image

Juridische vraag: Is het versturen van loonstroken per e-mail in lijn met de AVG?

donderdag 15 maart 2018, 10:24 door Arnoud Engelfriet, 29 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Een lezer vroeg me: Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Antwoord: Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor "adequate" oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een 'gedwongen' situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (29)
15-03-2018, 11:05 door Anoniem
Beste Arnoud,

Ik ben het hier niet met je eens. Loonstrookjes bevatten behalve financiele gegevens ook vrijwel altijd naam, adres, geboortedatum en BSNnummer. Dit is van een dermate gevoelige aard dat ik geen mogelijkheid zie om dit (zonder extra maatregelen) via de e-mail te mogen doen. Dit heeft simpelweg niet een hoog genoeg beveiligingsniveau. En toestemming vragen hiervoor in een werknemer-wergever verhouding zie ik niet als "vrij gegeven", zeker niet als dit deel is van het arbeidscontract.
15-03-2018, 11:17 door buttonius
Mijn werkgever (TU Delft) maakt de loonstroken beschikbaar op een beveiligde site. Je kunt alleen bij je eigen gegevens en daarvoor gebruik je de login gegevens die je ook gebruikt voor je werk-laptop, enz. Ik vind dit wel een redelijke aanpak.
Een administratiekantoor kan ook zo'n site opzetten, maar dan zullen de betrokken werknemers een gebruikersnaam en wachtwoord voor die site van dat administratiekantoor moeten krijgen. Alternatief is een of andere LDAP constructie die de werknemers met credentials die ze bij hun eigen werkgever gebruiken laat inloggen op de beveiligde site van het administratiekantoor.
15-03-2018, 11:35 door Anoniem
Je kunt als alternatief ook een papieren envelop gebruiken, of het postvakje.
Jaja, hopeloos ouderwets, niet van deze tijd.
Maar werkt wel en privacy is bij wet geregeld.
15-03-2018, 12:07 door novhpuntnet
Persoonlijk zeg ik, doe ze maar mooi op papier. Maargoed, ik kan er ook wel inkomen dat mensen "digitaal" willen, want dat lijkt wel hip en makkelijk ook al zitten er enorme verborgen kosten aan.

Een daarvan is dat je iedere keer weer ziet hoe beperkt de ontwikkelingen op het gebied zijn. "Oh ja, email is niet goed he? Nou dan bouwen we wel een website!" maar nu moeten de werknemers zelf de "klaargezette" PDFjes komen ophalen. Is ook niet in lijn met de wet.

Moet het digitaal, dan wil ik het ook automatisch afgeleverd krijgen, bijvoorbeeld in mijn inbox. Maar veilig. Dus zorg dat je het kan versleutelen, met PGP/GPG danwel S/MIME danwel iets anders naargelang de werknemer(!) dat wil. Maar dan moet je dus die keuze kunnen bieden, en dat weer bijhouden, en zo verder. Doet VZIW niemand, maar als je even wat redelijke eisen van bruikbaarheid voor de werknemer(!) verzint, zoals ik hierboven gedaan heb, dan zie je dat het wel moet. Waarmee ik concludeer dat een hele hoop payrollbedrijfjes hun leuke systeempje (ook maar ingekocht hebben en) niet afgestemd hebben op de werknemer. Het gaat puur over outsourcen van regelneuken ("compliance") voor de werkgever, niet over nut voor de werknemer.

Papier is in vergelijking heel makkelijk want bekend en goed beheersbaar, ondanks de postzegelprijs. Met automatisering moet nog heel veel werk verzet worden voor je iets goeds hebt, wat ook niet goedkoop is. Je kan zelfs zien dat de meeste mensen dat gewoon teveel werk is, dus zijn de meeste "geautomatiseerde" systemen halfbakken, en dus zelf een risico. Je kan je best doen het goed "digitaal" op te lossen, of je kan bij papier blijven. Wil je het eerste, heb je iemand nodig die je hierbij kan helpen.
15-03-2018, 13:00 door Anoniem
Haha,

al jaren onveilig

De meeste domme mensen laten dit sturen naar een hotmail/gmail adres ... haha

en hoeveel securitymanagers nog microsofttroep gebruiken , ongelooflijk!
15-03-2018, 14:20 door Anoniem
En hoe zit dat eigenlijk met facturen ? Eneco loopt nu al te pushen omdat ze de papieren facturen willen afschaffen en dat ze daarvoor m'n email adres nodig hebben, en vanwege die hier benoemde security risico's wil ik dat helemaal niet.
15-03-2018, 14:49 door Anoniem
Precies zoals novhpuntnet al aangeeft: gebruik S/MIME en PGP om deze e-mails en hun bijlagen te beveiligen dan weet je zeker dat het relatief goed beveiligd is zonder dat je allemaal stunts moeten gaan uithalen met wazige portals die gehackt of geDDOSed kunnen worden, mensen het niet op hun smartphone kunnen openen omdat ze het ww weer eens niet hebben en waarbij de berichten niet in eigen beheer zijn, ze niet naar een iPad gedownload kunnen worden, etc, etc, etc...

Met S/MIME en PGP kun je ook ondertekenen waardoor phishing kansloos wordt en door de versleuteling is het niet erg als salarisgegevens per ongeluk naar een verkeerd adres worden gestuurd.

Maar ja leg dat maar eens uit aan ICTers die niet snappen wat met beveiligen bedoeld wordt.
15-03-2018, 15:11 door Anoniem
Door Anoniem:en hoeveel securitymanagers nog microsoft(...) gebruiken , ongelooflijk!

Of alweer. Er is de laatste tijd wel wat gewijzigd in de IT wereld. Ik weet niet of je dat in de gaten hebt.
Microsoft werkt steeds meer aan de beveiliging.
Daarnaast is het tegenwoordig veel lastiger om een beheerder te vinden die een Linux server met Postfix goed en veilig kan installeren en beheren. Zeker als je ook nog een webmail mogelijkheid wilt en niet alleen IMAP.

Peter
15-03-2018, 15:16 door Anoniem
Door Anoniem: Haha,

al jaren onveilig

De meeste domme mensen laten dit sturen naar een hotmail/gmail adres ... haha

en hoeveel securitymanagers nog microsofttroep gebruiken , ongelooflijk!

Gaan we weer MS bashen en mensen voor dom uitmaken, hoe dom ben je zelf dan wel niet?
heb je ook nog wat zinnigs te melden hier?

Ik ben het wel eens met een van de reageerders hierboven (1105), per mail en onbeschermd verzenden kan gewoon echt niet. Toestemming ja zeker, maar je hebt als werkgever ook zorgplicht om geen datalek te zijn als je met je medewerker communiceert. En moeilijk hoeft dat helemaal niet te zijn. Bijna ieder zichzelf respecterend HR pakket heeft een medewerkers portal, geef ze 2FA en mail alleen dat er iets staat, zo moeilijk kan dat toch niet zijn?
15-03-2018, 15:20 door Anoniem
Door Anoniem: Haha,

al jaren onveilig

De meeste domme mensen laten dit sturen naar een hotmail/gmail adres ... haha

en hoeveel securitymanagers nog microsofttroep gebruiken , ongelooflijk!
Ergens last van? Wanneer je wilt reageren, gebruik dan argumenten en geen kreten, laat staan opmerkingen waarmee je mensen belachelijk lijkt te willen maken.
15-03-2018, 16:07 door mcb
Een eerdere werkgever van mij heeft dit ook per mail verstuurd.
Maar dat waren wel beveiligde pdf'jes waar een pw op zat (iedere werknemer apart pw).

Ik heb overigens niet uitgezocht in hoeverre die pdf'jes te kraken waren.
15-03-2018, 17:46 door Anoniem
Afz FB

Kijk. Hier heb je een heel goede reden waarom de overheid op Paspoort, ID-bewijs, Verblijfsvergunning, Rijbewijs, Kentekenbewijs, etc een PKIo certificaat zou moeten plaatsen. Dan wordt secure email vanzelf gemeengoed.

Waarom moet de overheid hierin voorzien? Omdat het dan generiek kan werken en de kosten het laagst blijven. Over de kosten
- de CA kost geld
- de chip waarin de certificaten kost ongeveer 2-3 euro (bij relatief lage aantallen)
- de bits kosten niets
- het uitgifteproces kost niets (dat is er namelijk al)
- de opbrengst voor de samenleving is enorm

Vwb policy
- levensduur van de certificaten gelijk aan de levensduur van het document (bijv max 10 jaar)
- is dit volgens de de-facto normen? Nee, maar who cares. Dit is altijd veiliger dan plain tekst.
- verder kunnen de vercijfercertificaten op de verschillende documenten dezelfde zijn (zelfde sleutel en dat mag volgens de-facto standaarden).

Zomaar een ideetje
15-03-2018, 18:49 door Anoniem
Door Anoniem: Kijk. Hier heb je een heel goede reden waarom de overheid op Paspoort, ID-bewijs, Verblijfsvergunning, Rijbewijs, Kentekenbewijs, etc een PKIo certificaat zou moeten plaatsen. Dan wordt secure email vanzelf gemeengoed.
Nou nee, dat is geen goed idee. Je schuift en passant nog meer macht naar de overheid zonder direct aanwijsbare reden en je promoot nog meer "one size fits none"-non-oplossingen. Zoals "mijnoverheid" een non-oplossing is. Daar krijg je dan dus nog meer van en je kan er nog minder omheen. Slim!

Zomaar een ideetje
Ik begrijp wel waar je vandaankomt, maar het is het soort oplossingsarrogantie dat Ambtenaren en "coders" beiden zo eigen is. De premisse is: Het werkt nauwlijks maar zolang we maar met z'n allen volhouden dat het een goed idee is dan kunnen we mischien de nadelen wel wegnegeren. Dat werkt, echt wel!

Niet dus. Je hebt hier echt betere ideetjes nodig. Maarja, omdat we denken dat de bestaande halfbakken ideetjes goed genoeg zijn komen we maar niet met betere. De eerste realisatie is dat niet iedereen in hetzelfde hokje te proppen is, en dat is iets wat "PKI" wel doet. Daarmee is het al een halfbakken ideetje dat gewoon niet goed genoeg is. Maar er is meer.
15-03-2018, 18:51 door karma4 - Bijgewerkt: 15-03-2018, 18:58
Een pdf kan je encrypten met aes
https://helpx.adobe.com/acrobat/using/securing-pdfs-passwords.html dan is het tot op dat niveau beveiligd.

Een bsn hoort niet een gevoelig gegeven te zijn.
Die waanzin van bzk faal zou eens een keer veranderd moeten worden.
15-03-2018, 20:46 door Anoniem
Bijna alle smtp servers staan tegenwoordig ingesteld op gebruik van tls. Is dat niet voldoende?
16-03-2018, 00:34 door Anoniem
Door Anoniem: Bijna alle smtp servers staan tegenwoordig ingesteld op gebruik van tls. Is dat niet voldoende?

Nee:

- Het voorkomt geen phishing door het gebrek aan een digitale handtekening.
- Alleen de communicatie tussen de servers is beveiligd, mits alle servers in de keten meedoen, de mailspool kan toch nog door de server stiekem gedupliceerd worden, bv een mailserver in het buitenland.
- TLS is een protocol met constant gaten in de implementatie, dat is anders dan een bewezen, losstaand algoritme.
- Je kan er geen documenten mee ondertekenen/versleutelen.
- Het is niet end-to-end, dus breek je in op de mailserver van de ontvanger dan kun je gewoon zijn mail lezen.
16-03-2018, 09:32 door Anoniem
@ 18:49 door Anoniem

Fair enough. Ander standpunt. Daar heb ik respect voor.

Tja. Meer macht naar de overheid. Ik zou juist andersom willen pleiten. Een overheid die dienend is aan de burgers en de rest van de samenleving. Maar het kan inderdaad leiden tot meer macht van de overheid.

Ik bedoel dit niet als oplossingsarrogantie. Van de andere kant moet er wel een keer iets gebeuren. Ik heb het eID met als aanvulling Bart Jacobs' IRMA als mogelijkheid gezien. Beter dan DigiD (dat alleen bedoeld is voor inloggen). Hogere zekerheden waar dat nodig is. Anonimiteit als dat vereist of gewenst is. En 'gratis' ook exclusiviteit voor emailuitwisseling. En dat moet op elk platform kunnen werken. Wellicht heb ik het helemaal fout.

Maar eehh.
Heb je specifieke situaties in gedachten waar het niet zou kunnen werken?
Heb je principiële punten waar rekening mee gehouden moet worden?
Heb je een beter oplossingsrichtingen waar ik over na kan denken?

Ik zou graag de goede visionaire richting willen kennen
Ik zou graag in die goede richting over oplossingen willen denken.
Wil je me helpen?

Ik hoor graag
Afz FB
16-03-2018, 09:53 door Anoniem
Door karma4: Een pdf kan je encrypten met aes
https://helpx.adobe.com/acrobat/using/securing-pdfs-passwords.html dan is het tot op dat niveau beveiligd.

Een bsn hoort niet een gevoelig gegeven te zijn.
Die waanzin van bzk faal zou eens een keer veranderd moeten worden.

In GDPR is het BSN nummer ook juist GEEN bijzonder persoonsgegeven keer, in de WBP is dit dus wel nog...
Het kan wel zijn dat onze overheid / de autoriteit persoongegevens na 25 mei beslits dan BSN wel een bijzonder persoonsgegeven is, gezien dat WBP vervalt zou dat moeten om het dus weer een bijznder persoonsgegeven te maken.
16-03-2018, 10:20 door Anoniem
Door Anoniem: Je kunt als alternatief ook een papieren envelop gebruiken, of het postvakje.
Jaja, hopeloos ouderwets, niet van deze tijd.
Maar werkt wel en privacy is bij wet geregeld.
Een stuk papier gesloten met wat spuug en bezorgt door een minimumloner in een brievenbus waar iedereen het uit kan vissen. Ja, dat is echt veilig. Er zou een wettelijk verbod moeten komen op het versturen van privacygevoelige informatie via de post.
16-03-2018, 11:08 door Anoniem
Door Anoniem: Tja. Meer macht naar de overheid. Ik zou juist andersom willen pleiten. Een overheid die dienend is aan de burgers en de rest van de samenleving. Maar het kan inderdaad leiden tot meer macht van de overheid.
Kijk, de overheid zelf denkt dat ze het heel goed doet. Zo goed zelfs dat ze er niet eens over na hoeven denken maar gewoon aannemen dat ze het beter weten en de waarheid en de eerlijkheid in pacht hebben.

Ik wil ook een dienende overheid, maar dat doe je niet door ze ongebreideld macht te geven. Want macht smaakt altijd naar meer, hele menselijke eigenschap. Dus geef je ze precies wat ze nodig hebben en niet meer. Bovendien maak je de overheid transparant en blijf je met argusogen kijken wat ze uitspoken. Niet omdat ze niet te vertrouwen zijn, maar vanwege die natuurlijke tendens.

Zet je de overheid neer als broker van veilige communicatie omdat je ze de sleutels-van-de-sleutels in handen geeft (rootCA), dan geef je ze enorm veel macht voor een relatief klein ding. Bovendien zijn er betere oplossingen te verzinnen. Communicatie heeft namelijk niet inherent een derde partij nodig die zegt "ja jullie zijn wie jullie zeggen te zijn". Dat kun je ook onderling oplossen. En natuurlijk is het soms handig dat indirect te kunnen doen ("mijn vriendje zegt dat jullie zijn wie jullie zeggen te zijn dus vertrouw ik dat ook maar"), maar er is geen directe noodzaak dat te centraliseren, hoe handig dat ook kan zijn, en dus helemaal niet om dat verplicht voor iedereen te centraliseren. Dat laatste is wat zo'n overheid-certificeert-jouw-sleutels verhaal doet.

Ik bedoel dit niet als oplossingsarrogantie.
Ik begrijp dat je het niet zo bedoelt. Maar het is wel het effect: Je ziet een probleem, en je zegt "oh, ik weet het! we pakken gewoon $dat erbij!" terwijl als je even verder kijkt je moet concluderen dat het niet begint een afdoende oplossing voor het probleem te zijn. Je bent niet de eerste: De ontwerper van PKI dacht ook dat het een goed idee was.

Van de andere kant moet er wel een keer iets gebeuren.
Dat is waar. De vraag is wat dan? Welke hoek? Techniek, of procedure, of iets anders mischien? Ik denk dat een van de dingen waar we vanaf moeten is zelfs het hele model van een administratie waarin iedereen precies één naam (en één nummer) is, dat altijd hetzelfde blijft van geboorte tot dood. Dat het voor de meeste mensen opgaat wil niet zeggen dat het nodig is om dat door overheidsadministratie af te dwingen. Bijvoorbeeld, ga kijken hoe je in Engeland van naam verandert, het begint met een "deed poll". En het is die rigiditeit die privacyproblemen in de hand werkt en ze onoplosbaar maakt.

Het is mischien ook wel goed te bedenken dat onze administratie puur op papier baseert en dat "automatisering" voor (semi)overheden nog altijd een zo recht-op-en-neer mogelijke "digitale kopie van papier"-behandeling betekent. Een digitale signatuur is daar nog steeds een plaatje wat je in een document plakt, met allerlei extra software om dat plaatjesplakken door de verkeerde persoon zoveel mogelijk af te plakken. Echt goed doordacht enzo. Hoon terzijde, ik denk dat als je serieus "digitaal" wil gaan je het goed moet doen "op digitale wijze", nog steeds met fall-backs, maar daar ook het hele plaatje van eisen in moet voegen en vooral ook eisen die je stelde omdat dat papier werkbaar maakt niet ongezien overkopieert.

Maar ook dat van iedereen een naam vastleggen en identiteitskaarten uitdelen zijn oorsprong heeft in politieke dissent controleerbaar maken en onderdrukken. Voor een vrij land is dat best wel een zwaard van Damocles om boven eenieders hoofd te hebben hangen. Dat kan wellicht ook wel beter.

Een werkbare oplossing heb ik al een tijdje in mijn hoofd. De wiskunde bestaat. De kern is dat iedereen een "first class citizen" is. De implementatie is nog wel een dingetje en de practische kant wordt uitzoeken. Maargoed, als we dat in de vingers krijgen, hebben we ook een goede basis om op verder te bouwen.

Zo'n basis is PKI ten ene malen niet, helaas. Dat weten we nu wel. Leuk geprobeerd maar gewoon niet goed genoeg. Te onflexibel en rigide. Te centraal. Verdeelt de wereld in eerste- (rootCAs) en tweederangs burgers (de rest). En zo verder.

Ik heb het eID met als aanvulling Bart Jacobs' IRMA als mogelijkheid gezien. Beter dan DigiD (dat alleen bedoeld is voor inloggen). Hogere zekerheden waar dat nodig is. Anonimiteit als dat vereist of gewenst is. En 'gratis' ook exclusiviteit voor emailuitwisseling. En dat moet op elk platform kunnen werken. Wellicht heb ik het helemaal fout.
Ik heb eigenlijk niet eens meer echt opgelet wat ze daar nou bekokstoven aangezien het altijd neerkomt op iets dat van, voor, en door de ovherheid is, verzonnen door de overheid om overheidsprobleempjes op te lossen. Dat de burger er ook nog iets mee moet, ach, vergelijkingen met TLS en hun houding tot de eindgebruikende reiziger ("niet interessant") dringt zich op. Zolang het centraal door de overheid toegekend wordt blijf je tegen het probleem van de overheid aanlopen.

En zolang de overheid de kern van het probleem vormt gaat dat met het dienen altijd ongemakkelijk blijven.

Maar eehh.
Heb je specifieke situaties in gedachten waar het niet zou kunnen werken?
Kijk, het zal voor het grootste gedeel wel "werken", maar hoe dan? Het wordt er vrij snel enorm naargeestig van. Het punt van dystopie is niet dat het niet kan werken. Het punt is dat het wel lijkt te werken maar je hebt met al je goede bedoelingen vooral de weg naar de hel geplaveid, en je hebt het zo voortvarend gedaan dat eruitstappen verrekte lastig geworden is. Dat is leuk zolang je aan het einde van het verhaal het boek kan dichtslaan maar als je erin geboren wordt is het toch even een ander verhaal.

Heb je principiële punten waar rekening mee gehouden moet worden?
Heb je een beter oplossingsrichtingen waar ik over na kan denken?
Begin met de observatie dat je iets wil wat geschikt is voor decentraal gebruik (PGP en "web of trust", bijvoorbeeld), maar ook geschikt is voor overheids- en grootbedrijfsgebruik, want er zijn wel situaties waar je bijvoorbeeld handelingsbevoegdheid wil kunnen delegeren, en die delegatie ook weer wil kunnen intrekken. Je wil heel principieel dat iedereen in het systeem een "first class citizen" is. Dat is een hele harde eis.

Maar tegelijkertijd moet je met privacy rekeninghouden, en zelfs PGP/GPG gaat daar al op z'n gat. Want kijk naar bijvoorbeeld hoe keyservers werken. Verder, hoe ga je bijvoorbeeld werk en privé scheiden als je precies één enkele encryptiesleutel hebt? Want voor zo'n allesomvattend systeem, zeker als er crypto in het spel is, gaan mensen gemakshalve pakken wat ze al hebben en niet ook nog iets anders gebruiken. Alternatieven gaan dus uit de markt gedrukt worden en zelfs als crimineel gezien worden gewoon omdat ze niet het monolitische overheidssysteem zijn.

Dat zijn deels niet eens technische grappen maar gedrag dat door de techniek in de hand gewerkt wordt. Een beetje zoals je nu al in steeds meer winkels met de nek wordt aangekeken als je het waagt contant te hadden willen betalen. Terwijl zodra je jouw pinpas ergens insteekt er een regeltje in een logboek wordt bijgeschreven dat zeven jaar bewaard moet worden. Met jouw naam, jouw rekeningnummer, de datum, tijd, en locatie. Terwijl eigenlijk alleen het bedrag relevant is. Dat is dus gedwongen teveel data opslaan. Dat wil je dan dus niet sociaal ook nog eens extra afdwingen. Dat moet gewoon niet nodig zijn, op geen enkele manier.

Ik zou graag de goede visionaire richting willen kennen
Ik zou graag in die goede richting over oplossingen willen denken.
Wil je me helpen?
Dit is mijn visie, niet de goede richting. Ik kwam erop door vrij compromisloos te zeggen, dit is wat ik belangrijk vind, en een werkbare oplossing zal daar dus aan moeten voldoen. Voor mij niet zo moeilijk, maar ik zie nog niet echt dat de rest van de wereld het ook ziet. Heel vermoeiend.

Maargoed, als er iemand zo gek is om dit te willen opzetten, laat maar weten.
16-03-2018, 18:50 door karma4
Door Anoniem:
In GDPR is het BSN nummer ook juist GEEN bijzonder persoonsgegeven keer, in de WBP is dit dus wel nog...
Het kan wel zijn dat onze overheid / de autoriteit persoongegevens na 25 mei beslits dan BSN wel een bijzonder persoonsgegeven is, gezien dat WBP vervalt zou dat moeten om het dus weer een bijznder persoonsgegeven te maken.
Ze hebben in avg uitvoering in voorbereiding om het willekeurig door anderen laten gebruiken van het bsn tegen te gaan.
De wettelijke verplichtingen waar het nu allemaal gebruikt moet worden zijn al zo divers dat je het zelf nooit kan volgen.

Nee ze kunnen het geen bijzondere persoonsgegeven meer laten zijn gewoon omdat dd gdpr leidend is en als doel heeft in de hele eu gelijk te worden.
Trowens leg eens uit wat bijzonder is aan het ku noen koppelen van gegevens als er geen perfectie gevraagd wordt....
16-03-2018, 19:01 door Anoniem
Door karma4:
Door Anoniem:
In GDPR is het BSN nummer ook juist GEEN bijzonder persoonsgegeven keer, in de WBP is dit dus wel nog...
Het kan wel zijn dat onze overheid / de autoriteit persoongegevens na 25 mei beslits dan BSN wel een bijzonder persoonsgegeven is, gezien dat WBP vervalt zou dat moeten om het dus weer een bijznder persoonsgegeven te maken.
Ze hebben in avg uitvoering in voorbereiding om het willekeurig door anderen laten gebruiken van het bsn tegen te gaan.
De wettelijke verplichtingen waar het nu allemaal gebruikt moet worden zijn al zo divers dat je het zelf nooit kan volgen.

Nee ze kunnen het geen bijzondere persoonsgegeven meer laten zijn gewoon omdat dd gdpr leidend is en als doel heeft in de hele eu gelijk te worden.
Trowens leg eens uit wat bijzonder is aan het ku noen koppelen van gegevens als er geen perfectie gevraagd wordt....

Dat is niet waar, de avg (gdpr) is het minimale. Nl kan welndegelijk een lokale wet maken waarin mn zegt bijzonder persoonsgegeven. Het staat overigens ook op de website van de ap uitgelegd ;)
17-03-2018, 10:38 door Anoniem
Door Anoniem:
Door Anoniem: Tja. Meer macht naar de overheid. Ik zou juist andersom willen pleiten. Een overheid die dienend is aan de burgers en de rest van de samenleving. Maar het kan inderdaad leiden tot meer macht van de overheid.
Kijk, de overheid zelf denkt dat ze het heel goed doet. Zo goed zelfs dat ze er niet eens over na hoeven denken maar gewoon aannemen dat ze het beter weten en de waarheid en de eerlijkheid in pacht hebben.

Nou het valt eerder op dat de reaguurders hier altijd de wijsheid in pacht menen te hebben en het in hun eentje op
hun zolderkamertje allemaal veel beter weten dan "de overheid" die geheel bestaat uit incompetente niksnutten en
machtsgeile datagraaiers.

Als je dat echt denkt dan val je waarschijnlijk onder de categorie "verwarde personen"...

Overigens heeft men in Belgie wel een dergelijk systeem, maar op de een of andere manier kijkt men daar hier zelden
naar. "Belgen zijn dom" zit er denk ik net zo diep ingestampt als "de overheid is incompetent op ICT gebied".
17-03-2018, 12:00 door Anoniem
typisch stukje van een jurist die volgens de wet probeert te handelen, maar we hier en daar duidelijk laat merken dat die wetgeving ver achter loopt op de werkelijke wereld. als je namelijk na tijden in de uwv eindelijk een baantje krijgt, denk je dan dat mensen een wel overwogen bewuste keuze maken of hun financiele administratie per mail gaat of niet? je krijgt die baan niet als als je die misschien absurde voorwaarden die voordelig voor werkgever en niet werknemer is accepteerd. waar wetgevers steevast de mist in gaan in hun 'theorie' is dat iedereen geld en tijd genoeg heeft om recht te halen en niet onder druk op welke manier dan ook staat. het zijn regeltjes maar als jan met de pet heb je er vaak niet veel an en pas als hoge piefen of financieel bedeelden een keertje op zo een situatie stuitn, dan pas begint de lange adem naar recht. ik ben dus daarom principieel een grote voorstander van opt in systemen en anti opt out systemen. vraag me mijn toestemming expliciet voordat je iets doet en doe dat zonder dat mijn andere opties effectief uitgeschakkeld worden.
17-03-2018, 12:18 door karma4
Door Anoniem:
Dat is niet waar, de avg (gdpr) is het minimale. Nl kan welndegelijk een lokale wet maken waarin mn zegt bijzonder persoonsgegeven. Het staat overigens ook op de website van de ap uitgelegd ;)
https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL Zie artikel 9, die is bindend. Artike 61,62,63 voor de samenwerking in de EU
"Artikel 63
Coherentiemechanisme
Teneinde bij te dragen aan de consequente toepassing van deze verordening in de gehele Unie werken de toezichthoudende autoriteiten met elkaar en waar passend samen met de Commissie in het kader van het in deze afdeling uiteengezette coherentiemechanisme."

Wat de AP dan zegt en strijdig is met die GDPR artikelen is een fundamenteel probleem.
Nou ja bij het AP falen ze wel meer zoals geen namen willen zetten in de rapporten en vervolgens de namen via metadata laten lekken. Bij het AP staat: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#is-het-bsn-een-bijzonder-persoonsgegeven-onder-de-avg-6010
Er is nog veel van de oude WBP die al lang (2 jaar terug) met de GDPR in overeenstemming gebracht had kunnen worden.
17-03-2018, 12:31 door Anoniem
@ 11:08 door Anoniem

Quote:
Maargoed, als er iemand zo gek is om dit te willen opzetten, laat maar weten.
Unquote

Dank je wel. Heel verhelderend.
Principieel en visie. Daar hou ik van. Nog geen uitwerking. Dat is niet zo erg. Het begint met principieel en visie.

Ik ben inderdaad de pragmatische kant opgegaan met de spullenboel die nu beschikbaar is.
Jouw idee lijkt me inderdaad beter.

(ook) ik ben al jaren bezig om te kijken hoe levensvrijheid en digitale samenleving kan samengaan.
Waarbij de levensvrijheid de basis is en waarin voor sommige gevallen de controleerbare wijze van werken gestalte kan krijgen. Dat wil ik graag opzetten (lukt natuurlijk nooit in mijn eentje).

Ik zou graag eens met je van gedachten wisselen.
Als jij wilt, heb je een idee hoe we met elkaar in contact kunnen komen?
Ik ben bereid mijn nek uit te steken.

Ik hoor graag
Afz FB
17-03-2018, 15:32 door Anoniem
Door Anoniem:Ik zou graag eens met je van gedachten wisselen.
Als jij wilt, heb je een idee hoe we met elkaar in contact kunnen komen?
*kuch* 12:07 *kuch*, info werkt.
19-03-2018, 14:46 door Anoniem
Misschien een optie.....

RPost is een beveiligde manier van aangetekende email verzenden. Oké, je betaalt per email die je verzend een paar centen. Maar dat staat in geen verhouding tot het aangetekend per post verzenden van loonstroken. Gewone post wordt inderdaad uit de brievenbus gevist. Gewone email is niet veilig genoeg.

Zie voor meer informatie https://www.rpost.nl/
10-11-2018, 19:30 door Anoniem
Ik snap de hele discussie over veiligheid e.d. Maar ik heb er persoonlijk een hekel aan dat alles maar digitaal moet. Ik heb persoonlijk belangrijke gegevens gewoon op papier, zodat ik ze naast elkaar kan leggen en verschillen en wijzigingen makkelijk kan zien. Ik kan ze zelf wel uitprinten, maar dat vind ik dan dubbel op, stuur het gewoon op papier.

Nou is mijn werkgever een aantal jaren al overgestapt van het sturen van loonstrookjes per post, naar e-mail, was ik al niet zo wild van, maar dat kon niet anders werd mij gezegd. Nu is dat weer verandert en moet ik inloggen, weer een nieuwe naam, weer een nieuw wachtwoord erbij.

Nou is mijn vraag: Wat wordt er wettelijk gezien als het verstrekken van een elektronische opgave. Moet je dat zien als versturen of valt het moeten inloggen ergens daar ook onder? Ik zie zelf moeten inloggen niet als verstrekken, maar als het moeten ophalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.