Hero Background Image

Dit verhaal, geschreven door Barbara Cosgrove, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.

AVG / GDPR: Workday’s principes voor privacy by design

 

Nog een kleine vijf maanden en de General Data Protection Regulation (GDPR) is van kracht. Dit is de Europa-brede wet die in de plaats komt van de landelijke privacy- en databeveiligingsrichtlijnen van alle EU-lidstaten. In Nederland is de GDPR vertaald in de Algemene Verordening Gegevensbescherming (AVG). Een centrale eis in de GDPR / AVG is dat privacy het startpunt is: ‘privacy by design’. Het is daarom goed om uit te leggen aan klanten en partners hoe Workday omgaat met privacy by design.

Privacy by design betekent dat maatregelen voor gegevensbescherming ingebed zijn in het ontwikkelingsproces van producten, processen en diensten waarbij persoonlijke gegevens gebruikt worden. Privacy by design gold lang als best practice, maar nu is het een harde, wettelijke eis. Om het nog specifieker te maken: de GDPR verplicht organisaties de wettelijke regels die te maken hebben met het verwerken van Europese persoonsgegevens, mee te nemen bij het allereerste begin van elk ontwikkelingsproces.

Hoe borgt Workday de basisbeginselen van privacy by design?

Privacy by design is de leidraad bij de manier waarop Workday producten bouwt, software ontwikkelt en diensten inricht. De zeven basisprincipes van privacy by design (pdf) zijn als volgt verweven in onze filosofie:

  • Proactief en preventief - Privacy by design legt de nadruk op proactieve maatregelen boven reactieve maatregelen, door te anticiperen op privacy schendingen en die te voorkomen voordat ze optreden. Het privacy team van Workday werkt nauw samen met de productmanagers bij de start en tijdens de looptijd van elke productontwikkeling. Daardoor ontwikkelen we producten die compliant zijn en voorkomen we dat we naderhand zaken moeten herstellen om de goede verwerking van persoonsgegevens te waarborgen. Bovendien zijn vroege en regelmatige veiligheids- en privacy trainingen standaard onderdeel van het opleidingstraject van medewerkers.
  • De standaardnorm - Privacy als standaard is een vaste vereiste voor nieuwe functies en producten. Als er verschillende ontwerpopties zijn, kiezen we altijd voor de optie met de strengere privacybescherming in plaats van voor de mindere optie. De chief privacy officer van Workday beoordeelt en accordeert eerst alle belangrijke releases voordat ze op de markt komen. Klanten kunnen daarna de Workday-toepassingen inrichten zodat ze aan hun interne eisen voldoen.
  • Volledig verweven - Privacy by design is volledig verweven in de architectuur en bedrijfseconomische doelstellingen van Workday. De principes van privacy by design zijn bovendien geïntegreerd in ons softwareontwikkelingsproces. Dat is de leidraad voor de bouw van producten en de inrichting en uitvoering van onze diensten.
  • Optelsom van veiligheid en gebruiksgemak - Met onze focus op privacy by design richten we ons zowel op het helpen realiseren van bedrijfsdoelstellingen als op de bescherming van persoonsgegevens. In onze ogen hoeven organisaties niet te kiezen tussen software die persoonlijke data beschermt en software die prettig werkt. Beide zijn belangrijk en door privacy bij de start van het ontwerpproces als leidraad te nemen, zijn zowel veiligheid als klanttevredenheid gegarandeerd.
  • Levenslange bescherming - Sterke veiligheidsmaatregelen moeten alle persoonsgegevens tijdens de gehele levenscyclus beschermen. Workday heeft veiligheid ingebouwd in de totale levenscyclus van de data die door onze diensten verwerkt wordt, ook in de manier waarop we de systeeminfrastructuur van Workday beheren en de wijze waarop we de configureerbare toepassingen voor onze klanten inzetten en bouwen.
  • Inzichtelijkheid en transparantie - Workday maakt het totale proces inzichtelijk en transparant voor onze klanten door onafhankelijke externe audits en certificeringen op het gebied van privacy, vertrouwelijkheid en veiligheid in te zetten en beschikbaar te maken. We zorgen ervoor dat klanten de technische en organisatorische maatregelen voor gegevensbescherming moeiteloos begrijpen. We geven klanten ook alle ruimte om de informatie over hoe wij met data omgaan op de meest geschikte manier aan hun medewerkers over te dragen.
  • Respect voor privacy van de gebruiker - Workday bouwt controlemechanismes voor klanten in zodat zij onze diensten zodanig kunnen inrichten dat die voldoen aan de privacyvoorschriften die voor onze klanten belangrijk en van toepassing zijn.

Waarom legt Workday zo de nadruk op privacy by design?

Privacy by design sluit naadloos aan bij de kernwaarden van Workday – met name integriteit, klantenservice en innovatie. We zijn trots op die kernwaarden en zorgen ervoor dat die gewaarborgd zijn, niet alleen in de dienstverlening van Workday, maar ook in onze activiteiten vanuit compliance perspectief.

We willen een early adoptor zijn van nieuw opkomende zakelijke activiteiten en normen, waarbij privacy en de bescherming van de persoonsgegevens van onze klanten de kern vormen van wat we doen. Door te focussen op innovatie en geavanceerde privacybescherming voor onze klanten en de individuele medewerkers binnen die organisaties, zijn wij in staat onze klanten altijd centraal te stellen en hen te helpen te voldoen aan hun eigen AVG/GDPR-compliance vereisten.