skip to Main Content

Negen vragen over AVG aan Mercash

Hoe kan ik de HR- en salarisadministratie laten voldoen aan de komende privacywetgeving? Hoe wordt mijn organisatie AVG-compliant? Hieronder de antwoorden op de negen vragen die u aan Mercash over dit onderwerp stelde.

Verwijdert Mercash de velden die niet aan de privacyrichtlijnen voldoen uit de software?

Dit hangt van het betreffende veld en de (nieuwe) privacyrichtlijnen af. Zo moet een werkgever wel het burgerservicenummer (BSN) van een werknemer vastleggen voor de salarisverwerking. Dat veld blijft daarom binnen de Mercash-software beschikbaar. Wat de software niet meer mogelijk maakt, is doorgifte van het BSN aan bijvoorbeeld een pensioenfonds of arbodienst. Deze gegevens zijn niet meer in de aanlevering(en) opgenomen omdat ze in strijd zijn met de privacywetgeving.

Zorgt Mercash ervoor dat vervallen data automatisch worden verwijderd?

De mogelijkheid om gegevens automatisch te verwijderen op basis van bewaartermijnen wordt bestudeerd, maar er zijn op korte termijn nog geen software-updates in die richting te verwachten.

Mercash kan u ondersteunen bij de inrichting van een workflow die u helpt bij:

  • het monitoren op de bewaartermijnen
  • het genereren van meldingen
  • de gewenste vervolgacties

Mercash kiest in dit stadium voor het ontwikkelen van een andere mogelijkheid ter bescherming van de persoonsgegevens: anonimiseren. Met anonimiseren zijn bepaalde gegevens wel beschikbaar voor verwerking, maar zijn ze niet direct naar een bepaalde persoon te herleiden. Met geanonimiseerde gegevens wordt eveneens voldaan aan de (komende) privacyrichtlijnen.

Kan ik loonaangiftes, salarisstroken en jaaropgaven verwijderen?

Het is technisch mogelijk om salarisdocumenten uit een medewerkerdossier te verwijderen. Het is niet mogelijk deze documenten op basis van een bepaalde datum automatisch uit het systeem te verwijderen. Mercash ontwikkelt een functionaliteit waarbij u bepaalt of u bepaalde informatie wilt verwijderen.

Veel gegevens worden nu via de loonaangifte en pensioenaanlevering naar buiten gestuurd. Mag dat nog wel?

Ja dat mag. Er zijn geen wijzigingen hierin aangebracht. Het gaat hier om gegevens die aan de betreffende instanties mogen worden doorgegeven. Zo wordt met de loonaangifte het BSN doorgestuurd aan de Belastingdienst. Het BSN wordt niet uitgewisseld met het Pensioenfonds omdat dit niet is toegestaan op basis van de privacyrichtlijnen.

Welke gegevens moet ik bewaren voor de controle door de Belastingdienst?

Onder meer de loonadministratie moet u zeven jaar bewaren voor de Belastingdienst. Voor een overzicht van verschillende bewaartermijnen van persoonsgegevens: zie eerder bericht.

Heeft Mercash ook contact met Microsoft Business Partners over het gebruik van persoonsgegevens?

Met de partners is er onderling overleg wanneer veranderingen mogelijke gevolgen hebben op de integratie tussen de verschillende applicaties. Concreet voorbeeld  het burgerservicenummer (BSN). Dat is alleen relevant voor de salaris- en HR-administratie en mag niet als productiegegeven worden gebruikt.

Sluit Mercash een verwerkersovereenkomst met ons af? Kost dat geld?

Als u de Mercash-software lokaal op uw eigen servers hebt geïnstalleerd, dan is een verwerkersovereenkomst niet nodig. U bent zelf de verwerker van de persoonsgegevens. Dit wordt anders wanneer u Mercash Online gebruikt waarbij de Software as a Service (SaaS) beschikbaar is. Hiervoor is een verwerkersovereenkomst in de maak.

Een verwerkersovereenkomst is ook nodig wanneer u gebruik maakt van Mercash Services, zoals het inhuren van een consultant. In die situatie heeft een medewerker van Mercash toegang tot persoonsgegevens. Mercash werkt hiervoor met een standaard verwerkingsovereenkomst. Aan deze overeenkomst zijn geen kosten verbonden.

Hoe moet je vastleggen dat je gegevens van een sollicitant in portefeuille houdt met akkoord van de sollicitant?

Het is nu nog niet mogelijk om een digitale toestemming van een sollicitant direct te koppelen aan zijn of haar gegevens in Mercash Werving en Selectie. We gaan de mogelijkheid ontwikkelen binnen Werving en Selectie, we kunnen echter nog geen concrete realisatidatum afgeven. Voorlopig moet u de toestemming nog los regelen met een sollicitant.

Wat moet je doen als je per ongeluk gegevens hebt gelekt van je werknemers?

Sinds 2016 geldt een meldplicht voor het lekken van gegevens, en zelfs voor het risico dat onbevoegden toegang gehad kunnen hebben. Het datalek moet worden gemeld bij de betreffende werknemers en bij de Autoriteit Persoonsgegevens. Meer informatie: Meldplicht datalek.

Back To Top