Hero Background Image

Dit verhaal, geschreven door Barbara Cosgrove, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.

Op weg naar de AVG en GDPR

 

Het kan u niet ontgaan zijn: op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. Het is de Europese wet die de landelijke privacy- en databeveiligingsrichtlijnen van alle EU-lidstaten vervangt. In Nederland heet de nieuwe privacyrichtlijn de Algemene Verordening Gegevensbescherming (AVG). Het is de hoogste tijd om het eens te hebben over de ondersteuning en tools die Workday biedt om klanten te helpen bij het voldoen aan de GDPR-verplichtingen.

Vanuit AVG/GDPR-compliance oogpunt hebben Workday en haar klanten allebei eigen verantwoordelijkheden: onze klanten als verwerkingsverantwoordelijken, Workday als verwerker van gegevens. De Autoriteit Persoonsgegevens omschrijft beide verantwoordelijkheden onder meer als volgt: “Een verwerkingsverantwoordelijke stelt zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast. Een verwerker van gegevens verwerkt de persoonsgegevens in opdracht van een verantwoordelijke.”

Hieronder gaan we dieper in op de beschermingsmaatregelen die Workday biedt in haar rol als verwerker van gegevens en op de instrumenten die we onze klanten bieden voor hun rol als verwerkingsverantwoordelijke. Workday heeft al actie ondernomen om de gegevensverwerkingsvoorwaarden voor onze klanten te updaten om te voldoen aan de AVG-eisen. Bovendien geven we op onze website Workday Community (in het Engels) antwoorden op veelgestelde vragen en we blijven die aanvullen en verbeteren als er nieuwe richtlijnen uitkomen.

De rol van Workday als gegevensverwerker

Veiligheid – Workday heeft de gegevensbescherming- en veiligheidstandaarden ingericht om te blijven voldoen aan de strenge externe compliance audits voor veiligheid, vertrouwelijkheid, beschikbaarheid, procesintegriteit en privacy beheer. Het applicatie framework van Workday biedt klanten specifieke mogelijkheden om de gebruikerstoegang tot Workday applicaties te beheren en te controleren en een standaardmodel voor het definiëren van toegang op basis van rollen.

Grensoverschrijdend dataverkeer – De AVG staat het verkeer van persoonsgegevens over landsgrenzen heen toe, inclusief de roltoewijzing. Daarmee kunnen bestaande dataverkeermechanismen ook in andere landen intact en geldig blijven. Klanten van Workday kunnen kiezen voor AVG/GDPR-compliant dataverkeerregels die van toepassing zijn voor de uitwisseling van persoonsgegevens van buiten de Europese Economische Ruimte naar Workday. Klanten kunnen daarvoor Workday’s Privacy Shield Certificering gebruiken of een standaard contractuele overeenkomst tekenen.

Privacy impact assessment (PIA) – De AVG vereist zogeheten PIA’s voor verschillende soorten dataverwerking. Het privacy team van Workday voert regelmatig en stelselmatig PIA’s uit op functionaliteiten, technologie, externe koppeling en op activiteiten de verband houden met onze diensten. We voorzien geen wezenlijke veranderingen in onze toch al zeer gedegen methodieken, maar ons privacy team volgt de ontwikkelingen rond AVG/GDPR nauwgezet zodat onze PIA’s blijven voldoen aan de vereisten.

Veiligheidslekken – In de AVG zijn nieuwe meldingsregels opgenomen voor elk veiligheidslek dat leidt tot verlies of vernietiging van en ongeautoriseerde toegang tot persoonsgegevens. Workday heeft een formeel intern plan voor de respons op incidenten ingesteld dat voldoet aan de meldingseisen.

De rol van de klant als verwerkingsverantwoordelijke

Workday voldoet aan alle AVG/GDPR-compliance eisen als verwerker van persoonsgegevens. In aanvulling daarop ondersteunen we onze klanten op verschillende manieren bij het voldoen aan hun verplichtingen en verantwoordelijkheden. Hieronder lichten we er een aantal toe.

Data opschonen – Onder de AVG/GDPR hebben betrokkenen recht op vergetelheid. Workday biedt een breed pakket aan functies om data op te schonen. Stel dat een klant bepaalde persoonsgegevens van vijf jaar geleden van een voormalige medewerker bij een Franse vestiging moet verwijderen. Met de functie Purge Person Data kunnen klanten een selectie maken uit het bestand van ex-medewerkers en die verwijderen.

Toegangsrechten – Workday biedt verschillende instrumenten waarmee klanten kunnen voldoen aan de vereisten voor toegangsrechten. Het applicatie framework van Workday biedt klanten specifieke mogelijkheden om de gebruikerstoegang tot Workday applicaties te beheren en te controleren en een standaardmodel voor het definiëren van toegang op basis van rollen.

Activiteitenlogbestanden – Workday houdt de activiteiten van alle accounts in logbestanden bij om klanten te helpen persoonsgegevens te beschermen tegen dreigingen. In die logbestanden worden geslaagde en mislukte inlogpogingen bijgehouden en de veranderingen of toevoegingen aan data door onze klanten en hun eindgebruikers. Beheerders kunnen deze geslaagde en mislukte inlogpogingen zien in rapportages en individuele auditors kunnen rapportages uitdraaien van de gegevenswijzigingen in het systeem door elk persoon in specifieke tijdperiodes. Daarmee kunnen klanten ook aantonen dat ze toegang monitoren en overzien, waarmee compliance op hoog niveau gewaarborgd is.

Onafhankelijke audits van de controles en processen bij Workday – Klanten hebben inzicht in de procedures die onze onafhankelijke auditors uitvoeren in het kader van onder meer onze ISO-normering om GDPR-compliance aan te tonen. Bovendien hebben onze klanten de beschikking over onze SOC-3 en SOC-2 rapportages en kunnen zij zich aanmelden voor het Workday Customer Audit Programma als ze aanvullende inzichten willen in de beheermaatregelen van Workday.

Wij nemen compliance zeer serieus en we kijken uit naar de samenwerking met onze klanten op het gebied van onze gezamenlijke AVG/GDPR-verantwoordelijkheden. En we blijven klanten op de hoogte houden van ontwikkelingen op dat gebied via FAQ’s en blogs. De belangrijkste boodschap is in ieder geval dat klanten dankzij Workday het vertrouwen hebben dat ze beschikken over de benodigde mogelijkheden en functionaliteiten om te voldoen aan de AVG/GDPR.