Met de nieuwe Algemene Verordening Gegevensbescherming (AVG) zijn de privacyregels fors aangescherpt. Dit was ook wel nodig, als je kijkt naar de grote hoeveelheden gegevens die we tegenwoordig online verwerken. Nu is het natuurlijk zo dat werkgevers veel gegevens van hun werknemers opslaan voor de HR-administratie. Steeds vaker gebeurt dat in online databases. Denk hierbij onder andere aan telefoonnummers, adressen en bankgegevens. Hoe bewaar je deze gegevens op een manier die voldoet aan de AVG-regels? Met andere woorden: hoe regel je het veilig opslaan van persoonsgegevens?
Persoonsgegevens veilig opslaan in een beveiligde online-omgeving
Gegevens van werknemers worden over het algemeen via online wegen gedeeld binnen het bedrijf. Documenten worden bijvoorbeeld verstuurd in een e-mail. Toch is dit niet altijd 100% veilig. Zeker wanneer het gaat om privacygevoelige informatie (denk aan persoonsgegevens), zoek je een manier om te voorkomen dat die informatie op straat komt te liggen. Je wilt natuurlijk dat alleen degene die de informatie mag zien, deze te zien krijgt.
Het beste is dan ook om hiervoor een beveiligde online-omgeving te gebruikten. Zo is er AVG-proof HR-software beschikbaar. Dit soort software is gespecialiseerd in het veilig opslaan van gevoelige informatie en persoonsgegevens en voldoet aan de laatste wet- en regelgeving op het gebied van privacy en veiligheid. Op deze manier krijgt alleen de juiste persoon toegang tot bepaalde gegevens.
In dergelijke HR-software kun je bijvoorbeeld personeelsdossiers volledig digitaliseren. Dit is ook nog eens heel handig, omdat het bewaren van papieren dossiers niet meer nodig is. Tegenwoordig biedt diverse software de mogelijkheid om documenten digitaal te ondertekenen, zodat je deze documenten ook niet meer hoeft te printen.
Bijzondere gegevens
Wat zijn precies bijzondere persoonsgegevens? Hieronder valt bijvoorbeeld informatie over iemands gezondheid, etnische oorsprong of politieke opvattingen. Omdat dit soort gegevens gevoelig zijn van aard, zijn ze extra beschermd. Uitzonderingen daargelaten, is het verwerken van bijzondere persoonsgegevens bij wet verboden.
Een praktisch, algemeen herkenbaar voorbeeld is een ziekmelding. Als een werknemer zich ziekmeldt en daarbij vertelt waar hij of zij last van heeft, mag alleen de ziekmelding zelf worden vastgelegd. De gezondheidsklachten mogen nergens worden verwerkt. Sterker nog: als de werknemer niet uit zichzelf over zijn of haar gezondheidsklachten vertelt, mag de werkgever daar ook niet naar vragen.
In de regel geldt: sla bijzondere persoonsgegevens niet op, dan zit je altijd goed.
Bewaar- en vernietigingstermijnen
Zodra je als organisatie een nieuwe werknemer in dienst neemt, sla je als vanzelf meteen persoonsgegevens van diegene op. Tenslotte zijn zulke gegevens nodig voor het arbeidscontract. Het is goed om in gedachten te houden dat hier wettelijke bewaar- en vernietigingstermijnen aan verbonden zijn. De AVG-wetgeving schrijft voor dat er niet meer en niet langer persoonsgegevens bewaard mogen worden dan noodzakelijk.
Het is niet zo dat voor alle documenten een specifieke, wettelijke bewaartermijn geldt. De AVG adviseert in het algemeen om persoonsgegevens maximaal twee jaar nadat iemand niet meer in dienst is te bewaren. Daarnaast heeft een werknemer altijd het recht om zijn of haar persoonsgegevens te laten verwijderen. Een werknemer kan hier om vragen als gegevens niet kloppen, niet compleet zijn of niet relevant (meer) zijn.
Aan de andere kant zijn er ook documenten die je juist voor een minimale periode moet bewaren. Het gaat om documenten waarvoor een fiscale bewaarplicht geldt. Nadat iemand uit dienst is, moet een werkgever zulke documenten vijf tot zeven jaar bewaren voor de Belastingdienst.
Voor verschillende documenten gelden dus verschillende bewaartermijnen. Bovendien zijn de regels niet altijd heel eenduidig. Ook hier kan een digitaal HR-systeem bij helpen. Deze systemen kunnen de bewaar- en vernietigingstermijnen voor je in de gaten houden. Ze kunnen eventueel ook digitale documenten automatisch vernietigen na een bepaalde termijn.
Veilig beheren van wachtwoorden
In het digitale tijdperk gebruiken we meerdere online diensten. Over het algemeen is daarvoor een account, en dus een gebruikersnaam en wachtwoord nodig. Het opschrijven van inloggegevens of het opslaan ervan in bijvoorbeeld een Word- of Excel-document is erg onveilig. In principe kun je gegevens ook beter niet in een mail naar collega’s versturen. Hierover later meer. Belangrijk is verder om verschillende, niet makkelijk te raden wachtwoorden te gebruiken voor verschillende accounts.
Voor het beheren van al je wachtwoorden zijn er gelukkig handige wachtwoordmanagers. Een bekend voorbeeld is LastPass. Dit is een plug-in of ‘extensie’ die in alle gangbare webbrowsers te gebruiken is. Je hebt één wachtwoord voor je LastPass-account. Hierin kun je vervolgens al je wachtwoorden en gebruikersnamen opslaan, met de bijbehorende URL. Vanuit LastPass kun je zo direct de inlogpagina openen en vaak worden de inloggegevens dan zelfs automatisch ingevuld.
Met een LastPass-account kun je anderen een eigen ‘kluis’ geven om hun inloggegevens in op te slaan. Deze kluis heeft dan weer een eigen wachtwoord. Ook handig is dat je met LastPass automatisch een wachtwoord kunt genereren. Op deze manier kun je voor alles een uniek wachtwoord aanmaken dat onmogelijk te raden is door derden. Veiliger kan niet!
Andere voorbeelden van wachtwoordmanagers zijn Dashlane en 1Password.
Twee-factor-authenticatie
Het komt steeds vaker voor: de twee-factor-authenticatie. Je inloggegevens invullen is niet altijd meer genoeg. Daarna wordt nog om een code gevraagd. Deze krijg je in een sms, of in een app als de Google Authenticator. Met zulke apps kun je in veel gevallen ook de vingerafdrukscanner van je telefoon gebruiken.
De twee-factor-authenticatie komt vooral voor bij digitale systemen die toegang verschaffen tot veel persoonsgegevens. Denk aan DigiD: naast je inloggegevens heb je de app nodig, of een code die je per sms krijgt opgestuurd. Ook veel HR-software maakt hier gebruik van. Als dat zo is, aarzel dan vooral niet om het toe te passen. Het zorgt ervoor dat je gegevens extra goed beschermd zijn.
Het versleutelen van e-mailberichten
Zoals al eerder naar voren gekomen, is het in de regel onveilig om gevoelige informatie per e-mail te versturen. Een manier om je e-mailverkeer veiliger te maken, is het versleutelen ervan. Een e-mail wordt hierbij versleuteld met een openbare sleutel. De platte tekst wordt dan omgezet in code. Vervolgens kan iemand de e-mail alleen ontcijferen als diegene daarvoor een persoonlijke sleutel heeft, die bij de desbetreffende openbare sleutel hoort. Beschikt iemand niet over zo’n bijbehorende persoonlijke sleutel, dan ziet diegene enkel een niet te ontcijferen tekst.
E-mail is goed versleutelbaar in Outlook met zogenaamde S/MIME-versleuteling. De afzender moet hierbij een e-mailprogramma zoals Outlook hebben dat deze versleutelstandaard ondersteunt. Heb je een Microsoft 365-abonnement, dan kun je gebruikmaken van het eigen versleutelsysteem van Microsoft 365, genaamd Information Rights Management (RIM).
Conclusie bij het veilig opslaan van persoonsgegevens
Bijna alles handelen we tegenwoordig digitaal af. Dat maakt ook dat gegevens relatief makkelijk naar buiten kunnen komen. De AVG-wetgeving ziet erop toe dat persoonsgegevens goed beschermd zijn. Er zijn een paar belangrijke principes om persoonsgegevens van je personeel veilig te kunnen opslaan en delen:
- Sla gegevens op in een beveiligde online-omgeving. Denk hierbij aan speciale HR-software.
- Sla geen zogenaamde bijzondere persoonsgegevens op.
- Houd algemene bewaartermijnen van documenten in gedachten.
- Beheer inloggegevens veilig in een online wachtwoordmanager.
- Gebruik twee-factor-authenticatie als die mogelijkheid er is.
- Vermijd het verzenden van persoonlijke of gevoelige informatie per e-mail, of wees er zeker van dat je e-mailverkeer versleuteld is.
Houd je je aan deze principes, dan weet je zeker dat de gegevens van je personeel goed beveiligd zijn en dat je voldoet aan de AVG-regels.