Mijn werkgever heeft een webportaal (publieke url) waar medewerkers kunnen inloggen met een wachtwoord om hun loonstook te downloaden.
Persoonlijk vind ik dit al niet kunnen: De wet zegt dat de werkgever je je loonstrook moet doen toekomen, niet dat ze 'm ergens in een hoekje aan de wand mogen prikken en zie 'm zelf maar op te halen. Niet dat de overheid dat zelf snapt, aangezien ze met hun "mijnoverheid" precies dezelfde onzin uitvreten.
Dit portaal is uitbesteed aan een organisatie die HR en Payroll software levert in de cloud (maar wordt mogelijk on premise gehost).
Je werkgever doet het dus wel zelf? Mijn ervaring is dat zeker kleine(re) werkgevers nogal gemakkelijk een payroll-bureautje inhuren die vervolgens de payroll uitbesteden aan een vierde partij. Met een brakke website. Een onduidelijke serie organisaties die als je serieus eisen gaat stellen (bijvoorbeeld "ik moet een GPG-sleutel op kunnen geven en die gebruiken jullie dan om mijn loonstrookje veilig te versleutelen voor jullie 'm op de mail zetten") allemaal niet thuis geven.
Het is een logische afweging tussen veiligheid en gemak.
Binnen zeer, zeer beperkte denkraam-kaders.
Loonstrookjes wil je relatief gemakkelijk beschikbaar kunnen stellen aan medewerkers.
Wiens gemak? Als het om mijn gemak gaat zeg ik, stuur ze maar op. Dat kan zelfs volautomatisch. Zodra ik eerst moet inloggen vereist het systeem dat ik er meer aandacht aan moet besteden en er meer moeite voor moet doen dan maandelijks vaststellen dat ik weer een loonstrook gekregen heb. Oftewel, deze vorm van "automatiseren" is de-automatisering aan mijn kant en daarmee
contraproductief. Oftewel de premisse van "gemak" snijdt geen hout.
Tegelijkertijd staan er wel privacygevoelige gegevens op als salaris, naam, adres en BSN-nummer, waarvan je niet wilt dat deze in verkeerde handen vallen, maar je zou van mening kunnen zijn dat dit afdoende beveiligd is in het portaal.
Dat weet ik niet. "Portaal" zegt niet zoveel.
"BurgerService Nummer-nummer"?
Voor de rest kun je je afvragen of al die shit online moet staan. Hier zou de GPG-truuk alweer uitkomst kunnen bieden: Je versleutelt de data met de opgegeven publieke sleutel, zodat de werknemer er altijd bij kan, maar verder niemand.
Niet iedereen heeft GPG maar dat is nou net het mooie van "automatisering": Als je het goed doet is het triviaal meerdere mogelijkheden te bieden. Briefje uitdraaien, versleutelde email sturen met methode een, twee, of drie, "webportaal", een "app" op je smartphone, en weet ik wat we volgende week of volgende maand verzinnen. Een maandelijkse podcast die de nummertjes opleest, weet ik het. Het kan zomaar.
Gezien dat allemaal niet gebeurt en er bij vragen altijd geroepen wordt "het is te duur", wordt er nog maar weinig echt goed geautomatiseerd. En dat terwijl het toch al ruim een halve eeuw een ding is. Wat zeg ik, ruim een eeuw.
Het probleem dat zich nu voordoet is dat de medewerkers van HR hebben besloten dat het handig is om de hele persooneelsadministratie in dit webportaal op te slaan.
Wat is de motivatie? Zowel in z'n geheel als stuk-voor-stuk over alle gegevens die zo behandeld moeten worden. Daarnaast een uitgebreide risicoanalyse. En dan een houtsnijdende afweging. Waarom is dit een goede balans tussen gemak (voor wie?!?), veiligheid en privacy? En dan eens een opinie van CBP/AP vragen. (Niet dat ik die ambtenarentent nou zo vertrouw, ze zijn zelf ook nogal eens te makkelijk.)
Ik ben van mening, dat kopieen van legitimatiebewijzen niet thuishoren in een webportaal. Deze hoeven alleen beschikbaar te zijn voor een kleine groep medewerkers van de administratie als het bedrijf een controle krijgt bijvoorbeeld.
Zelfs niet eens medewerkers. De belastinginspectie, verder niemand. Je kan die scans rustig uitdraaien en in een kluis stoppen en er verder nooit meer naar omkijken. Of als het electronisch moet: Je geeft een publieke sleutel aan de medewerkers, die versleutelen de scans ermee en zetten de versleutelde scans in een archief. Bij controle vist de chef de bijbehorende private sleutel uit de kluis en kan zo de scans beschikbaar maken voor de belastingdienst. En verder hoeft er niemand bij.
Daarnaast is het ook niet zo, dat alleen de HR-medewerkers toegang hebben tot de legitimatiebewijzen in het webportaal. Als medewerker kun je je eigen kopieen downloaden uit het portaal. Dit kan dus ook iemand anders die onbedoeld je wachtwoord in handen heeft gekregen of ingebroken heeft in je e-mailaccount.
Dat is wel het gevolg ja.
Uiteraard heb ik dit besproken met de HR-medewerkers, maar daar kon ik op weinig begrip rekenen. Hoe kijken jullie hier tegenaan?
Naast dat ik weinig respect heb voor HR-medewerkers in het algemeen, gaat het hier om hunnie eigenste gemak, zichzelf toegerekend zonder voldoende begrip van de materie. Dus dat ze het niet snappen dat is niet raar.
Door Anoniem: Door Anoniem: Dit moet je uiteraard niet bespreken met de HR medewerkers maar met de functionaris gegevensbescherming (data protection officer) van je bedrijf.
Dit is ook gebeurd. Al is er binnen de organisatie niet één persoon duidelijk aangewezen als functionaris gegevensbescherming. Dit zou wellicht moeten, gezien de omvang van de organisatie.
Ook in een klein bedrijfje zou iemand die pet in z'n portefuille moeten hebben.
Echter, ik merk dat er toch terughoudend gereageerd wordt.
Omdat ze het niet snappen, je plannen probeert te torpederen, wellicht omdat het grote bergen geld lijkt te kosten voor geen winst.
Dit komt enerzijds doordat niet duidelijk doordringt wat het risico is dat hier gelopen wordt en anderzijds doordat het blijkbaar toch lastig is binnen een organisatie om elkaar te moet aanspreken op een werkwijze die niet deugt.
Maar eens met de baas gaan babbelen dat dataprotectie een ding is, dat het bruut geld kan kosten daar niets aan te doen (recent verschillende bedrijven die al hun data kwijtgeraakt zijn, wat tientallen miljoenen of zelfs het hele bedrijf gekost heeft). Dat het bedrijf dus een (evt. C-level) functionaris security-en-privacy nodig heeft. Die dan onder andere dit probleem mag oplossen.
HR zit ook maar gewoon zit te spelen met hun kompjoetertjes en weten zij veel, het was toch om het gemak te doen? Nou dan. Maar helaas pindakaas werkt het gewoon niet zo, ook al bieden allerlei fly-by-night "payroll"-bedrijfjes wel allerlei "cloud"-diensten die "gemak" voor de HR-poppetjes moet opleveren. Dat het risico vervolgens geheel op de werknemer wordt afgeschoven, ach, niet hun probleem. Die tweedeling maakt dat het tot een lastige kluif om het goed op te lossen, als in bij de volgende scheet kan hetzelfde in een ander jasje weer misgaan. Dan heb je dus echt iemand nodig die de materie wel snapt.