De AVG is here to stay, zeker in de salarisadministratie
Gelukkig maar! We kennen ze namelijk allemaal wel uit de pers: de horrorverhalen over gevoelige persoonsgegevens die soms letterlijk op straat liggen! Dit mag niet, kan niet en willen we niet, maar wat doen we eraan om dit te voorkomen?
Gelukkig wordt het bedrijfsleven, groot en klein, zich steeds meer bewust van de risico’s die het verwerken van persoonsgegevens met zich meebrengt en de noodzaak om deze gegevens te beschermen. Vooral ook om reputatieschade te voorkomen en om professioneel te werken. Vragen als welke persoonsgegevens worden er verwerkt, met welk doel, zijn de processen in orde en hoe is de beveiliging geregeld, worden steeds meer gesteld! Zeker bij softwarebedrijven, die dagelijks met persoonlijke data en de beveiliging daarvan te maken hebben.
Terecht zegt Robert Mijnsbergen, algemeen directeur van Cash Software en Microloon: “Wij als softwarebedrijf zijn hier al langer mee bezig, wij moeten immers altijd op de ontwikkelingen vooruitlopen. Onze klanten verwachten dat ook van ons. Een goed voorbeeld hiervan is de ontwikkeling van een Loonportal; een veilig en gesloten circuit om salarisgegevens en andere persoonlijke documenten tussen salarisverwerker, werkgever en werknemer te delen. Zo ontvangt de werknemer zijn loonstroken en jaaropgaven via een beveiligde app, in plaats van per e-mail of post wat als ‘onveilig’ wordt beschouwd. Beveiliging van een dergelijke Loonportal en onze overige clouddiensten is onze hoogste prioriteit en wij werken daarom al vanaf het begin alleen samen met uiterst betrouwbare Nederlandse datacenters.”
Waarom is E-mail niet veilig genoeg?
E-mail is een niet meer weg te denken communicatie medium, maar hoe zit het nu met e-mail en de AVG? Er zijn steeds meer (openbare) bronnen en onderzoeken over het gebruik van e-mail in combinatie met gevoelige persoonsgegevens. Unaniem blijkt dat er nogal wat risico’s kleven aan het gebruik van e-mail, deze risico’s variëren van het verkeerd intypen van een e-mailadres, het beheer van mailboxen als een “onsamenhangend” archief tot de routes die via de digitale snelweg afgelegd worden waarbij het niet duidelijk is welke onbevoegden mogelijk mee kunnen kijken.
Is versleuteling dan de oplossing? Dat is nog maar de vraag. Eigenlijk niet. Om op een goede manier te versleutelen is er namelijk nog wel wat kennis nodig, kennis waar lang niet iedereen over beschikt. Bovendien lost het de risico’s van het beheer niet op. Het is nagenoeg onmogelijk persoonsgegevens opgeslagen in mailboxen te beheren. Denk hierbij aan zaken als, in welke mailboxen bevinden zich persoonsgegevens en welke specifieke gegevens betreft dit, monitoring van bewaartermijnen, inregeling van autorisaties en hoe te voldoen aan verwijderingsverzoeken? Dit alles naast de beveiliging van de mailbox op zichzelf zijn risicofactoren in het kader van een correcte naleving van de AVG.
Ook softwarebedrijven zoals Cash hebben de vraag over de AVG en het gebruik van e-mail bij experts neergelegd. Uiteindelijk is de conclusie vanuit diverse (openbare) bronnen dat e-mail een minder geschikt kanaal is. De AVG vraagt om een zo goed mogelijke beveiliging en dan is e-mail niet de juiste oplossing. Zowel vanuit een technisch perspectief als vanuit organisatorisch beheer zijn er betere middelen beschikbaar, zoals bijvoorbeeld het gebruik van een beveiligde (Loon)portal. Het is complexe materie, de AVG, maar hij is er niet voor niets en zal alleen maar verder en strenger nageleefd moeten worden. De AVG is here to stay.