BSN nummer van haar werknemers niet gebruiken om te koppelen aan verslagen van beoordelingsgesprekken of voor het opstellen van een verzuimrapportage. In het kader van de re-integratieverplichtingen van de werkgever dient de laatste een arbodienst of bedrijfsarts in te schakelen. De werkgever mag in dat geval aan de arbodienst of bedrijfsarts wel het BSN nummer van die werknemer verstrekken. Maar de werkgever mag het BSN nummer niet verstrekken aan de Arbodienst of bedrijfsarts als de werknemer niet ziek is.
Ter beschikking stellen van de loonstrook aan de werknemer
Volgens de wet is de werkgever verplicht een papieren loonstrook te sturen, tenzij het loon identiek is aan de voorgaande maand. In de hedendaagse praktijk ontvangen werknemers hun loonstrook echter normaliter als bijlage in een e-mail van de salarisadministrateur of van werkgever zelf.
Onder de AVG moeten organisaties beter vastleggen welke persoonsgegevens zij verwerken en welke beveiligingskeuzes zij daarbij maken. Daarbij is vooral ook aandacht nodig voor de verwerking van persoonsgegevens via e-mail. E-mail wordt niet beschouwd als een veilig verzendmedium, tenzij er bijvoorbeeld sprake is van encryptie. Dit wordt echter nog maar zeer beperkt toegepast. Ingevolge de AVG moet de werkgever vastleggen welke gegevens wel via de mail verstuurd mogen worden, hoe deze e-mails beveiligd dienen te worden en welke gegevens op een andere manier ter beschikking kunnen worden gesteld.
Salarisstroken bevatten allerlei persoonsgegevens die kwetsbaar zijn (BSN-nummer (geen bijzonder persoonsgegeven onder de AVG), naam, adres, en financiële gegevens). Werknemers dienen uitdrukkelijk in te stemmen met digitale terbeschikkingstelling, bijvoorbeeld in de arbeidsovereenkomst of in een separate toestemmingsbrief. Maar de AVG bepaalt ter bescherming van werknemers dat een algemeen document met een specifieke toestemming voor het verzenden van allerlei persoonsgegevens niet volstaat, omdat de werknemer zich in een afhankelijke positie bevindt ten opzichte van de werkgever.
Het is beter om een salarisstrook via bijvoorbeeld een portal beschikbaar te maken, waarop werknemers kunnen inloggen en dan vervolgens hun salarisstrook kunnen inzien en printen. Het hanteren van een doordacht en betrouwbaar wachtwoordgebruik is dan wel noodzakelijk.