Privacy? Verzuimsystemen op orde, HR-systemen niet! Uit recent onderzoek door HR Navigator blijkt dat de aanbieders van verzuimsystemen de nieuwe privacyregels volgen en dat de aanbieders van personeelsinformatie- en salarissystemen zich nog op grote schaal afvragen of die nieuwe regels ook wel op hen van toepassing zijn… Jaarlijks voert HR Navigator een aantal onderzoeken uit in het domein van HR. Elk jaar zijn er nieuwe ontwikkelingen op het gebied van wet- en regelgeving. Ook de techniek staat niet stil. Voor dit onderzoek heeft HR Navigator de aanbieders hierover een aantal vragen gesteld en daaruit is een goed beeld ontstaan van de vertaling van de ontwikkelingen naar de HRsector.
Grootste onderzoek verzuimapplicaties
HR-
en
In het voorjaar waren de arbodiensten aan de beurt. Afgelopen najaar ligt de focus op de aanbieders van personeelsinformatie-, salaris-, arbo- en verzuimsystemen. Met ruim dertig aanbieders is dit wederom het grootste onderzoek op dit vakgebied. Extra bijzonder is de deelname van vier grote arbodienstverleners die gebruik maken van een eigen systeem. In een persoonlijk gesprek op directieniveau is met alle aanbieders gesproken over: Privacy en veiligheid: nieuwe wetgeving vereist aanpassingen aan systemen. Employee Self Service (ESS) en Manager Self Service (MSS): door de medewerker en leidinggevende een actieve rol te geven, verandert het traditionele HRregistratiesysteem voor de HR professional naar een systeem dat alle medewerkers gebruiken. Belangrijkste trends en ontwikkelingen in de markt. De medewerker centraal in de organisatie: de medewerker wordt eigenaar van zijn eigen gegevens. Verzuimsysteem wordt ‘Bedrijfsgezondheidssysteem’? De komende periode zullen deze onderwerpen in een reeks artikelen worden behandeld. We beginnen in dit eerste artikel gelijk met een delicaat onderwerp: privacy en veiligheid.
Privacy en veiligheid Aanleiding om het onderwerp privacy weer eens hoog op de agenda te zetten, is de brief van het College Bescherming Persoonsgegevens die zij op 2 juni 2015 heeft verstuurd naar alle aanbieders van verzuimsystemen.
Daarnaast treedt per 1 januari 2016 de Wet meldplicht datalekken in werking met nogal wat impact voor deze sector.
Wat gaat er veranderen? Het CBP is de privacy waakhond in Nederland. Per 1 januari 2016 transformeert deze organisatie naar de ‘Autoriteit Gegevensbescherming’ in het licht van de nieuwe wetgeving. Vanuit haar rol als privacy waakhond stelt zij richtsnoeren op waaraan iedereen zich op het gebied van privacy moet houden. Daarnaast toetst zij actief of deze richtsnoeren ook worden toegepast in de dagelijkse praktijk. Naar aanleiding van een grootschalig CBP-onderzoek bij verzuimsoftwareaanbieder Humannet, zijn duidelijke instructies afgegeven aan de leveranciers van verzuimsystemen over wat wel en niet geoorloofd is. Alle aanbieders hebben op 2 juni 2015 een brief ontvangen waarin deze instructies zijn verwoord. De belangrijkste punten op een rij: CBP eisen: Het is niet geoorloofd de verzuimoorzaak bij een ziekmelding vast te leggen. Bij voorkeur worden geen open velden meer gebruikt in het systeem. Een vrij veld is een tekstveld zonder verdere invoercontrole. Als dat wel gebeurt, dan is een actieve controle op het gebruik van medische termen nodig. Voor alle gebruikers wordt twee factor authenticatie vereist. Dit houdt in dat er, naast de beveiliging door middel van de combinatie inlognaam en wachtwoord, nog een tweede sleutel nodig is. Bijvoorbeeld een sms-code of een zogenaamde ‘Token’ die de identiteit van de gebruiker borgt.
Periodieke IT-audit: een zogenaamde penetratietest waarbij een ‘dienst’ (lees: de internet applicatie maar ook provider waar de applicatie wordt gehost) aan een test wordt onderworpen. Andere wettelijke ontwikkelingen: Ketenaansprakelijkheid De leverancier privacygevoelige
van een applicatie waarin informatie wordt vastgelegd
(bijvoorbeeld een eenvoudige ziekmelding), wordt gezien als verwerker van deze gegevens en is medeaansprakelijk voor onjuist gebruik van een applicatie. Wet meldplicht datalekken Om te kunnen voldoen aan deze wet die op 1 januari 2016 ingaat, moet elke organisatie een aantal maatregelen hebben genomen en procedures hebben ingericht. Een zeer belangrijke rol is weggelegd voor de Functionaris Gegevensbescherming. De persoon die deze rol invult, is vanuit een organisatie eerste aanspreekpunt voor de Autoriteit Gegevensbescherming (het huidige CBP) en heeft een vergaande bevoegdheid vanuit de directie. Binnen de directie moet privacy en veiligheid als specifiek aandachtsgebied zijn belegd.
Verzuimsystemen: hard gewerkt, zo goed als klaar Tijdens het onderzoek van HR Navigator blijkt dat er zeer verschillend door de systeemleveranciers in de markt is gereageerd op deze veranderingen. Bij de aanbieders van verzuimsystemen zijn deze zomer alle verloven van medewerkers ingetrokken. Ingegeven door de zware tijden die collega VCD Humannet heeft gehad, nadat Zembla en daaropvolgend het CBP – het vizier vol op hun applicatie had gericht.
Uiteindelijk is VCD Humannet nu als enige volledig en bewezen CBP-proof. De weg die zij moesten afleggen wil echter niemand maken. Bij de collega aanbieders is dus keihard gewerkt om compliant te worden. Naar verwachting zijn zij begin 2016 zo goed als klaar.
Interne arbosystemen Ook
de
arbodienstverleners
met
interne
arbo-
en
verzuimapplicaties zijn persoonlijk aangeschreven door het CBP. Zij zijn zich dus ook zeer bewust van de gevoeligheid van de gegevens die zij beheren. Qua functionaliteit sluiten deze systemen prima aan op de dienstverlening die de arbodienst levert. Toch constateren we dat het voor hen erg lastig is om een complex systeem als een verzuimapplicatie up-to-date, veilig en privacyproof te maken en houden. Zij hebben vaak geen uitgebreide IT-afdelingen met de nodige know how en een beperkt budget voor attack- en penetratietesten.
CBP-brief vatbaar?
voor
meerdere
uitleg
Tijdens de gesprekken ontstond regelmatig discussie over de wijze waarop de CBP-brief kon worden uitgelegd. Zo is een aantal aanbieders van mening dat de twee factor authenticatie echt niet voor álle gebruikers hoeft te gelden. Want een leidinggevende mag een eenvoudige ziekmelding toch wel vastleggen via een appje? Ook vragen zij zich hardop af of het werken met ‘vrije velden’ (een tekstveld met of zonder invoercontrole op medische
termen) niet een meer verantwoorde communicatie is tussen de werkgever en de arbodienst dan oncontroleerbare, onveilige mailtjes? Wij hebben ook leveranciers gesproken die juist goede en veilige alternatieven bieden voor die ongestructureerde en onveilige e-mail. Diezelfde aanbieders zijn met hun klanten in gesprek gegaan over het nut en noodzaak van twee factor authenticatie. Ze hebben hiervoor inmiddels oplossingen zoals persoonlijke USB-tokens bedacht die een minimale impact hebben op het gebruikersgemak van de applicatie. Het kán dus wel, maar je moet willen en creatief naar oplossingen zoeken.
HR-systemen: werk aan de winkel! De HR-systemen zijn op een enkele positieve uitzondering na nog niet helemaal wakker. Alle vormen van ontkenning dat het niet hun probleem is, hebben we zien passeren. De Top 5 van ontkenning: 1. 2. 3. 4.
Het zal zo’n vaart niet lopen Het CBP zal mij vast niet als eerste inspecteren Dat geldt niet voor mij Daarvoor is mijn klant zelf verantwoordelijk want dat staat in het contract 5. Mijn klant vraagt er niet om Ook wordt er niet of zeer beperkt gebruik gemaakt van bewerkingsovereenkomsten waarin juist de ketenaansprakelijkheid goed kan worden geregeld. Volgens ons toch echt een belangrijke eerste stap in het managen van je ketenaansprakelijkheid. Deze HR-systemen bieden echter allemaal een verzuimmodule aan waarin de klant de ziekmelding kan registreren en waarin vaak ook de stappen van de Wet verbetering Poortwachter zijn
geautomatiseerd. Ook in deze systemen worden dus per definitie privacygevoelige persoonsgegevens beheerd en verwerkt. Zij kunnen deze ‘privacydans’ dus niet ontspringen.
Basis verzuimmodules Los van de privacydiscussie, zien we qua functionaliteit dat de generieke HR-systemen verzuimexpertsysteem zijn.
bij
lange
na
nog
geen
Tegelijkertijd constateren we dat dit ook lang niet altijd nodig is. Voor kleinere organisaties zijn deze basis verzuimmodules een prima hulpmiddel naast de dienstverlening die zij inkopen bij de arbodienst. De grotere werkgever, die kiest voor een eigenregiemodel, heeft echter meer nodig om op verantwoorde wijze verzuimbeleid te automatiseren. Zij hebben veel voordeel bij het gebruik van een verzuimapplicatie. Zie ons eerdere artikel “Waarom een verzuimsysteem?”.
Functionaris Gegevensbescherming De rol van de Functionaris Gegevensbescherming/Data Protection Officer is onvoldoende ingevuld. De Wet meldplicht datalekken verplicht leveranciers om binnen de organisatie een persoon met deze rol aan te wijzen. Deze rol is echter nog lang niet overal formeel belegd. En dat terwijl deze professional de cruciale taak heeft om na het vaststellen van een datalek te beoordelen welke maatregelen moeten worden getroffen, welke klanten men moet aanschrijven en of men al dan niet een formele melding naar de Autoriteit Gegevensbescherming moet doen. Het is overigens een misvatting dat een datalek altijd te
maken heeft met een applicatie of met hackers. Ook een medewerker kan een datalek veroorzaken door bijvoorbeeld privacygevoelige gegevens per ongeluk aan een verkeerde geadresseerde ter beschikking te stellen. Ook de procedures hoe te handelen bij een mogelijk datalek zijn vaak nog niet uitgeschreven en geformaliseerd. De combinatie van het ontbreken van een FG/DPO én de procedures maakt het wat ons betreft zeer onwaarschijnlijk dat het bij een noodgeval goed zal gaan. Werk aan de winkel dus om ook deze formele kant goed te organiseren. Bij de onderzochte systeemleveranciers zien we qua invulling en bewustwording overigens eenzelfde verdeling als over privacy in het algemeen; de arbo- en verzuimapplicaties zijn dus vele stappen verder dan de generieke HR-systemen. In ons volgende artikel gaan wij in op andere interessante onderwerpen die tijdens onze gesprekken aan de orde zijn geweest. Zoals bijvoorbeeld de nieuwe plaats van de bedrijfsarts in het systeemlandschap en de consequenties voor de gevestigde orde van het slimmer worden van de HR-systemen. Hans van Rooij en Marco de Zeeuw zijn partner in HR Navigator BV en inhoudelijk deskundig op het gebied van PI- en Verzuimsysteem toepassingen. Daarnaast zijn zij initiatiefnemer voor het ‘Keurmerk Veilig HR Systeem’ © BG magazine
