Bodet-Nederland-BV
Uw tijdregistratie ... ons vak

Kelio en de AVG

Uw gegevens AVG-proof verwerkt met Kelio software!

De implementatie van software voor planning, tijdregistratie en toegangscontrole vereist het gebruik en de verwerking van gegevens met een persoonlijk karakter. Organisaties binnen de Europese Unie moeten zich daarbij houden aan de bepalingen van de AVG, de Algemene verordening gegevensbescherming.

ONZE DIENSTEN

AVG-bepalingen met betrekking tot HR-software

Elke organisatie in de Europese Unie die persoonsgegevens van personeel verwerkt, dient zich te houden aan de AVG, waarin het volgende is vereist:

  • bescherming van persoonsgegevens;
  • handhaving van rechten met betrekking tot persoonsgegevens;
  • implementatie van een verantwoordelijke beheermethode voor deze gegevens (inclusief een waarschuwingsprocedure in geval van schending van de beheermethode);
  • benoeming van een tussenpersoon: een unieke contactpersoon.

Kelio software en naleving van de AVG

De implementatie van ons Kelio HR-systeem ondersteunt een correct beheer van persoonsgegevens in het kader van de AVG doordat het:

  • bedrijven laat stilstaan bij de verwerking van persoonsgegevens en de regulariseren daarvan;
  • leidt tot een centrale opslag en betere bescherming van persoonsgegevens (beveiligd systeem en toegangsrechten);
  • de mogelijkheid biedt sneller en gemakkelijker te reageren op verzoeken inzake het uitoefenen van rechten.

De Kelio softwareoplossing voor planning, tijdregistratie, orderregistratie en toegangscontrole helpen organisaties bij het naleven van de AVG bepalingen doordat ze de verwerking en bescherming van persoonsgegevens van medewerkers reguleren.

"Privacy by design" in Kelio

Artikel 25.1: Privacy by Design betekent vanaf het ontwerp of de wijziging van een bewerking rekening houden met de rechten en plichten ten aanzien van gegevens van persoonlijke aard door proactieve en preventieve maatregelen te nemen om eventuele incidenten in verband met aantasting van de privacy te voorkomen.

Beperking van de verplichte gegevensvelden tot die velden die noodzakelijk zijn voor de verwerking van het contract van de medewerker. Ter bescherming van het recht op toestemming/opt-in en om te voorkomen dat facultatieve gegevens zonder toestemming van de betrokkene worden ingevoerd, kunnen Kelio-gebruikersprofielen zo worden ingesteld dat het invoerden van facultatieve gegevens wordt verboden.

Nauwkeurig beheer van gebruikersrechten maakt gepersonaliseerde toewijzing van rechten mogelijk en beperkt de noodzakelijke communicatie van gegevens tot enkele geautoriseerde personen. In de software zijn standaard beperkte toegangsrechten ingesteld. Kelio staat bijvoorbeeld toe dat aan een medewerker uitsluitend leesrechten worden toegewezen of alleen bewerkingsrechten voor zijn of haar individuele dossier worden verleend.

"Privacy by design" in Kelio

Artikel 25.2: Alle persoonsgegevens moeten worden beveiligd, ongeacht hun indeling (papier, digitaal) en ongeacht of het gevoelige gegevens betreft. Een organisatie moet niet alleen waken over de toegang tot gegevens en die beveiligen (toegangscontrole via badge, afgesloten kasten), maar gegevens op papier ook beschermen tegen degradatie (bescherming tegen brand, waterschade, enzovoort).

Uitzonderlijke bescherming van gegevens in Kelio-software: dit betreft zowel licenties (codering van gegevens, regelmatige beveiligingsaudits, verplichte verificatie, enzovoort) als SaaS-modus (bijzonder goed beveiligde hostcentra met ISAE3402- en ISO27001-certificeringen, sterk beveiligde firewalls, opslagredundantie, enzovoort).

Fysieke beveiliging van uw gebouwen dankzij Kelio toegangscontrole draagt bij aan de beveiliging van persoonsgegevens. Denk hierbij aan het deactiveren van verloren toegangsbadges, het toekennen van toegangsrechten op basis van aanwezigheidsplanningen van medewerkers en traceren van incidenten als het gaat om toegang.

Uitoefening van rechten met betrekking tot gegevens met een persoonlijk karakter

Artikel 12: Fysieke personen die hun gegevens hebben vermeld (werknemers, klanten) kunnen rechten doen gelden op hun gegevens. Ze kunnen hun gegevens bekijken en corrigeren, een aanvraag indienen om te worden vergeten, enzovoort. De organisatie moet deze rechten op elk moment kunnen respecteren en de betreffende handelingen kunnen uitvoeren, binnen de maximale termijn van een maand.

Recht op raadpleging (Artikel 15)/correctie (Artikel 16): met Kelio kunt u uw werknemers rechten toekennen zodat ze hun persoonsgegevens wanneer ze willen kunnen raadplegen en/of hun personeelsdossier zelf kunnen aanpassen.

Recht om vergeten te worden (Artikel 17): in Kelio-software kunnen gegevens en hun technische sporen worden verwijderd. Dit kan worden gedaan door een beheerder van Kelio-software. Waar het HR-gegevens betreft wordt dit recht ingeperkt door wettelijke verplichtingen betreffende bewaartermijnen van documenten. Tevens kan Kelio zo worden ingesteld dat gegevens automatisch worden verwijderd zodra de wettelijke bewaarplicht ervan verstrijkt.

Overdraagbaarheid van gegevens (Artikel 20): in Kelio zijn rapportages en gegevensexports beschikbaar in standaardindelingen (PDF, Excel of CSV). Hierdoor is het voor beheerders eenvoudig overzichten van HR-gegevens aan de organisatie aan te leveren.

Ondersteuning bij het opstellen van minimale documentatie

De AVG introduceert het begrip aansprakelijkheid van de organisatie (Accountability). Organisaties worden geacht proactief te handelen waar het gaat om de bescherming van gegevens en moeten dat kunnen aantonen door middel van een verplichte minimale documentatie.

Op basis van het Kelio gegevensverwerkingsregister is een vooraf ingevuld model beschikbaar dat het mogelijk maakt de minimale documentatie op te stellen die de AVG vereist (Artikel 30).

De aanpak van Bodet Software met betrekking tot de AVG

De bedrijven en organisaties (de zogenoemde 'verwerkingsverantwoordelijken') blijven volledig verantwoordelijk voor het beheer en de bescherming van gegevens met een persoonlijk karakter, ongeacht of de verwerking intern wordt uitgevoerd of aan derden wordt uitbesteed.

In het kader van hostingservices in de SaaS omgeving, software integratie en ondersteuning/onderhoud is Bodet Software 'verwerker' namens zijn klanten. Afgezien van de al bestaande beveiligingsmaatregelen (softwarebeveiliging, gebouwenmonitoring, back-ups, geregelde veiligheidsaudits, enzovoort) heeft Bodet Software extra maatregelen ingesteld om naleving van de in de AVG gestelde bepalingen te verstevigen:

  • Benoeming van een Data Protection Officer (DPO), Artikel 37, en van een stuurgroep gegevensbescherming. Onze DPO is gespecialiseerd in de beveiliging van gegevens met een persoonlijk karakter. Hij is verantwoordelijk voor het behoud van de privacy en voor de juiste toepassing van de AVG-bepalingen. Hij is binnen het bedrijf verantwoordelijk voor de implementatie en controle van het beleid voor het beheer van gegevens met een persoonlijk karakter. Voor informatie: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
  • Voorlichting van ontwikkelaars, adviseurs/technici en ondersteuningsmedewerkers over de vereisten betreffende de vertrouwelijkheid en het juiste beheer van gegevens met een persoonlijk karakter
  • Contractuele verplichtingen ten opzichte van klanten die 'Verwerkingsverantwoordelijken' zijn Artikel 28: (bijvoorbeeld meldingsplicht).

Specifieke aandachtspunten voor professionals die HR-gegevens van personeel verwerken

Afgezien van het gegevensbeheer in Kelio mogen ook de overige technische en organisatorische maatregelen niet worden verwaarloosd:

  • Voorlichting: uw medewerkers die regelmatig met HR- of toegangscontrolesoftware werken en persoonsgegevens verwerken, moeten worden voorgelicht over de bepalingen van de AVG en moeten op de hoogte zijn van de getroffen maatregelen ter beveiliging van persoonsgegevens. Vooral gezien het feit dat bepaalde persoonsgegevens van medewerkers gevoelig kunnen zijn, zoals die met betrekking tot biometrische controle (vingerafdrukken), lidmaatschap van een vakbond of medische gegevens (Artikel 9).
  • 'Lock-out': een organisatie heeft niet het recht onnodige gegevens te bewaren en moet dus de rechten van een medewerker die het bedrijf verlaat, intrekken om te voorkomen dat hij of zij nog ergens toegang toe heeft. Dit geldt ook voor medewerkers die op een andere afdeling gaat werken of van werkplek verandert. In dat geval moeten zijn of haar bestaande rechten worden ingetrokken en kunnen nieuwe rechten worden gemaakt overeenkomstig zijn of haar functie.
  • Automatische gegevensverwijdering: voor elk type gegevens en document geldt een uiterste bewaardatum. De organisatie moet ervoor zorgen dat gegevens en documenten waarvoor deze datum is verstreken, automatisch worden verwijderd. Dit beperkt het risico van gegevensschending.
  • Benoemen van een DPO: dit is niet altijd verplicht (Artikel 37), maar in alle gevallen aan te raden, met name voor publieke instanties, voor organisaties die vertrouwelijke gegevens verwerken of voor organisaties die gezien hun algemene bedrijfsactiviteiten geregeld, systematiek en op grote schaal personen monitoren (zoals ziekenhuizen).
  • Melding in geval van gegevensschending: indien sprake is van gegevensschending (lekkage, onbedoelde wijziging of vernietiging of verlies van gegevens), moet de organisatie het belang en de impact van het incident beoordelen en deze schending in de betreffende gevallen melden aan de toezichthoudende autoriteit.

ONZE KLANTEN HEBBEN VERTROUWEN IN ONS – U OOK?

De Bodet-groep - al 150 jaar
30 jaar ervaring
Internationale aanwezigheid
Internationale aanwezigheid
Profiteer van de installatie van Bodet Software
Implementaties
Vaste contactpersoon
Vast contactpersoon
in de buurt en beschikbaar
In de buurt en beschikbaar

Door de site te blijven gebruiken, accepteert u het gebruik van cookies. Meer informatie