7 tips voor een AVG proof HR administratie
Een groeiend aantal bedrijven ziet de nut en noodzaak in om hun HR administratie AVG proof te maken. Toch houdt het gros van de MKB bedrijven hun HR administratie bij in losse Excel documenten bij die in een gedeelde map (Google Drive / Dropbox / One drive) staan. Dit is zorgelijk qua veiligheid van data en voldoet niet aan de AVG wetgeving.
Naast de schade dat data onveilig bewaard wordt, kun je als MKB’er ook tegen een boete aanlopen. Er wordt namelijk door de Autoriteit Persoonsgegevens sinds kort gecontroleerd op dataveiligheid en nastreving AVG. Een bedrijf met 25 medewerkers ontving een boete van € 15.000,00 voor het onveilig vastleggen van data en het vastleggen van gezondheidsinformatie. Dit laatste is bij wet verboden.
Hoe omgaan met AVG en HR?
Bij AVG denken mensen meestal aan hoe je om moet gaan met klantgegevens. Wat vaak vergeten wordt is dat bedrijven ook moeten stilstaan hoe zij omgaan met het bijhouden en opslaan van persoonsgegevens van hun medewerkers. Een goed en veilig HR softwarepakket is hierbij aan te raden. Je kunt op de website van Autoriteit Persoonsgegevens alles lezen over AVG / GDPR, maar hieronder geven wij je alvast wat tips om AVG proof je HR administratie te doen!
Verbeter de veiligheid van jouw HR administratie
Zoals omschreven is het belangrijk om te voldoen aan de AVG-wetgeving. Maar wat zijn nou zaken waar je op moet letten. Om te voldoen aan de AVG-wetgeving hebben we een aantal punten opgeschreven waar je op kunt letten voor een veilige HR administratie. Let op, elke situatie en bedrijf is anders, om volledig als bedrijf te voldoen aan de AVG-wetgeving is het goed om een specialist hierbij te betrekken.
1. Deel geen documenten met persoonsgegevens op gedeelde drives
Het klinkt natuurlijk heel logisch dat je ervoor moet zorgen dat gegevens goed zijn afgeschermd tussen medewerkers. In de praktijk zien we toch erg vaak dat Excel Spreadsheets met verlof met het hele bedrijf worden gedeeld, waardoor iedereen tot privacygevoelige data toegang heeft. Soms staan hier zelfs zaken in die echt gevoelig zijn. HR documenten delen via een Google Drive, Dropbox of One Drive kan snel leiden tot een AVG probleem. Het probleem is dat ongeautoriseerde medewerkers toegang hebben tot persoonsgegevens.
2. Sla geen ‘bijzondere persoonsgegevens’ op zoals gezondheidsgegevens
Het is natuurlijk heel logisch dat als een medewerker belt om zich zich te melden, je uit interesse vraagt wat er aan de hand is. Echter mag je als werkgever niet naar deze ‘gezondheidsgegevens’ vragen en deze mag je al helemaal niet opslaan en documenteren. Deze gezondheidsgegevens worden door de AVG/GDPR gezien als ‘bijzondere persoonsgegevens’ en mogen niet opgeslagen worden. Je mag bijvoorbeeld wel vragen en noteren wat het verblijfadres van iemand is die zich ziek meldt.
3. Kies AVG-proof HR software
Om te zorgen dat de juiste informatie wordt uitgevraagd en wordt opgeslagen is het slim en waardevol om een softwarepakket te kiezen dat hier in is gespecialiseerd. Een voorbeeld hiervan is HoorayHR, waarmee gebruikersrechten, dataveiligheid en het opslaan van informatie op de juiste manier is geregeld.
4. Zorg voor een wachtwoordprotocol (en wachtwoordmanager)
Naast het correct opslaan van persoonsgegevens en het kiezen van een veilige tool, kun je uiteraard als bedrijf nog meer doen aan dataveiligheid. Een belangrijke tip voor het veilig houden van data is het instellen van een wachtwoordprotocol voor het hele bedrijf. In een wachtwoordprotocol staat bijvoorbeeld omschreven hoeveel en welke tekens een wachtwoord minimaal moet bevatten (bijvoorbeeld een uniek wachtwoord van 24 tekens, met hoofdletters, cijfers, kleine letters en leestekens) en dat iedereen een persoonlijke inlog moet hebben tot applicaties en geen wachtwoorden mogen delen. Daarnaast staat in je protocol omschreven hoe vaak wachtwoorden gewijzigd dienen te worden.
Hiermee zorg je dat de toegang tot accounts zo veilig als mogelijk zijn en het geen wachtwoorden zijn die iemand kan raden of dat iemand met één wachtwoord toegang heeft tot allerlei verschillende programma’s.
Om een wachtwoordprotocol goed uit te voeren is een wachtwoordmanager aan te raden. Een wachtwoordmanager zorgt ervoor dat je complexe en unieke wachtwoorden kunt genereren, veilig kunt opslaan en kunt beheren. Voorbeelden van wachtwoordmanagers zijn 1Password en LastPass.
5. Creëer extra veiligheid met Two-factor authentication
Wil je voor de veiligheid nog een extra slot op de deur zetten, kies dan voor two-factor authenticatie (2FA). Met 2FA heb je een extra apparaat nodig, dat gekoppeld is aan het account, om toegang te krijgen tot je programma. Bekende voorbeelden hiervan zijn inloggen met een code per sms of een losse app op je telefoon die een tijdelijke code genereert. Ook bij HoorayHR bieden we two factor authenticatie aan om alles zo veilig mogelijk te maken.
6. Vraag een specialist/jurist om hulp
Om te zorgen dat jouw bedrijf en HR administratie echt AVG proof is, kan het verstandig zijn om in gesprek te gaan met een specialist en/of jurist. Samen kunnen jullie beoordelen welke persoonsgegevens waar worden opgeslagen en of er aanvullende maatregelen nodig zijn.