Vanaf 25 mei 2018 wordt in Nederland de Algemene Verordening Gegevensbescherming (AVG) van kracht. Je bent inmiddels waarschijnlijk bezig of misschien al klaar met de beoordeling of je hier als organisatie voldoende klaar voor bent. In de Whitepaper HR2day en de AVG lichten we toe welke gevolgen de AVG heeft en hoe we samen kunnen zorgen dat je aan de AVG voldoet.
Hieronder belichten we nog enkele aandachtspunten en gaan we in op nieuwe functies die je helpen om nog beter te voldoen aan de eisen die de AVG stelt.
Verzenden van salarisspecificaties
Op zich is het prima dat je de salarisspecificatie per mail aan je medewerkers toestuurt. Maar sommige organisaties beoordelen dit toch als een te gevoelige informatiestroom, zeker als je je realiseert dat de medewerker op zijn eigen pc of mobiel de mailuitwisseling kan instellen zonder encryptie zoals SSL.
Als je medewerkers toegang hebben tot het Employee Interaction Center en/of de HR2day app, kunnen ze daar natuurlijk ook gewoon hun salarisspecificatie inzien. Je had al de mogelijkheid om bij de werkgeverinstellingen (additionele setup) op te geven dat je standaard geen mail naar de medewerker wilt sturen met de salarisspecificatie.
Vanaf nu heb je daarbij ook de optie om wel een mail te sturen maar zonder de salarisspecificatie in de bijlage, maar met een melding dat de salarisspecificatie beschikbaar is in het Interaction Center of de App. Ook kan je aangeven dat er een notificatie wordt verzonden naar de mobiele telefoon waarop de medewerker de HR2day app geïnstalleerd heeft. De medewerker kan nu zelf ook kiezen of hij een mail wil ontvangen met of zonder bijlage, tenzij je in de werkgeverinstellingen hebt aangegeven dat je een mailbijlage helemaal niet wilt toestaan.
2-Factor authenticatie
In de Algemene Verordening Persoonsgegevens (AVG) wordt het gebruiken van 2-factor authenticatie bij toegang tot persoonsgegevens ten zeerste aangeraden. Hierbij wordt de identiteit van de gebruiker getoetst op basis van twee ‘factoren’:
- Iets wat de gebruiker weet, zoals een wachtwoord
- Iets wat de gebruiker heeft, zoals een mobiele telefoon
Als je gebruik maakt van Single Sign-on (SSO) wordt de toegang tot HR2day automatisch gekoppeld aan de inlog in bijvoorbeeld je intranet of bedrijfsnetwerk: als je je daarbij hebt aangemeld kan je zonder aanvullende handelingen met één druk op de knop inloggen in HR2day. Hou er rekening mee dat het authenticatieniveau dan dus ook door de SSO-oplossing wordt bepaald.
Bij rechtstreeks inloggen in HR2day heb je altijd een vorm van 2-factor authenticatie: naast het invoeren van de gebruikersnaam en wachtwoord moet je bij inloggen op een nieuw apparaat of vanuit een nieuw IP-adres een code overnemen die je ontvangt in je mail.
Vanaf nu kan je ook gebruik maken van de Salesforce Authenticator App. Met deze App bevestig je je identiteit telkens als je inlogt in HR2day met je vingerafdruk of een pincode. Dit wordt gezien als een zwaardere vorm van 2-factor authenticatie dan de standaardvorm met een eenmalige bevestigingsmail.
Neem contact op met de Servicedesk als je hier gebruik van wilt maken.
Dataregister of Verwerkingsregister
Als je persoonsgegevens verwerkt, zoals de registratie van je medewerkers in HR2day, moet je in het kader van de AVG een dataregister of verwerkingsregister opstellen. Hierin staan onder meer de relevante gegevensgroepen, met een vertrouwelijkheidsclassificatie, de doelstelling van vastlegging, welke functionarissen hier toegang toe hebben en eventuele derden die deze gegevens ontvangen.
In HR2day release Octopus hebben we een functie opgenomen waarmee je de gegevensgroepen in HR2day die je gebruikt kan oproepen in een Excel sheet. Deze hebben we de afgelopen weken verder uitgebreid met een beschrijving en enkele andere gegevens. Je kan deze rapportage gebruiken als basis om je eigen dataregister of verwerkingsregister op te stellen. Het Dataregister kan je oproepen vanuit het tabblad Setup HR2day.
Gegevensuitwisseling met Arbodiensten
Veel organisaties maken gebruik van een koppeling met de arbodienst voor het uitwisselen van verzuimgegevens. In het verleden werd hierbij vrijwel altijd gebruik gemaakt van het Burgerservicenummer (BSN). Omdat dit een uniek en tot de persoon herleidbaar nummer is, wordt het beschouwd als een bijzonder persoonsgegeven en mag in deze gegevensuitwisseling dan ook niet meer worden gebruikt.
HR2day heeft de gegevensuitwisseling hierop voorbereid en is klaar voor de nieuwe standaard voor gegevensuitwisseling (SIVI 2017). Wij overleggen momenteel met de arbodiensten wanneer zij gereed zijn voor het overzetten naar de nieuwe standaard en welke procedure zij hierbij volgen. Je arbodienst kan je informeren of zij hier klaar voor zijn en hoe de overgang naar de nieuwe gegevensuitwisseling loopt.