Privacy, security en compliance in HR-software: waar moet je op letten?

Als organisatie wil je op een verantwoorde manier omgaan met privacygevoelige gegevens en het spreekt voor zich dat je een forse boete vanuit de AVG (of GDPR) wil voorkomen. Zeker in je HR-systemen sla je persoonlijke data op. Neem alleen al de adresgegevens, het bsn en de legitimatiegegevens van medewerkers of verzuimdata en salarisinformatie. Daar wil je zorgvuldig mee zijn. Doelmatigheid en rechtmatigheid zijn twee belangrijke begrippen als je met privacygevoelige gegevens werkt. Er zijn gegevens die je als werkgever vanuit wetgeving moet registreren en voor een bepaalde periode moet bewaren. Maar hoe ga je om met gegevens zonder wettelijk verplichting? Al dit soort zaken leg je vast in een ‘verwerkingsregister’, als basis voor je AVG-compliance.

Alles rond privacygevoelige HR-data in kaart

In een verwerkingsregister staat onder meer beschreven welke data je in welk systeem opslaat, hoelang en waarom je dat doet en wie erbij kan. Maar ook wat de risico’s van een mogelijke privacy-inbreuk zijn voor de individuele medewerker en de organisatie. Per verwerkingsproces leg je vast welke technische en organisatorische maatregelen zijn genomen om deze risico’s te verkleinen. Denk bijvoorbeeld aan tweefactorauthenticatie of de beperking om enkel vanuit een EU-land te kunnen inloggen in het systeem. Instructies aan gebruikers zijn ook van groot belang. Mag je bijvoorbeeld de software op een openbaar WiFi-netwerk gebruiken of uitsluitend met een beveiligde (VPN-)verbinding? En wat gebeurt er als zich onverhoopt toch een incident voordoet, welke acties neem je dan?

Data in eigen systemen en bij leveranciers

Het verwerkingsregister omvat de verwerking van de persoonsgegevens die je in je eigen systemen hebt staan én in de systemen van je leveranciers. Dat gaat van je arbodienst tot je pensioenbedrijf. In het register omschrijf je welke gegevens in welke processen en systemen worden gebruikt, gemuteerd en opgeslagen, tot en met de geografische opslaglocatie aan toe. Als organisatie ben en blijf je verantwoordelijk voor al je privacygevoelige data. Het verwerkingsregister biedt overzicht over het wat, waar, wie, waarom en hoelang van ‘jouw’ gegevens en geeft inzicht in risico’s.

Redelijke bewaartermijn HR-data

Het opstellen van een verwerkingsregister is een hele kluif en dwingt je goed na te denken over hoe je omgaat met persoonsgegevens. Het is logisch dat je als werkgever de neiging hebt om alle gegevens van je medewerkers altijd te willen bewaren. Vaak is dat echter helemaal niet nodig en in sommige gevallen zelfs verboden. Voor fiscale gegevens geldt bijvoorbeeld een harde wettelijke bewaartermijn, maar voor heel veel gegevens is die termijn niet zo expliciet.

Regelmatig HR-gegevens opschonen

De strekking is dat je bewaart wat daadwerkelijk nodig is voor een goede bedrijfsvoering. Dat klinkt nogal breed, maar raakt wel de kern. Want waarom zou je bijvoorbeeld twintig jaar lang verzuimgegevens of verslagen van functioneringsgesprekken bewaren? Dat heb je ook voor het opbouwen van een dossier niet per se en altijd nodig. Als je enkele jaren kunt terugblikken, is dat meestal ruim voldoende. Kijk bijvoorbeeld naar wat in jurisprudentie en in vonnissen wordt gehanteerd als redelijke termijnen. Schoon je data dus regelmatig op en bewaar alleen wat je moet bewaren of echt nodig hebt. Leg ook vast wie je data opschoont en hoe vaak dit gebeurt.

Toegang tot HR-data of niet?

De toegang tot je HR-data is nog iets om goed over na te denken. Stel, je bent een landelijke organisatie met regionale HR-adviseurs. Moeten alle HR-adviseurs dan het hele jaar inzicht in de gegevens van medewerkers door het hele land hebben om in de vakantie elkaars werk te kunnen overnemen? Dat laat zich moeilijk verdedigen vanuit het AVG-perspectief. Vanuit de AVG bekeken is het verantwoord en redelijk om gegevens tijdelijk aan een andere HR-adviseur beschikbaar te stellen, alleen dan voor de duur dat dit nodig is voor de bedrijfsvoering.

De vraag achter de vraag

Een ander praktijkvoorbeeld is dat van een directeur die graag op een dashboard wil doorklikken naar individuele beoordelingen en functioneringsverslagen. In de AVG staat misschien niet letterlijk beschreven dat een persoon in deze rol geen recht heeft om dit te doen, maar het is wel een inbreuk op de privacy van de medewerker. Wat helpt om goede beslissingen te nemen over gegevenstoegang is na te denken over de vraag achter de vraag. Waarom wil iemand bepaalde gegevens inzien? En bieden deze data het antwoord op die achterliggende vraag? Is dus de inzage in bijvoorbeeld een functioneringsverslag noodzakelijk om de 'businessvraag' van de directeur te beantwoorden? In de praktijk is inzage op dossierniveau in het merendeel van de situaties niet nodig.

Nieuw HR-systeem meteen goed inrichten

Ga je over op een nieuw HR-systeem? Kijk dan hoe de privacy, security en compliance van je HR-data standaard goed geregeld zijn en aan welke aspecten je zelf nog aandacht moet besteden. Waar zitten op dit gebied nog lacunes in de software? Dat kan per vendor verschillen. Het is handig om een checklist op te stellen met vragen die je moet nalopen en bespreken met elkaar.

AVG-proof testen met testdata

Bij het inrichten van een nieuw HR-systeem wordt meestal ook getest. Maar hoe test je bijvoorbeeld een indiensttreding met een fictief bsn? Dat is iets waar werkgevers vaak mee worstelen. Het begint bij helder krijgen wat je wilt testen. De volgende stap is een testset met persona’s te maken die AVG-proof is. Dat kost voorbereidingstijd, maar zo test je in ieder geval niet met bestaande persoonsgegevens. Dit is niet toegestaan en moet je ook niet willen. Zou je zelf graag hebben dat jouw naam, adres, geboortedatum en bsn worden gebruikt om in verschillende systemen te testen?

Blijven toetsen op privacy, security en compliance

Tot slot is het belangrijk te blijven toetsen of je op de juiste manier met je HR-data omgaat. Kijk bijvoorbeeld regelmatig wat je aan data hebt, hoelang je de gegevens bewaart en wie er bij kan. Het scheelt een heleboel werk als je HR-software het je makkelijk maakt om het antwoord op die vragen te krijgen. Aarzel dus vooral niet om bij de oriëntatie op een nieuw HR-systeem leveranciers te vragen naar de mogelijkheden die ze op dit vlak bieden. Heeft hun systeem bijvoorbeeld een dashboard dat je eenvoudig alle details rond de opgeslagen HR-data laat zien? Kun je met een druk op de knop alle documenten ouder dan vijf jaar selecteren en deze net zo simpel verwijderen, na een check op uitzonderingen? En kun je eenvoudig zien wie bij welke informatie kan, zonder een autorisatieschema door te hoeven worstelen? Ook hier geldt: bedenk wat je wil, waarom en wat er nodig is om aan de AVG te voldoen.

Heb je hulp nodig bij het AVG-proof maken van jouw HR-systeem? Extra (tijdelijke) expertise nodig? Wij denken graag met je mee, binnen jouw middelen en budget.