Als werkgever beschik je over allerlei persoonsgegevens van medewerkers die solliciteren, in dienst komen en misschien ook wel weer uitdienst gaan. Daar moet je zorgvuldig mee omgaan. De gegevens van deze (oud)medewerkers zoals naam, adres, telefoonnummer en rekeningnummer mogen uiteraard niet op straat belanden. Het vinden van de juiste balans tussen het gebruik van deze gegevens en de bescherming van de privacy kan een grote uitdaging zijn. Daarom is de Algemene verordening gegevensbescherming (AVG) in de wereld geroepen. Om je op weg te helpen bij een veilige én AVG proof HR- en salarisadministratie delen we in dit artikel 6 tips.
Zo ga je veilig om met persoonsgegevens
Ontdek hieronder 6 tips om veilig om te gaan met persoonsgegevens en je HR- en salarisadministratie veilig en AVG proof in te regelen.
1. Deel documenten met persoonsgegevens alleen in een beveiligde omgeving
Documenten met persoonsgegevens doorsturen via e-mail? Het komt nog vaak voor, maar is absoluut niet veilig. Bij een document met persoonsgegevens denk je waarschijnlijk meteen aan het arbeidscontract, maar tegenwoordig leggen we steeds meer privacygevoelige informatie vast. Denk maar eens aan digitale beoordelingen en verzuimgegevens. Het is natuurlijk van groot belang om ál deze informatie te beschermen en ervoor te zorgen dat alleen de persoon die de data mag zien, deze te zien krijgt. Hoe je dat veilig regelt? Dat lees je bij punt 2.
2. Investeer in AVG proof HR- en salarissoftware
Om ervoor te zorgen dat alleen de juiste persoon toegang krijgt tot bepaalde data, is het aan te raden om gebruik te maken van AVG proof HR- en salarissoftware.
Een aantal HR- en salarissystemen is hierin gespecialiseerd en voldoet aan de laatste wet- en regelgeving op het gebied van veiligheid.
3. Verwerk geen bijzondere persoonsgegevens
Onder bijzondere persoonsgegevens kun je gegevens als iemands gezondheid, etnische afkomst of politieke opvattingen verstaan. Deze bijzondere persoonsgegevens zijn gevoelig van aard en moeten daarom extra beschermd worden. Het is dan ook verboden om bijzondere persoonsgegevens te verwerken, tenzij hier een wettelijke uitzondering voor is. Om het nog iets duidelijker te maken voor je, geven we een voorbeeld.
Stel dat een medewerker zich ziekmeldt en daarbij vertelt waar hij of zij last van heeft, dan mag je als werkgever alleen een ziekmelding vastleggen. Informatie over waar de medewerker last van heeft, mag niet opgeslagen of gedocumenteerd worden. Als de medewerker uit zichzelf niet vertelt over zijn of haar gezondheidsstatus of -klachten, mag een werkgever hier ook niet naar (door)vragen.
4. Let op de bewaar- en vernietigingstermijnen van persoonsgegevens
Het bewaren van persoonsgegevens gebeurt bijna vanzelf. Als er een nieuwe medewerker in dienst komt, sla je direct gegevens op die nodig zijn voor de arbeidsovereenkomst, zoals loonbelastinggegevens. Met de huidige wetgeving mag je echter niet meer en niet langer dan noodzakelijk persoonsgegevens bewaren. Daarnaast zijn er ook nog documenten die je juist wél voor een minimale periode moet bewaren. De bewaartermijn is dus niet voor ieder document hetzelfde. Voor een deel van de documenten geldt een fiscale bewaarplicht. De werkgever moet deze 5 tot 7 jaar na uitdiensttreding bewaren voor de Belastingdienst. Voor overige documenten, zoals een beoordelingsverslag of werkgeversverklaring, geldt geen specifieke wettelijke bewaartermijn. De Autoriteit Persoonsgegevens adviseert daarvoor 2 jaar aan te houden.
Het lijkt misschien een hele klus om deze bewaar- en vernietigingstermijnen voor alle documenten bij te houden. Dat hoeft gelukkig niet zo te zijn. Sommige HR- en salarissystemen beschikken over digitale dossiers met automatische bewaar- en vernietigingstermijnen die het voor je in de gaten houden én automatisch vernietigen wanneer nodig.
5. Sla wachtwoorden van systemen op in een beveiligde kluis
In de digitale tijd waarin we leven, gebruiken veel mensen in hun dagelijkse werk meerdere digitale systemen. Om toegang te krijgen tot digitale systemen, heb je (doorgaans) een gebruikersnaam en wachtwoord nodig.
Soms een hele klus om alle gebruikersnamen en wachtwoorden te onthouden. Goed om deze daarom ergens op te slaan, maar let op: sla deze alleen op een veilige plaats op. Noteer dan ook geen wachtwoorden in een notitieboekje, een Word document én mail ze vooral ook niet naar collega’s als je hen toegang wil geven tot een systeem met jouw inloggegevens.
Hoe dan? Gelukkig zijn er ‘wachtwoordmanagers’ die ervoor zorgen dat je gebruikersnamen en wachtwoorden veilig kunt opslaan en beheren. Een mooi voorbeeld hiervan is LastPass. Als je een account hebt, log je in via LastPass en vervolgens heb je toegang tot al je accounts die je veilig hebt opgeslagen in LastPass. En wil je bijvoorbeeld inloggegevens delen met een collega? Dan doe je dat ook veilig via LastPass. Zo zwerft er nooit ergens een anders een wachtwoord rond.
6. Kies voor twee factor authenticatie (als de mogelijkheid er is)
Je ziet steeds vaker dat er bij het inloggen naast een gebruikersnaam en wachtwoord ook gevraagd wordt om een 2 factor authenticatie code, vooral wanneer het gaat om een systeem dat veel persoonsgegevens bevat. Deze mogelijkheid zie je dan ook vaak terug bij systemen voor de HR- en salarisadministratie / loonadministratie.
Een 2 factor authenticatie is een authenticatiemethode waarbij je twee stappen succesvol moet doorlopen om toegang te krijgen tot je account. De eerste stap is vaak het invoeren van een gebruikersnaam en wachtwoord. De tweede stap is in veel gevallen een code die je ontvangt op je telefoon via de Google Authenticator app of sms. Alleen deze combinatie geeft je toegang tot je account. Kortom, er zijn dus twee componenten nodig om je identiteit te bevestigen. Als systemen de mogelijkheid aanbieden om gebruik te maken van twee factor authenticatie is het daarom zeker aan te raden.