Kelio en GDPR
Waarborg uw conformiteit tussen GDPR en Kelio!
De implementatie van HR- en toegangscontrolesoftware vereist het gebruik en de verwerking van gegevens met een persoonlijk karakter. Organisaties binnen de Europese Unie moeten zich daarbij houden aan de bepalingen van GDPR, de General Data Protection Regulation gegevensbescherming.
GDPR-bepalingen met betrekking tot HR- en toegangscontrolesoftware
Elke organisatie in de Europese Unie die persoonsgegevens van personeel verwerkt, dient zich te houden aan de GDPR wetgeving, waarin het volgende is vereist:
- bescherming van verzamelde persoonsgegevens
- handhaving van rechten met betrekking tot persoonsgegevens
- implementatie van een verantwoordelijke beheermethode voor deze gegevens (inclusief een waarschuwingsprocedure in geval van schending van de gegevens)
- benoeming van een tussenpersoon - een unieke contactpersoon.
Kelio-software en naleving van GDPR
Implementatie van een HR- of toegangscontrolesoftware waarborgt geen conformiteit met GDPR, maar ondersteunt een correct beheer van persoonsgegevens doordat het:
- bedrijven laat stilstaan bij de verwerking van persoonsgegevens en de regulariseren daarvan;
- leidt tot een centrale opslag en betere bescherming van persoonsgegevens (beveiligd systeem, toegangsrechten, enz.);
- de mogelijkheid biedt sneller en gemakkelijker te reageren op verzoeken inzake het uitoefenen van rechten.
De Kelio-softwareoplossingen voor tijdbeheer, HR-beheer en toegangscontrole helpen organisaties bij het naleven van de GDPR-bepalingen doordat ze de verwerking en bescherming van persoonsgegevens van medewerkers reguleren.
"Privacy by design" in Kelio
Artikel 25.1: Privacy by Design betekent vanaf het ontwerp of de wijziging van een bewerking rekening houden met de rechten en plichten ten aanzien van gegevens van persoonlijke aard door proactieve en preventieve maatregelen te nemen om eventuele incidenten in verband met aantasting van de privacy te voorkomen.
Beperking van de verplichte gegevensvelden tot die velden die noodzakelijk zijn voor de verwerking van het contract van de medewerker. Ter bescherming van het recht op toestemming/opt-in en om te voorkomen dat facultatieve gegevens zonder toestemming van de betrokkene worden ingevoerd, kunnen Kelio-gebruikersprofielen zo worden ingesteld dat het invoerden van facultatieve gegevens wordt verboden.
Nauwkeurig beheer van gebruikersrechten maakt een zeer gepersonaliseerde toewijzing mogelijk van rechten en beperkt de noodzakelijke communicatie van gegevens tot geautoriseerde personen (toewijzing van rechten per profiel, per individuele gebruiker, per reden, per gegevensveld, enz.). In de software zijn standaard beperkte toegangsrechten ingesteld. Kelio staat bijvoorbeeld toe dat aan een medewerker uitsluitend leesrechten worden toegewezen of bewerkingsrechten voor zijn of haar individuele dossier.
"Privacy by design" in Kelio
Artikel 25.2: Alle persoonsgegevens moeten worden beveiligd, ongeacht hun indeling (papier, digitaal) en ongeacht of het gevoelige gegevens betreft. Een organisatie moet niet alleen waken over de toegang tot gegevens en die beveiligen (toegangscontrole via badge, afgesloten kasten), maar gegevens op papier ook beschermen tegen degradatie (bescherming tegen brand, waterschade, enzovoort).
Uitzonderlijke bescherming van gegevens in Kelio-software: dit betreft zowel licenties (codering van gegevens, regelmatige beveiligingsaudits, verplichte verificatie, enzovoort) als SaaS-modus (bijzonder goed beveiligde hostcentra met ISAE3402- en ISO27001-certificeringen, sterk beveiligde firewalls, opslagredundantie, enzovoort).
Fysieke beveiliging van uw gebouwen dankzij Kelio-toegangscontrole die bijdraagt aan de beveiliging van persoonsgegevens: deactiveren van verloren toegangsbadges, toekennen van toegangsrechten op basis van aanwezigheidsplanningen van medewerkers, traceren van toegangsgebeurtenissen bij incidenten, enzovoort.
Uitoefening van rechten met betrekking tot gegevens met een persoonlijk karakter
Artikel 12: Fysieke personen die hun gegevens hebben vermeld (werknemers, klanten) kunnen rechten doen gelden op hun gegevens. Ze kunnen hun gegevens bekijken en corrigeren, een aanvraag indienen om te worden vergeten, enzovoort. De organisatie moet deze rechten op elk moment kunnen respecteren en de betreffende handelingen kunnen uitvoeren, binnen de maximale termijn van een maand.
Recht op raadpleging (Artikel 15)/correctie (Artikel 16): met Kelio kunt u uw werknemers rechten toekennen zodat ze hun persoonsgegevens wanneer ze willen kunnen raadplegen en/of hun personeelsdossier zelf kunnen aanpassen.
Recht om vergeten te worden (Artikel 17): in Kelio-software kunnen gegevens en hun technische sporen worden verwijderd. Dit kan worden gedaan door een beheerder van Kelio-software, op verzoek van een persoon die zijn of haar identiteit kan aantonen. Waar het HR betreft wordt dit recht ingeperkt door wettelijke verplichtingen betreffende de bewaring en verwijdering van documenten. Kelio kan worden ingesteld om gegevens automatisch te verwijderen zodra de wettelijke bewaarplicht ervan verstrijkt.
Overdraagbaarheid van gegevens (Artikel 20): in Kelio zijn rapport en gegevensexports beschikbaar in standaardindelingen (PDF, Excel, CSV), zodat softwarebeheerders gegevens onmiddellijk kunnen teruggeven.
Ondersteuning bij het opstellen van minimale documentatie
De GDPR introduceert het begrip aansprakelijkheid van de organisatie (Accountability). Organisaties worden geacht proactief te handelen waar het gaat om de bescherming van gegevens en moeten dat kunnen aantonen door middel van een verplichte minimale documentatie.
Op basis van het Kelio-gegevensverwerkingsregister is een vooraf ingevuld model beschikbaar dat het mogelijk maakt de minimale documentatie op te stellen die de GDPR vereist (Artikel 30).
De aanpak van Kelio met betrekking tot GDPR
De bedrijven en organisaties (de zogenoemde 'Verwerkingsverantwoordelijken') blijven volledig verantwoordelijk voor het beheer en de bescherming van gegevens met een persoonlijk karakter, ongeacht of de verwerking intern wordt uitgevoerd of aan derden wordt uitbesteed.
In het kader van zijn hostingservices in SaaS-modus, software-integratie en ondersteuning/onderhoud is Kelio 'verwerker' namens zijn klanten. Afgezien van de al bestaande beveiligingsmaatregelen (softwarebeveiliging, gebouwenmonitoring, back-ups, geregelde veiligheidsaudits, enzovoort) heeft Kelio extra maatregelen ingesteld om naleving van de in de GDPR gestelde bepalingen te verstevigen:
- Benoeming van een Data Protection Officer (DPO), Artikel 37, en van een stuurgroep gegevensbescherming. Onze DPO is gespecialiseerd in de beveiliging van gegevens met een persoonlijk karakter. Hij is verantwoordelijk voor het behoud van de privacy en voor de juiste toepassing van de GDPR-bepalingen. Hij is binnen het bedrijf verantwoordelijk voor de implementatie en controle van het Beleid voor het beheer van gegevens met een persoonlijk karakter. Voor informatie:
- Voorlichting van ontwikkelaars, adviseurs/technici en ondersteuningsmedewerkers over de vereisten betreffende de vertrouwelijkheid en het juiste beheer van gegevens met een persoonlijk karakter
- Contractuele verplichtingen ten opzichte van klanten die 'Verwerkingsverantwoordelijken' zijn Artikel 28: (meldingsplicht, enzovoort).
Specifieke aandachtspunten voor professionals die HR-gegevens van personeel verwerken
Afgezien van het gegevensbeheer in Kelio mogen ook de overige technische en organisatorische maatregelen niet worden verwaarloosd:
- Voorlichting: uw medewerkers doe regelmatig met HR- of toegangscontrolesoftware werken en persoonsgegevens verwerken, moeten worden voorgelicht over de bepalingen van de GDPR en moeten op de hoogte zijn van de getroffen maatregelen ter beveiliging van persoonsgegevens. Vooral gezien het feit dat bepaalde persoonsgegevens van medewerkers gevoelig kunnen zijn, zoals die met betrekking tot biometrische controle (vingerafdrukken), lidmaatschap van een vakbond of medische gegevens (Artikel 9).
- 'Lock-out': een organisatie heeft niet het recht onnodige gegevens te bewaren en moet dus de rechten van een medewerker die het bedrijf verlaat, intrekken om te voorkomen dat hij of zij nog ergens toegang toe heeft. Dit geldt ook voor medewerkers die op een andere afdeling gat werken of van werkplek verandert. In dat geval moeten zijn of haar bestaande rechten worden ingetrokken en kunnen nieuwe rechten worden gemaakt overeenkomstig zijn of haar functie.
- Automatische gegevensverwijdering: voor elk type gegevens en document geldt een uiterste bewaardatum. De organisatie moet ervoor zorgen dat gegevens en documenten waarvoor deze datum is verstreken, automatisch worden verwijderd. Dit beperkt het risico van gegevensschending.
- Benoemen van een DPO: dit is niet altijd verplicht (Artikel 37), maar in alle gevallen aan te raden, met name voor publieke instanties, voor organisaties die vertrouwelijke gegevens verwerken of voor organisaties die gezien hun algemene bedrijfsactiviteiten geregeld, systematiek en op grote schaal personen monitoren (zoals ziekenhuizen).
- Melding in geval van gegevensschending: indien sprake is van gegevensschending (lekkage, onbedoelde wijziging of vernietiging of verlies van gegevens), moet de organisatie het belang en de impact van het incident beoordelen en deze schending in de betreffende gevallen melden aan de toezichthoudende autoriteit.