Privacy wetgeving: wat zijn de vereisten van de wet bescherming persoonsgegevens en hoe voorkom je fouten dankzij automatisering?
Zó beveilig je een digitaal personeelsdossier volgens de privacy wetgeving.
De privacy wetgeving, GDPR, AVG: het internet staat er bol van maar wat betekent dit voor het verwerken van digitale personeelsdossiers? En hoe kun je dit nu het beste organiseren?
Want eerlijk is eerlijk: het verwerken van sollicitaties, updaten van een digitaal personeelsdossier en bijhouden van de salarisadministratie… het is een flinke kluif. En als je het nét allemaal voor elkaar denkt te hebben, dan verandert als klap op de vuurpijl de wetgeving. Hoe houd je al die veranderingen bij? En hoe zorg je er voor dat de HR-afdeling netjes aan de privacy wetgeving voldoet als je nu al nauwelijks tijd over houdt?
Automatisering… that’s where the magic happens. Het HR team besteedt dikwijls 80% van de tijd aan maar 20% van de werkzaamheden. Dit zijn de meest tijdrovende taken, vaak met een repeterend karakter en daarom heel geschikt om te automatiseren. Het automatiseren van deze werkzaamheden kan met een document management systeem. Bijkomend voordeel is dan dat je het zo kunt inregelen dat je automatisch voldoet aan de wet- en regelgeving.
Grip op privacy
Wet bescherming persoonsgegevens voor HR
Wat houdt de wet bescherming persoonsgegevens in en wat betekent dit voor HR? In het kort: In de Wet bescherming persoonsgegevens (Wbp) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Deze wet geldt tot 25 mei, dan wordt de wet bescherming persoonsgegevens vervangen door de nieuwe Europese wet (AVG).
Op de HR afdeling is doorgaans sprake van een grote hoeveelheid persoonsgegevens. Er zijn een aantal maatregelen die je kunt treffen om klaar te zijn voor de nieuwe privacywetgeving.
1. Verzamel niet meer gegevens dan toegestaan
Om de privacy van medewerkers te beschermen, mag je niet zomaar allerlei gegevens verzamelen, daar zijn regels voor. De Autoriteit Persoonsgegevens schrijft voor dat je in het personeelsdossier mag opnemen: een kopie van het identiteitsbewijs, het burgerservicenummer (BSN), verzuimfrequentie, eventuele klachten of waarschuwingen, persoonlijke werkaantekeningen van de leidinggevende.
Op de website van MKB Servicedesk vind je een opsomming van de gegevens die in het personeelsdossier aanwezig moeten zijn.
2. Pseudonimisering
Een belangrijke beveiligingsmaatregel in de nieuwe AVG wetgeving wordt het pseudonimiseren van identificerende gegevens. Dit betekent dat identificerende gegevens onherkenbaar worden gemaakt met een code. Bijvoorbeeld in plaats van het personeelsnummer. In een aparte tabel leg je vast welke code bij welk personeelsnummer hoort.
3. Beperk de toegang tot het personeelsdossier
Informatiebeveiliging is in elke organisatie een belangrijk thema. Wie kan en mag informatie inzien? Bij goede softwareoplossingen is te automatiseren wie een digitaal personeelsdossier in mag zien, door de toegang tot elk afzonderlijk document per gebruiker in te stellen. De informatie die je kunt lezen, bewerken of verwijderen hangt dus af van je functie, bevoegdheden en rol.
4. Bewaar de persoonsgegevens niet onnodig lang
Niet te veel en niet te lang, dat is wat de wetgeving zegt over het opslaan van persoonsgegevens. Daarom zijn er bewaartermijnen voorgeschreven. Met goede administratieve software kun je deze termijnen automatiseren. De data wordt dan automatisch vernietigd of gearchiveerd nadat de wettelijke termijn is verlopen. Richt bijvoorbeeld het systeem zo in dat alle sollicitatiebrieven na 4 weken automatisch worden vernietigd.
Meer over de bewaartermijnen vind je in de whitepaper
“Je HR administratie 100% privacy proof?”.
5. Regel goede beveiliging
Er worden nog geregeld beveiligingslekken in systemen en applicaties ontdekt. Daarom zijn regelmatige back-ups, het vaststellen van functies, rollen en groepen en updates naar nieuwe (veiligere) versies belangrijk.
Ook is het van belang data te beschermen met een sterk wachtwoord en deze regelmatig te wijzigen. Dit is te automatiseren, door regelmatig een wachtwoordprocedure aan te bieden aan de gebruiker, waarmee een nieuw wachtwoord wordt vereist.
Tips voor een sterk wachtwoordenbeleid
- Wachtwoorden zijn persoonlijk, deel ze niet met elkaar!
- Een sterk wachtwoord bestaat uit minstens 6 karakters in een mix van hoofdletters, kleine letters, cijfers en leestekens.
- Gebruik voor ieder account een uniek wachtwoord. Dit beperkt de schade als een van de wachtwoorden wordt gehackt.
- Wijzig wachtwoorden minimaal 2x per jaar.
- Een uitstekende manier voor het samenstellen van een wachtwoord is door letters van een lange zin met cijfers en leestekens te mixen
Meldplicht
Wat doe je als er tóch gegevens lekken? Sinds 1 januari 2016 geldt een meldplicht bij de Autoriteit Persoonsgegevens. Deze meldplicht houdt in dat organisaties direct een melding moeten doen in geval van een datalek. Het gaat om datalekken ‘waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens’.
Zo maak je een digitaal personeelsdossier AVG-proof
De wet bescherming persoonsgegevens wordt met ingang van 25 mei 2018 vervangen door de AVG. Een goede aanleiding om je HR administratie en het beheer van digitale personeelsdossiers eens kritisch onder de loep te leggen.
Wist je dat zo’n 80% van de datalekken wordt veroorzaakt door menselijk handelen (Autoriteit Persoonsgegevens)? Wie automatiseert, verkleint het risico op datalekken en vergroot daarmee de privacy van zijn medewerkers.
Maar dat is niet het enige: organisaties die hun processen slim organiseren, boeken flinke tijdswinst door een efficiënte werkwijze.