Privacy - Wat niemand over je mag weten

Loonstrookje via e-mail

09-03-2011, 20:29 door Anoniem, 27 reacties
Mijn baas heeft besloten om loonstrookjes via e-mail te verzenden, dit in het kader van kosten besparing. Het salaris strookje komt dus nu tot mijn grote ontevredenheid binnen op mijn zakelijke email adres in PDF formaat, zonder enige beveiliging.
Toen ik bezwaar maakte hiertegen, gaf de HR manager aan dat ik de enige was die er over viel en dat het strookje niet echt iets persoonlijks is en wat makkelijk met de gewone mail zou kunnen. Toen hij op mijn aandringen de HR dienstverlener (die de salaris strookjes namens hem verwerkte en verzond) vroeg om de mogelijkheden om encryptie toe te passen of een beveiligde portal te creëren, was ik (volgens hen) weer de enige die hier ooit over was gevallen.... en dat terwijl deze club tien duizenden loonstrookjes per maand verwerkt en deze zonder enige beveiliging op de email smijt.
Ik heb er dus nu maar voor gekozen om één maal in de paar maanden mijn uitgeprinte loonstrook te geen halen bij de salaris verwerker.
Maar nu is de vraag: ben ik de enige en wat kan ik hier een doen... kan ik eisen dat mijn strookje weer maandelijks in de bus vast in een dicht geplakte envelop?
Reacties (27)
10-03-2011, 12:14 door Preddie
laat me raden, unencrypted SMTP, zonder certificaat in een onbeveiligde PDF........

Ja je mag een acceptabel niveau van beveiliging verwachten bij de verwerking van persoongegevens. Het feit dat jij de enige bent wil niet zeggen dat je ook de enige bent die iets tegen de huidige werkwijze heeft. Andere zullen zich totaal niet bewust zijn van de risico's die ze lopen.

Daarnaast kun je je afvragen of je uberhaupt wel dit soort gegevens in je zakelijk mailbox wilt hebben, gezien het feit dat wanneer je ontslagen wordt of de organisatie verlaat, jou collega en/of jou baas, jou mailbox mag inzien ......

wat je kunt eisen weet ik niet precies. Volgens mij kan je niet eisen je het de werkgegever niet verplichten om het naar een huisadres op te sturen omdat je als werknemer niet verplicht ben je adresgegevens af te staan aan je werkgever (bij ons in het bedrijf ook ooit iemand geweest die zijn adres niet wilde delen, wij dachten dat dit bij wet moest maar het tegendeel blijkt waar te zijn)
10-03-2011, 12:17 door SirDice
Lijkt me een mooie vraag voor Arnoud. Ik ben wel benieuwd naar het antwoord.

Persoonlijk geef ik je gelijk. Een loonstrook via de post gaat altijd nog in een dichte envelop. Er zijn diverse wetten die er voor zorgen dat jouw post niet geopend mag worden onderweg. Nu zijn er ook wel wetten die verbieden dat e-mail van een ander gelezen mag worden maar in tegenstelling tot een klassieke envelop kun je moeilijk controleren of de inhoud onderweg is bekeken of aangepast (tenzij je bijv. PGP toepast).
10-03-2011, 12:19 door quikfit
http://www.hrpraktijk.nl/nieuws/nieuws/wilt-u-het-loonstrookje-digitaal-versturen-dit.643251.lynkx

Voorwaarde 1 lijkt me al duidelijk genoeg.
10-03-2011, 12:41 door Anoniem
Door SirDice: Lijkt me een mooie vraag voor Arnoud. Ik ben wel benieuwd naar het antwoord.

Persoonlijk geef ik je gelijk. Een loonstrook via de post gaat altijd nog in een dichte envelop. Er zijn diverse wetten die er voor zorgen dat jouw post niet geopend mag worden onderweg. Nu zijn er ook wel wetten die verbieden dat e-mail van een ander gelezen mag worden maar in tegenstelling tot een klassieke envelop kun je moeilijk controleren of de inhoud onderweg is bekeken of aangepast (tenzij je bijv. PGP toepast).

SirDice,

Is een onbeveiligde e-mail niet te beschouwen als een ouderwetse kaart (zonder envelop)? Een ouderwetse kaart zonder envelop heeft immers, en zover ik weet, wettelijk een andere status dan een kaart/brief in een envelop.

Maar inderdaad is dit een zeer goede vraag voor Arnoud.
10-03-2011, 13:03 door Preddie
Door quikfit: http://www.hrpraktijk.nl/nieuws/nieuws/wilt-u-het-loonstrookje-digitaal-versturen-dit.643251.lynkx

Voorwaarde 1 lijkt me al duidelijk genoeg.

bedankt voor de toevoeging, dit geeft een boel duidelijkheid !
10-03-2011, 13:24 door Anoniem
Bij ons is dat nu ook aan de orde. Mijn werkgever gebruikt de diensten van Mazars (http://www.mazars.nl) voor loon verwerking.
Jammer genoeg kan ook Mazars(die toch geen kleine speler is in HR land) geen beveiligde loonstrookjes leveren.
10-03-2011, 14:05 door Anoniem
Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.
10-03-2011, 14:15 door Speedy
Bij mijn werkgever is dit ook het geval.
Tevens hebben ze ons alleen een mail gestuurd met daarin de opmerking dat ze voortaan digitale loonstroken gingen verstrekken.
Er is aan ons geen toestemming gevraagd en lijkt het mij dat ze op dat punt in overtreding zijn.(zie de link van quikfit).
Het is ook niet mogelijk om te weigeren zeggen ze.
10-03-2011, 14:19 door Anoniem
In het tijdschrift Loonzaken nr 2 van 2011 staat vermeld dat er hoge eisen zijn verbonden aan het aanleveren van de digitale loonstroken.
Ga vanavond dit artikel eens rustig naleze daar ik het blad nu niet voor de hand heb liggen.

http://loonzaken.sdu.nl/preview
10-03-2011, 14:46 door Anoniem
Door Anoniem: Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.

... stel voor dat het bedrijf maildiensten heeft ingekocht via de cloud van Microsoft of Amazon. niks intern :-(
10-03-2011, 15:03 door Speedy
Door Anoniem: Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.

Ben ik met je eens, echter in mijn geval is het een extern accountants kantoor welke de loonstroken over internet verstuurd.
10-03-2011, 16:09 door Syzygy
Door Speedy:
Door Anoniem: Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.

Ben ik met je eens, echter in mijn geval is het een extern accountants kantoor welke de loonstroken over internet verstuurd.

Dus net zoiets als het openbare Postnetwerk.

Postbus
Ophalen
Verdeelstation
Transport naar andere stad
Ander Verdeelstation
Postbode
Huis

Ik denk dat er meer mensen en het veel laagdrempeliger is om in bovenstaande keten iets te doen dan via het Inetrnet.
10-03-2011, 16:44 door Anoniem
Door Anoniem: Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.

Een loonstrookje via de post zit meestal in een afgesloten envelop. Daarvan kun je zien of die geopend is. Bij mail is dat niet mogelijk.

Als er een probleem is met het afleveren van de mail, gaat die via de papieren weg ongeopend terug naar de salarisadministratie. Bij e-mail heb je er geen idee van waar de mail allemaal terecht komt en of dat met of zonder bijlage is.

In de begintijd van internet bij ons (al weer bijna 20 jaar geleden) was het gebruikelijk dat de mailbeheerder door alle gebouncde mail keek (alleen geaddresseerde en onderwerp) om te zien of hij a.d.h.v. die gegevens kon zien aan wie de mail geaddresseerd moeten zijn. Tikfouten waren zeer gebruikelijk in die tijd. Maar het was heel eenvoudig om door te bladeren naar de inhoud van de mail om die even te bekijken.

Ook nu komen nog veel bounces bij mailbeheerders terecht. En niet alleen binnen het bedrijf of bij de salarisadministratie.

Peter
10-03-2011, 21:55 door Anoniem
Het volgende staat in de handleidingvoorverwerkerspersoonsgegevens.pdf (via http://www.cbpweb.nl/Pages/bro_wbp.aspx);

Hoe gevoeliger de gegevens,hoe zwaarder de toegepaste beveiliging moet
zijn.
Zijn de gegevens minder gevoelig,dan hoeft u niet steeds de zwaarst
mogelijke beveiligingsmaatregelen nemen.

• U moet rekening houden met de stand van de techniek en de kosten van
de maatregelen.

Als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van
de toename in beveiligingsniveau,dan zijn die maatregelen niet passend en
hoeft u ze dus niet te nemen.Kunt u echter tegen geringe kosten komen tot
een beduidend veiliger systeem,dan moet u deze maatregelen zeker nemen.

Nu zijn de gegevens die op je loonstrook staan behoorlijk gevoelig (NAW, diverse bedragen, BSN, etc). Het bedrijf dient dus passende maatregelen te nemen, tenzij de kosten van de passende maatregel buiten proportie zijn.

Persoonlijk zou ik hier een behoorlijk punt van maken.
Wat let je om (anoniem) een mailtje te sturen naar CPB en de situatie uitleggen zonder de naam van het bedrijf te noemen?
11-03-2011, 08:12 door Anoniem
Wat een gezeik zeg.. Ga jij maar eens onderweg sniffen, alsof dat zo makkelijk is. Verder, sja, je krijgt 'm op je zakelijke mail adres. Open dat ding en print 'm uit op kosten en in de tijd van je baas en delete het mailtje, klaar!
11-03-2011, 10:11 door Anoniem
Door Anoniem: Wat een gezeik zeg.. Ga jij maar eens onderweg sniffen, alsof dat zo makkelijk is. Verder, sja, je krijgt 'm op je zakelijke mail adres. Open dat ding en print 'm uit op kosten en in de tijd van je baas en delete het mailtje, klaar!

Hoe lang duurt het voor dat mailtje ook echt weg is? En dus niet in een backup of "previous version" systeem zit.

Voor mij is het trouwens heel eenvoudig om onderweg mailtjes af te vangen. De software die wij gebruiken voor het controleren van e-mail op virussen en spam, biedt die mogelijkheid. Dat staat alleen niet aan.

Peter
11-03-2011, 10:50 door Anoniem
Een loonstrook behoort tot bijzondere persoonsgegevens en daar dienen extra beveiligingsmaatregelen voor genomen te worden bij het transport over onveilige netwerken. Dat maakt niet uit of het een bedrijfsnetwerk is of niet.

Je zou de OR kunnen aanspreken of de werkgever wijzen naar de WBP art. 13:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Of http://www.cbpweb.nl/Pages/av_23_Beveiliging.aspx.

Dit zou voldoende richting moeten geven. Een melding bij het CBP is ook een optie echter moet je daar niet al te veel van verwachten.
Ik verbaas me nog steeds over de simpelheid waarmee bedrijven nog steeds, anno 2011, complete bestanden met bijzondere persoonsgegevens over onveilige netwerken verzenden. Onder welke steen leven de mensen die dergelijke zaken goedkeuren eigenlijk?
11-03-2011, 11:24 door Anoniem
Persoonlijk zou ik hier een behoorlijk punt van maken.
Wat let je om (anoniem) een mailtje te sturen naar CPB en de situatie uitleggen zonder de naam van het bedrijf te noemen?
Laat ik nou al langer dan een maand geleden zo'n mailtje over het personeelsadministratiesysteem van mijn baas hebben gestuurd. Nog niks van terug gehoord.
11-03-2011, 12:10 door Syzygy
Door Anoniem:
Persoonlijk zou ik hier een behoorlijk punt van maken.
Wat let je om (anoniem) een mailtje te sturen naar CPB en de situatie uitleggen zonder de naam van het bedrijf te noemen?
Laat ik nou al langer dan een maand geleden zo'n mailtje over het personeelsadministratiesysteem van mijn baas hebben gestuurd. Nog niks van terug gehoord.

Hun spamfilter werkt dan in ieder geval wel goed ;-)
11-03-2011, 13:32 door Black eagle
De Nederlandse Wet is duidelijk dat er passende maatregelen nodig zijn.

Het onderscheppen van Email is relatief simpel en ongemerkt te doen.
Denk aan Journaling rules enz.
Veel mail system hebben nadat de gebruiker de mail verwijderd heett (ook deleted items leeg heeft gemaakt) nog een retentie tijd van een paar dagen waar de mail alsnog in de database staat en opgehaald kan worden door een beheerder.

In veel gevallen word de mail pas gepurged nadat er een backup gemaakt is.
Deze backups worden vaak wel langer bewaard.

Ookal is het intern zou de mail encrypted moeten zijn (in envelop doen). Dat maakt het iets veiliger.

Zoals eerder aangegevn is de post:
Door Anoniem: Is een loonstrook welke wordt verstuurd binnen een bedrijfsnetwerk minder veilig dan een loonstrook welke op papier wordt verstuurd via de post ? Immers krijg je die loonstrook ook niet encrypted binnen, en het onderscheppen van de papieren loonstrook is 'ietsje' makkelijker ? Ik geef je op zich wel gelijk, maar denk dat aan de papieren versie evenzeer risico's kleven.

Daar zijn Wetgevingen voor. Tevens is de brief verzegeld (vaak met zakelijke branding) waardoor je kan zien of er wat mee gebeurd is.

Met standaard SMTP kan je niet zien of iemand meegekeken heeft. Met Encryptie kan je dit wel zien.

Alles is te omzeilen echter je kan het wel zo moelijk mogelijk maken.
Maar dit begint bij het bewust maken van de gevaren.
11-03-2011, 14:27 door Anoniem
Een admin die jouw gegevens wil hebben haalt die gewoon uit de P&O database of de digitale kopie van je contract, of 1 van de tig andere manieren. Daar hoeven ze helemaal niet je mail voor te onderscheppen. Niet dat jij nu zo interesant bent dat ze daar de moeite voor gaan doen.
11-03-2011, 16:38 door spatieman
stuur een geinfecteerde loonstrook PDF naar je werkgever toe (wel voor de juiste afzender zorgen)
zal hem leren !
12-03-2011, 17:08 door Anoniem
mij werk werkgever heeft me email adres niet......krijg ie ook niet.
vroeg toen om zeg heb ik niet
12-03-2011, 22:14 door Anoniem
Door Anoniem: Een admin die jouw gegevens wil hebben haalt die gewoon uit de P&O database of de digitale kopie van je contract, of 1 van de tig andere manieren. Daar hoeven ze helemaal niet je mail voor te onderscheppen. Niet dat jij nu zo interesant bent dat ze daar de moeite voor gaan doen.

Natuurlijk. Maar dat wil niet zeggen dat je vervolgens meer gelijkheid in je bedrijf moet brengen door meer mensen toegang te geven tot die gegevens.

Peter
12-03-2011, 22:15 door Anoniem
Door spatieman: stuur een geinfecteerde loonstrook PDF naar je werkgever toe (wel voor de juiste afzender zorgen)
zal hem leren !

Pas de pdf aan zodat er een hoger salaris op staat (wel zorgen dat alle afdrachten e.d. kloppen) en ga dan klagen dat je niet je volledige netto salaris op je bankrekening hebt gekregen.

Peter

Disclaimer: Dit is natuurlijk een geintje. Het wijzigen van die pdf zou best eens strafbaar kunnen zijn.
14-03-2011, 13:19 door Black eagle
Een admin die jouw gegevens wil hebben haalt die gewoon uit de P&O database of de digitale kopie van je contract, of 1 van de tig andere manieren. Daar hoeven ze helemaal niet je mail voor te onderscheppen. Niet dat jij nu zo interesant bent dat ze daar de moeite voor gaan doen.

Bij de meeste P&O systemen is de database Geincrypt en niet makkelijk leesbaar voor de server beheerders.
Applicatie beheerders daarintegen kunnen er wel 'makkelijk' bij maar dan zou er een vertrouwelijkheid schending zijn die vastgelegd hoort te zijn in contract.

Bij een goed P&O packet is er ook auditing ingeregeld waar de Server en Applicatie Beheerders niet bij kunnen maar wel de Auditers. de auditors hebben zelf geen rechten op de server of applicatie. Zo zou het moeten zijn.

Pas de pdf aan zodat er een hoger salaris op staat (wel zorgen dat alle afdrachten e.d. kloppen) en ga dan klagen dat je niet je volledige netto salaris op je bankrekening hebt gekregen.

Heeft natuurlijk geen zin aangezien P&O je orginele salaris strook kunnen opvragen ;-).
14-03-2011, 18:04 door Anoniem
Ik zou aanraden eens te kijken naar email encryptie oplossingen die het relatief makkelijk maken om email berichten met loonstroken in de bijlage te versleutelen om zodoende de exclusieve beschikbaarheid, integriteit en confidentialiteit van het bericht en de loonstrook distributie te borgen. Dit kan bijvoorbeeld met email encryptie oplossingen waarbij de beveiligde email alleen met behulp van een eenmalig via SMS toegezonden of statisch wachtwoord geopend kan worden. De medewerker hoeft zich dan niet zorgen te maken over wie er allemaal meeleest en zal dan ook sneller toestemming geven om de loonstrook groen te ontvangen. Voorbeelden van dit soort oplossingen zijn: Compumail van Compumatica en MailID van ID Control.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.