GDPR en Tijdregistratie

GDPR en tijdregistratie van Protime

Op 25 mei 2018 vindt de grootste verandering op het gebied van gegevensbescherming in de geschiedenis sinds het internet plaats. Nieuwe regels rond databescherming zorgen ervoor dat diverse bedrijven een flinke omslag moeten maken. Alle personeelsgegevens moeten beveiligd worden, bepaalde gegevens mogen niet meer worden verzameld en voor vrijwel alle data-processen moeten protocollen geschreven worden.  Werkgevers dienen ook goed op de hoogte te zijn, want er worden strengere eisen gesteld aan de beveiliging van HR-gegevens en werknemers gaan ook meer rechten krijgen wat betreft de gegevens.

De oorsprong van de GDPR is terug te vinden in Directive 95/46/EG, een oudere richtlijn welke vervangen gaat worden door regulatie.

GDPR en Protime

Als marktleider op het gebied van tijdregistratie, planning, toegangscontrole en social software raakt Protime een hoop vlakken waarbij de GDPR-regelgeving effect op gaat hebben.

De GDPR, ofwel General Data Protection Regulation, is de bescherming van gegevens van inwoners van de EU. In het kort betekent dat dus dat bedrijven die geen vestiging in de EU hebben, maar wel services leveren aan een EU-burger, moeten voldoen aan de regelgeving. De oplossingen van Protime kunnen wereldwijd ingezet worden en zullen altijd voldoen aan de lokale regelgeving.

De nieuwe regelgeving omschrijft het als volgt:

The GDPR applies to all organisations – located inside or outside the EU – which control peronal data (data controlers, de gebruikers van de Protime software) or process data (data processors, Protime zelf), of EU citizens.

Software

De aanpassingen door de GDPR zijn vooral van technische aard. Qua bruikbaarheid zal er niet of nauwelijks iets veranderen aan de Protime-software. Het opslaan van de gegevens, aan ‘de achterkant’ van de software, gaat wel veranderen. Persoonsgegevens, uitgebreid met IP-adressen of mobile ID’s, dienen te voldoen aan GDPR-regelgeving en -beveiliging. Dit is een van de processen waar Protime nu hard mee bezig is. De gegevens zullen beveiligd gaan worden door bijvoorbeeld scripting, hashing en encrypting. Een flink aantal velden is momenteel al ‘gehashed’.  Het aanpassen van deze gegevens maakt dat het ‘pseudonieme gegevens’ worden. Hoe er omgegaan wordt met deze gegevens moet beschreven worden.

Biometrische data, vingerscan

Voor toegang of klokken met biometrische data worden er met de GDPR specifieke regels opgelegd. Dit is gevoelige informatie die een verbeterde bescherming moet krijgen en expliciete toestemming. Grote kans dat uw werknemers al moeten tekenen voor het feit dat biometrische data gebruikt wordt om ergens binnen te komen. Vanaf de invoering van de GDPR wordt het vastleggen hiervan verplicht.

Wat is er al gedaan?

In het verleden is er een ‘Policy Framework’ opgesteld. Hierin staat precies beschreven welke beveiliging van toepassing is op Protime. De komende maanden wordt er verder gewerkt aan dit framework.

Protime wil zo snel mogelijk 100% compliant zijn aan de GDPR-eisen. De volgende stappen zijn al ondernomen:

  • Vernieuwd datacenter met private cloud environment
  • Nieuwe veilige SFTP-servers
  • Nog meer testing op inbraakgevoeligheid
  • Security by design: de software moet zo veilig mogelijk ontworpen worden. Dit via bepaalde best practices op basis van frameworks.

Ook op intern vlak zijn er nieuwe stappen gezet. Zo heeft de interne IT van Protime tal van aanpassingen gedaan op de laptops, is de security state-of-the-art en is er zelfs een wijziging gemaakt in het gasten Wi-Fi, want ook dat mag niet meer zomaar opengesteld worden.

Wat gaat er nog gebeuren?

De beveiliging is al erg goed, maar toch zijn er in het kader van de GDPR een aantal wijzigingen die nog doorgevoerd gaan worden. Dit gaat waarschijnlijk een klein effect hebben op de Protime-software. Onder voorbehoud: voor relatief nieuwe gebruikers is de nieuwe password-policy al in werking. Deze nieuwe policy zal, in overleg met de gebruikers, over de rest van de gebruikers uitgerold worden. Ook wordt de policy voor admins (datacenter engineers) verder aangescherpt. Daarnaast zal er in de cloud nog meer verder getest worden op inbraakgevoeligheid en wordt de beveiliging nog verder opgeschroefd.

Op intern gebied zal Protime ook nog wat extra stappen maken, om zo de veiligheid van gegevens nog verder te kunnen garanderen.

Wat kan er fout gaan?

Op technisch vlak zal de Protime-software compleet voldoen aan alles wat bij de GDPR komt kijken. Wel de opmerking dat dit gaat om de SaaS-gebruikers. Gebruikt u nog de ‘oude’-Protime op een eigen server, dan is het slim om contact op te nemen met uw accountmanager om te kijken naar een upgrade of een conversie naar SaaS.

Het grootste gevaar zit hem in werknemers. Stel uw werknemer laat zijn pc aan staan, zonder deze te locken, dan zijn de gegevens voor andere personen in te kijken en is er sprake van een ‘data breach’. Het wil ook nog weleens gebeuren dat werknemers erg simpele wachtwoorden gebruiken of hun Protime-password via de mail naar een collega sturen. Doe dat niet.

Als er vragen zijn omtrent Protime en de GDPR kunt u altijd contact opnemen met uw Protime accountmanager of via het contactformulier.