Loongegevens vallen onder de strengste privacyregels van de AVG. Als werkgever ben je verplicht om salarisgegevens, bankrekeningen en andere personeelsinformatie zorgvuldig te bewaren, te beveiligen en na verloop van tijd te vernietigen. De regels komen uit twee kanten: de fiscale bewaarplicht vanuit de Belastingdienst en de privacyverplichtingen vanuit de AVG. Wie beide niet goed op orde heeft, riskeert boetes en reputatieschade. Bekijk onze diensten voor loonadministratie als je dit liever uitbesteedt.
Slordig omgaan met loongegevens kost je meer dan een boete
Veel werkgevers bewaren loongegevens langer dan nodig, geven toegang aan te veel medewerkers, of slaan bestanden op zonder versleuteling. De gevolgen zijn concreet: de Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar ook het vertrouwen van medewerkers staat op het spel. De oplossing begint bij een duidelijk beleid: wie heeft toegang, hoe lang bewaar je wat, en hoe beveilig je de opslag? Dat beleid hoef je niet zelf te bedenken, maar je moet het wel aantoonbaar hebben.
Onduidelijkheid over bewaartermijnen leidt tot onnodige compliance-risico’s
Veel werkgevers weten niet precies hoe lang ze loongegevens moeten bewaren. Te kort bewaren levert problemen op bij belastingcontroles, te lang bewaren is een AVG-overtreding. De fiscale bewaarplicht zegt zeven jaar voor de meeste loonadministratie, maar de AVG zegt dat je gegevens niet langer bewaart dan noodzakelijk. Die twee regels sluiten niet altijd naadloos op elkaar aan. Wie geen helder overzicht heeft van welke gegevens onder welke termijn vallen, loopt risico aan beide kanten. Een gestructureerde bewaarplichtmatrix per gegevenstype lost dit direct op.
Wat zijn loongegevens en waarom zijn ze privacygevoelig?
Loongegevens zijn alle gegevens die betrekking hebben op de beloning van een werknemer. Denk aan brutosalaris, nettoloon, toeslagen, bankrekeningen, loonheffingsnummer, en informatie over ziekteverzuim of uitkeringen. Ze zijn privacygevoelig omdat ze direct inzicht geven in de financiële situatie van een persoon en vallen daarmee onder de bescherming van de Algemene Verordening Gegevensbescherming (AVG).
Loongegevens bevatten meer dan alleen een salarisgetal. Een salarisstrook onthult of iemand alimentatie betaalt, gebruikmaakt van een loonbeslag, of een aanvullende uitkering ontvangt. Dat maakt ze bijzonder gevoelig. Wie ongeoorloofd toegang krijgt tot deze informatie, kan daar misbruik van maken. Werkgevers zijn daarom wettelijk verplicht om loongegevens te beschermen als persoonsgegevens in de zin van de AVG.
Binnen de loonadministratie gelden loongegevens als een aparte categorie die zorgvuldig beheerd moet worden. Dat betekent niet alleen veilige opslag, maar ook duidelijkheid over wie toegang heeft en waarom.
Hoelang mogen loongegevens wettelijk bewaard worden?
De fiscale bewaarplicht verplicht werkgevers om de meeste loongegevens minimaal zeven jaar te bewaren. Voor bepaalde gegevens, zoals de loonadministratie zelf, geldt zelfs een bewaartermijn van vijf jaar na het einde van het dienstverband. De AVG stelt als aanvullende eis dat gegevens niet langer bewaard worden dan strikt noodzakelijk voor het doel waarvoor ze zijn verzameld.
In de praktijk betekent dit dat je een onderscheid moet maken tussen gegevens die je fiscaal verplicht moet bewaren en gegevens die je alleen bewaart voor operationele doeleinden. Salarisstroken vallen onder de fiscale bewaarplicht van zeven jaar. Correspondentie over loonwijzigingen of arbeidsvoorwaarden heeft een andere termijn dan de salarisadministratie zelf.
Na het verstrijken van de bewaartermijn ben je verplicht om de gegevens aantoonbaar te vernietigen. Bewaar je ze langer zonder rechtsgrond, dan is dat een AVG-overtreding. Een bewaarplichtbeleid per gegevenstype voorkomt dat je per ongeluk te lang bewaart of te vroeg vernietigt.
Welke AVG-regels gelden voor de salarisadministratie?
De AVG verplicht werkgevers om loongegevens alleen te verwerken met een geldige rechtsgrond, zoals de uitvoering van een arbeidsovereenkomst of een wettelijke verplichting. Daarnaast gelden de beginselen van dataminimalisatie, doelbinding en integriteit: je verzamelt alleen wat nodig is, gebruikt het alleen voor het doel waarvoor het is verzameld, en beveiligt het adequaat.
Concreet betekent dit voor de salarisadministratie:
- Je verwerkt alleen gegevens die noodzakelijk zijn voor de loonadministratie
- Je informeert werknemers via een privacyverklaring over welke gegevens je verwerkt en waarom
- Je sluit verwerkersovereenkomsten af met externe partijen die toegang hebben tot loongegevens, zoals een payrollbedrijf of salarisadministrateur
- Je beveiligt de gegevens technisch en organisatorisch, bijvoorbeeld via toegangsbeveiliging en versleuteling
- Je registreert de verwerking in een verwerkingsregister
Bij een controle door de Autoriteit Persoonsgegevens moet je kunnen aantonen dat je aan al deze verplichtingen voldoet. Ontbreekt de documentatie, dan is dat op zichzelf al een overtreding, ook als er geen datalek heeft plaatsgevonden.
Wie mag er toegang hebben tot loongegevens van werknemers?
Toegang tot loongegevens is voorbehouden aan medewerkers die deze informatie nodig hebben voor hun functie, zoals de salarisadministrateur, de HR-afdeling en de financieel directeur. Het need-to-know-principe is leidend: alleen wie de gegevens nodig heeft voor een concreet doel mag ze inzien. Managers en collega’s hebben in principe geen recht op inzage in elkaars salarisgegevens.
Dit principe is eenvoudiger te formuleren dan te handhaven. In de praktijk zien veel organisaties dat toegangsrechten in systemen niet goed zijn ingericht, waardoor te veel medewerkers bij gevoelige loongegevens kunnen. Een periodieke toegangsaudit helpt om dit in kaart te brengen en bij te sturen.
Wanneer je werkt met externe partijen zoals een payrollbedrijf of accountant, moet je in een verwerkersovereenkomst vastleggen welke gegevens zij mogen inzien, voor welk doel en hoe ze die beveiligen. Zonder deze overeenkomst ben jij als werkgever verantwoordelijk voor eventuele overtredingen door de externe partij.
Wat zijn de gevolgen van een datalek met loongegevens?
Een datalek met loongegevens moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens als het lek een risico vormt voor de betrokken werknemers. Denk aan een gehackte salarisadministratie, een verkeerd verzonden salarisstrook of een gestolen laptop met onversleutelde loonbestanden. Bij ernstige lekken moet je ook de betrokken werknemers informeren.
De gevolgen zijn tweeledig. Financieel kan de Autoriteit Persoonsgegevens een boete opleggen, afhankelijk van de ernst van het lek en de mate waarin je als werkgever nalatig bent geweest. Reputatiegewijs kan een datalek het vertrouwen van medewerkers ernstig schaden, zeker als het om gevoelige financiële informatie gaat.
Voorkomen is beter dan melden. Technische maatregelen zoals versleuteling, sterke wachtwoorden en twee-factor-authenticatie verlagen het risico aanzienlijk. Organisatorische maatregelen, zoals een duidelijk protocol voor het omgaan met loongegevens en regelmatige bewustzijnstraining voor medewerkers, doen de rest.
Hoe regelt een payrollbedrijf de privacy van loongegevens?
Een payrollbedrijf verwerkt loongegevens als verwerker in de zin van de AVG. Dat betekent dat het bedrijf een verwerkersovereenkomst sluit met de opdrachtgever, de gegevens alleen verwerkt voor de overeengekomen doeleinden, en technische en organisatorische maatregelen neemt om de gegevens te beveiligen. De verantwoordelijkheid voor de naleving van de AVG blijft bij de opdrachtgever als verwerkingsverantwoordelijke.
Een professioneel payrollbedrijf heeft de privacyborging ingebed in zijn werkprocessen. Dat omvat onder andere toegangsbeheer per medewerker, versleutelde opslag van loongegevens, een verwerkingsregister en een datalekprocedure. Certificeringen zoals NEN-4400 en SNA zijn een indicatie dat een payrollbedrijf voldoet aan strenge kwaliteits- en compliancenormen.
Hoe Payroll-Online.nl helpt met privacycompliance rondom loongegevens
Wij nemen de volledige loonadministratie uit handen, inclusief alle verplichtingen rondom privacybescherming en gegevensbeveiliging. Dat betekent concreet:
- We sluiten een verwerkersovereenkomst af die voldoet aan de AVG-vereisten
- We bewaren loongegevens conform de wettelijke bewaartermijnen en vernietigen ze daarna aantoonbaar
- We werken met beveiligde systemen en beperken de toegang tot loongegevens strikt op basis van het need-to-know-principe
- We beschikken over NEN-4400, SNA en NBBU-certificering als bewijs van onze compliance
- Via de E-uur App heb je als opdrachtgever altijd realtime inzicht in je personeelsadministratie, zonder dat je zelf de AVG-verplichtingen hoeft te beheren
Zo houd jij de regie over je medewerkers, terwijl wij zorgen dat de privacyregels rondom de loonadministratie correct worden nageleefd. Vraag een vrijblijvende offerte aan en ontdek wat wij voor jouw organisatie kunnen betekenen.
Veelgestelde vragen
Moet ik een verwerkersovereenkomst afsluiten met mijn accountant die ook toegang heeft tot loongegevens?
Ja, zodra een externe partij — waaronder een accountant, boekhouder of softwareleverancier — toegang heeft tot loongegevens van jouw medewerkers, ben je als werkgever verplicht een verwerkersovereenkomst af te sluiten. Zonder deze overeenkomst ben jij als verwerkingsverantwoordelijke aansprakelijk voor eventuele overtredingen door die partij. Controleer ook bij bestaande samenwerkingen of er al een geldige verwerkersovereenkomst op papier staat.
Hoe stel ik een bewaarplichtmatrix op voor mijn loonadministratie?
Een bewaarplichtmatrix is een overzicht waarin je per type gegeven vastlegt hoe lang je het bewaart, op welke wettelijke grondslag en wie verantwoordelijk is voor de vernietiging. Begin met een inventarisatie van alle gegevenstypen binnen je loonadministratie, zoals salarisstroken, bankgegevens, loonheffingsnummers en correspondentie over arbeidsvoorwaarden. Koppel vervolgens aan elk type de toepasselijke termijn — fiscaal of AVG — en plan een periodieke review in om te controleren of gegevens tijdig worden vernietigd.
Wat moet ik doen als een medewerker vraagt om inzage in zijn of haar eigen loongegevens?
Op grond van de AVG heeft elke medewerker het recht op inzage in de persoonsgegevens die je over hem of haar verwerkt, inclusief loongegevens. Je bent verplicht om binnen één maand te reageren op zo'n verzoek en de gevraagde informatie kosteloos te verstrekken. Zorg dat je intern een duidelijk proces hebt voor het afhandelen van inzageverzoeken, zodat je snel en correct kunt reageren zonder dat gevoelige gegevens van andere medewerkers per ongeluk worden meegestuurd.
Is het toegestaan om salarisstroken per gewone e-mail te versturen naar medewerkers?
Reguliere e-mail wordt over het algemeen niet beschouwd als een veilig kanaal voor het versturen van loongegevens, omdat berichten onversleuteld worden verzonden en onderschept kunnen worden. De AVG vereist dat je passende technische maatregelen neemt bij de verwerking van persoonsgegevens, wat betekent dat je salarisstroken bij voorkeur verstuurt via een beveiligd medewerkersportaal of een versleutelde berichtenomgeving. Controleer ook of je huidige salarissoftware beschikt over een veilige distributieoptie voor loonstroken.
Hoe voer ik een toegangsaudit uit op mijn salarisadministratiesysteem?
Een toegangsaudit begint met een volledig overzicht van alle gebruikers die momenteel toegang hebben tot je salarisadministratiesysteem, inclusief hun rol en het toegangsniveau. Vergelijk dit overzicht vervolgens met de actuele functies en verantwoordelijkheden van die medewerkers: heeft iedereen nog een geldige reden om toegang te hebben? Verwijder of beperk toegangsrechten van medewerkers die van functie zijn veranderd of de organisatie hebben verlaten, en leg de uitkomsten van de audit schriftelijk vast als onderdeel van je AVG-documentatie.
Geldt de meldplicht datalekken ook als een salarisstrook per ongeluk naar de verkeerde medewerker is gestuurd?
Ja, ook het per ongeluk versturen van een salarisstrook naar de verkeerde ontvanger telt als een datalek en moet worden beoordeeld op meldplicht. Bepaal eerst of het lek een risico vormt voor de betrokken medewerker — bij loongegevens is dat vrijwel altijd het geval vanwege de financiële gevoeligheid. Als dat zo is, moet je het incident binnen 72 uur melden bij de Autoriteit Persoonsgegevens en de betrokken medewerker informeren; leg het incident en je afwegingen altijd intern vast, ook als je besluit dat melding niet vereist is.
Wat zijn de eerste concrete stappen als ik mijn AVG-compliance rondom loongegevens wil verbeteren?
Begin met drie basismaatregelen: stel een verwerkingsregister op waarin je alle verwerkingen van loongegevens documenteert, controleer of je verwerkersovereenkomsten hebt met alle externe partijen die toegang hebben tot loongegevens, en voer een toegangsaudit uit in je salarisadministratiesysteem. Zorg daarna voor een gedocumenteerd bewaarplichtbeleid per gegevenstype en een intern protocol voor datalekken. Overweeg je loonadministratie uit te besteden aan een gecertificeerde partij als je de AVG-verplichtingen liever niet zelf beheert — dit neemt een groot deel van de compliance-last weg.
