Dit verhaal, geschreven door Barbara Cosgrove, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.
Drie Workday-functies die GDPR ondersteunen
Wanneer ik met business leaders praat, is een van de meest gestelde vragen: "Hoe kunnen we gelijke tred houden met veranderingen in de regelgeving rond dataprivacy?" De laatste tijd komt deze vraag geregeld voort uit discussies over de General Data Protection Regulation (GDPR) van de Europese Unie.
Wat we zeker moeten onthouden is dat de GDPR voor iedereen een positieve ontwikkeling is, ook al was het een hectische aanloop naar de deadline van 25 mei. Behalve dat organisaties mensen betere bescherming rondom hun data moeten bieden, moeten ze de manier waarop ze data opslaan, verwerken en delen veranderen. Dit vereist het op een efficiëntere manier beheren van informatie, wat vervolgens veel mogelijkheden creëert om strategischer en meer data-driven te opereren, volgens experts zoals Jeremy Baker, bijzonder hoogleraar aan de ESCP Business School.
Het is cruciaal dat onze klanten en degenen die Workday overwegen weten dat ze niet alleen staan in de verantwoordelijkheid om aan verplichtingen inzake dataprivacy te voldoen.
Sinds de GDPR van kracht is geworden, is er voor Workday-klanten weinig veranderd met betrekking tot toepasselijke grensoverschrijdende dataoverdrachtstromen van persoonsgegevens die voor verwerking naar Workday worden verzonden. Bij Workday is een wereldwijd dataprotectieprogramma vanaf het allereerste begin ingebouwd. Evenzo was Workday een van de eerste bedrijven met een Privacy Shield-certificering, en we blijven ons inzetten om die te behouden.
Het is ook belangrijk dat onze klanten en degenen die Workday overwegen weten dat ze niet alleen staan in de verantwoordelijkheid om aan verplichtingen inzake dataprivacy te voldoen. We hebben individuele overeenkomsten rond privacy met onze klanten, en onder de GDPR heeft Workday ook directe verantwoordelijkheden die worden beschreven in de verordening.
We weten ook dat we moeten blijven evolueren met nieuwe functies die tegemoetkomen aan de steeds veranderende dataprotectie-uitdagingen waarmee organisaties worden geconfronteerd. Ik wil drie specifieke functies uitlichten die rechtstreeks tegemoetkomen aan de GDPR-vereisten:
De toegang tot bepaalde data beperken
Voor Duitse en Scandinavische klanten die moeten voldoen aan verzoeken van ondernemingsraden heeft Workday een configureerbare functie ontwikkeld die de toegang van managers tot bepaalde data beperkt tot alleen de data die ze fundamenteel nodig hebben voor hun rol.
We noemen dit 'Conditional Role-Based Security Groups' en deze functie is gebaseerd op de privacyvereiste rond het 'need-to-know' principe. Het concept is dat een manager geen boodschap heeft aan de details van de beloning van een werknemer die enkele niveaus lager in de organisatie staat.
Het werkt als volgt: Klanten creëren een nieuwe voorwaardelijke, op rollen gebaseerde beveiligingsgroep die evalueert of de opgezochte werknemer deel uitmaakt van een specifieke locatie of locatiehiërarchie. Als de werknemer deel uitmaakt van die beperkte beveiligingsgroep, wordt de data in de voorwaardelijke, op rollen gebaseerde beveiligingsgroep verborgen voor managers boven een bepaald niveau.
Om ervoor te zorgen dat deze functie de integriteit van rapportages niet beïnvloedt, hebben we de mogelijkheid geboden om samengestelde rapporten te maken met werknemers wier data verborgen zijn.
De mogelijkheid om persoonsgegevens op eenvoudige wijze te wissen
We hebben privacyopschoning in Workday 26 geïntroduceerd en werken voortdurend aan het verbeteren en verdiepen van deze functie. Het belangrijkste doel van privacyopschoning is om klanten te helpen voldoen aan hun privacyvereisten en aan het recht om te worden vergeten, dat in de GDPR verankerd is.
We hebben privacyopschoning uitgebreid zodat klanten die Workday Recruiting gebruiken, kandidaat- en prospectinformatie snel en efficiënt kunnen wissen. Om tegemoet te komen aan de GDPR, hebben we in Workday 29 de mogelijkheid voor organisaties toegevoegd om data van actieve werknemers te wissen, zoals nationale en overheids-ID's, seksuele geaardheid, geslachtsidentiteit, gendervoornaamwoord, ras, etniciteit, godsdienst en handicap, als een werknemer vraagt om verwijdering van deze informatie.
Auditweergave geeft vorm aan auditing voor de GDPR
De mogelijkheid om gebruikersactiviteiten en mogelijk verdachte activiteiten te controleren is van het grootste belang. Daarom hebben we ervoor gezorgd dat auditweergave een heel jaar vóór de deadline van de GDPR al beschikbaar was in Workday.
Er zijn drie hoofdvereisten voor deze functie. Allereerst moeten administrators en hun auditors snel toegang krijgen tot gebruikersactiviteiten in het Workday-systeem. Vervolgens komt het controle-element, dat ervoor zorgt dat bedrijven in realtime worden gewaarschuwd voor potentiële bedreigingen in het volledige Workday-platform. Ten slotte het privacy-element, dat de hoeksteen vormt van GDPR best practice: de mogelijkheid om exact te zien wie welke data heeft bekeken en wanneer.
Er gebeurt niets in Workday zonder dat dit door het systeem wordt vastgelegd. De audit trail wordt via een standaardrapport toegankelijk gemaakt voor wie dit nodig heeft. Bedrijven kunnen een REST API gebruiken om informatie over te zetten naar een data-inventarisatiesysteem of al deze informatie te gebruiken in hun downstream-systemen.
De introductie van de GDPR was voor bedrijven niet alleen een gelegenheid om na te denken over hoe ze GDPR-compliance bereiken, maar ook hoe hun huidige technologieën en processen kunnen worden getransformeerd door een efficiëntere verwerking van data. GDPR zal niet de laatste wereldwijde privacyrichtlijn zijn en door het nemen van de juiste technologische stappen kunnen organisaties zich beter voorbereiden op verandering.