GDPR-statement: wat doet SD Worx om aan de GDPR te voldoen?

- - Leestijd: 5 minuten

Per 25 mei 2018 wordt de nieuwe Europese privacywet (GDPR) van kracht. Organisaties wereldwijd zullen aanzienlijke aanpassingen moeten doorvoeren, ook in de HR-sector en uw HR-afdeling. De Algemene Verordening Gegevensbescherming (AVG) – algemeen bekend als de General Data Protection Regulation (GDPR) – legt nieuwe regels op voor de verzameling en verwerking van gegevens van EU-inwoners.

Uw gegevens beschermen en ervoor zorgen dat u voldoet aan de nieuwe verordening voor gegevensbescherming zijn voor ons topprioriteit.

Privacy en gegevensbescherming bij SD Worx

  • Sinds januari 2015 zijn privacy en gegevensbescherming binnen de SD Worx Group toevertrouwd aan het Risk & Security team
  • We bekijken privacy vanuit een breed perspectief om het risico te beheersen, en niet louter als een wettelijke verplichting

GDPR bij SD Worx

  • Wij hebben de GDPR-ontwerpen in de eerste helft van 2016 van nabij opgevolgd en een impactbeoordeling uitgevoerd zodra de definitieve tekst werd goedgekeurd
  • In juni 2016 hebben we een impactbeoordeling en initieel actieplan voorgesteld aan het Executive Committee
  • Als onderdeel van ons ‘Engagement voor 2017’ keurde de directie een actieplan van twee jaar goed

GDPR-acties die we aan het implementeren zijn

  • De formele aanstelling van Data Privacy Managers in elk land
  • Een volledige herziening van alle beleidslijnen voor beveiliging en privacy, en integratie van de GDPR-voorschriften
  • Een herziening en verbetering van de technische en organisatorische maatregelen
  • De aanmaak van een register met persoonsgegevens
  • Een verklaring van conformiteit van de gegevensverwerking met de GDPR, om ervoor te zorgen dat al onze leveranciers dezelfde strenge normen blijven hanteren
  • Een herziening van alle contracten en regelingen met leveranciers
  • Een programma voor bewustmaking en opleiding van medewerkers
  • Een herziening van de procedures bij incidenten, en integratie van de nieuwe vereisten op het vlak van rapportering van inbreuken op gegevensbescherming
  • De aanmaak van een formeel kader en proces voor beoordelingen van de impact op de privacy

GDPR & Cobra

In Nederland ondernemen we specifiek actie om onze Cobra-software GDPR-klaar te maken. Achter de schermen zijn onze experts druk om ervoor te zorgen dat al onze oplossingen volledig voldoen aan de nieuwe wet- en regelgeving. Zo werken we bijvoorbeeld aan: 

Het toevoegen van een mutatielog en bijbehorende functies
Hiermee kun je in Cobra zien wie welk gegeven op welk moment heeft aangepast en wat de aanpassing inhoudt.

Het toevoegen van een auditlog
Deze log biedt de mogelijkheid om vast te stellen wie op welk moment waar in de applicatie is geweest en welk gegeven is bekeken. Deze log is niet direct voor onze klanten toegankelijk, maar via SD Worx kan tot 6 maanden terug informatie uit de log worden opgevraagd.

Dataretentie
We zijn momenteel bezig met het inbouwen van functionaliteiten in onze software waarmee het voor klanten gemakkelijker wordt om zich aan de geldende bewaartermijnen te houden.

Dataversleuteling
Vanaf april voeren we een migratie uit naar Microsoft SQL Server 2017 en gaan we ook ‘live’ privacygevoelige data versleutelen. Voor zgn. ‘data at rest’ deden we dat al.

2 Factor Authenticatie
2 Factor Authenticatie houdt in dat je naast een e-mailadres + wachtwoord nog een extra authenticatie toevoegt in de vorm van Google Authenticator en/of SMS authenticatie. Deze toepassing is al sinds 2015 beschikbaar in onze software, maar we wijzen er nog een keer extra op binnen de GDPR-kaders, want hiermee wordt een hogere mate van beveiliging voor eindgebruikers verkregen.

Privacy by design
Het thema gegevensbescherming hebben wij doorlopend geïmplementeerd in onze ontwerpprocessen.

Verwerkersovereenkomst
Wij faciliteren onze klanten proactief in het opstellen van een verwerkersovereenkomst, waarin we de samenwerking op het gebied van gegevensbescherming met elkaar vastleggen.

Doorgifte van persoonsgegevens
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor de applicaties van SD Worx, zoals Cobra, geldt dat de meeste servers zich binnen de EU bevinden. Dat betekent dat het niveau van gegevensbescherming gelijk blijft. Daar waar data wordt gedeeld met landen buiten de EU, zullen aanvullende maatregelen worden getroffen.

Natuurlijk maken we de software van SD Worx GDPR-compliant. Echter het is voor uw eigen organisatie belangrijk om de software zelf volgens de GDPR-richtlijnen toe te passen. SD Worx verleent haar klanten graag hulp en advies over de GDPR wet- en regelgeving. Op onze speciale GDPR-pagina vindt u meer informatie en kunt u contact opnemen met onze adviseurs bij specifieke vragen. 

 

Op zoek naar meer informatie?

Contact

Volg ons op :