Databeveiliging en privacy Salarisadministratie in de cloud

Databeveiliging en privacy

2

Wanneer een organisatie de overgang maakt van salarisadministratie on

premise naar salarisadministratie in de cloud, verandert daarmee ook de

beveiliging van de gegevens. Welke geavanceerde technieken zorgen ervoor

dat salarisgegevens in de cloud veilig worden opgeslagen en verwerkt?

Samenvatting

Wanneer een organisatie essentiële bedrijfsprocessen in de cloud laat draaien, wordt

daarmee automatisch zorggedragen voor een goede beveiliging van de gegevens.

De software draait veilig afgescheiden op een beschermd gedeelte van één van de

servers van de leverancier. Onbevoegden hebben er geen toegang toe. Dit scheelt de

organisatie aanzienlijke kosten op het gebied van informatiebeveiligingspersoneel,

-software en -advies. Deze whitepaper beschrijft twaalf geavanceerde technieken en

werkwijzen waarmee leveranciers salarisgegevens in de cloud beveiligen.

Inhoud

• Inleiding

• Informatiebeveiliging krijgt continu aandacht van experts

• Backup en recovery zijn goed geregeld

• Third party software wordt frequent geüpdatet

• Er is automatisch voldaan aan de bewaarplicht

• Softwareupdates worden onmiddellijk uitgevoerd

• Wachtwoorden worden goed beheerd

• De identiteit van gebruikers wordt grondig gecontroleerd

• De juiste gebruikersrechten worden toegekend

• De Wet Bescherming Persoonsgegevens wordt gerespecteerd

• Informatiebeveiliging gebeurt op basis van erkende standaarden

• Er is automatisch voldaan aan verplichte accountancy-regels

• Organisaties hebben de beschikking over een veilige testomgeving

• Conclusie

Databeveiliging en privacy

3

Databeveiliging en privacy

4

Inleiding

Wanneer een organisatie de overgang maakt van salarisadministratie on premise naar

salarisadministratie in de cloud, verandert daarmee ook de beveiliging van de gegevens.

Waar de organisatie vroeger zelf de software installeerde op eigen hardware en daar-

door zelf belast was met het informatiebeveiligingsbeleid, wordt de uitvoering daarvan

nu uitbesteed aan de leverancier. Die zorgt voor een hoog beschermingsniveau van

de zakelijke toepassingen die op het cloudplatform draaien, waaronder de salaris-

administratie. Daarbij wordt gebruikgemaakt aan een scala aan technische methoden

waarmee zowel de sofware als de infrastructuur afgeschermd wordt van onbevoegden

en kwaadwillenden. In deze whitepaper worden een aantal geavanceerde technieken

besproken die maken dat salarisgegevens in de cloud veilig worden opgeslagen en

verwerkt.

Databeveiliging en privacy

5

Informatiebeveiliging krijgt continu aandacht van experts

Het vakgebied van de informatiebeveiliging is voortdurend in beweging. Dagelijks duiken

nieuwe bedreigingen op. Meestal voldoet de bestaande beveiligingsinfrastructuur,

maar soms moet een nieuwe tool of techniek worden ingezet om de bedrijfsgegevens

tijdig te beschermen. Organisaties die hun bedrijfssystemen binnen de eigen muren

draaien, moeten zelf continu investeren in het bijhouden van de ICT-kennis van informatie-

beveiligers en in de aanschaf en het onderhoud van nieuwe beveiligingstools en

-technieken. Wanneer organisaties hun salarisadministratie echter in de cloud van

een toonaangevende leverancier onderbrengen, bespaart hen dit veel kopzorgen.

Voortaan kunnen zij vertrouwen op de expertise van grote aanbieders die ruime

mogelijkheden, gespecialiseerde kennis en een uitgebreid budget voor de beveiliging

van gegevens en infrastructuur hebben.

Databeveiliging en privacy

6

Backup en recovery zijn goed geregeld

Organisaties die hun salarisadministratie nog niet in de cloud hebben ondergebracht,

zijn zelf verantwoordelijk voor het maken van backups. Die backups zijn nodig omdat

er altijd een risico bestaat dat gegevens verloren gaan als gevolg van onverwachte

omstandigheden zoals brand, diefstal of wateroverlast. Wanneer organisaties hun

processen onderbrengen in de cloud, zorgt de leverancier van bedrijfssystemen in de

cloud voor backupfaciliteiten. Om voorbereid te zijn op calamiteiten zijn systemen

bovendien dubbel uitgevoerd en ondergebracht op verschillende locaties. Sommige

aanbieders bieden daarnaast ook nog eens de mogelijkheid om de data uit de cloud

te synchroniseren op de onsiteservers of pc’s van de klant. Op die manier heeft deze

altijd een recente kopie van de eigen data on-site.

Third party software wordt frequent geüpdatet

Voor een goede beveiliging van de informatiesystemen is het van belang dat de

leverancier zogeheten third party software tijdig vernieuwt. Dit voorkomt dat kwaad-

willenden misbruik kunnen maken van beveiligingslekken in oude versies van de software.

Bij deze third party software gaat het onder meer om besturingssystemen, database-

en andere software. Om die reden zorgen leveranciers van bedrijfssystemen in de

cloud voor een gestructureerd updateproces.

Databeveiliging en privacy

7

Er is automatisch voldaan aan de bewaarplicht

De overheid stelt organisaties verplicht om bepaalde data gedurende en bepaalde

periode te bewaren. Hierbij gaat het bijvoorbeeld om bedrijfsgegevens waarvan de

Belastingdienst de mogelijkheid wil hebben ze in een later stadium op te vragen.

Om die reden respecteren leveranciers van bedrijfssystemen in de cloud deze bewaar-

plicht. Hierdoor zijn organisaties ervan verzekerd dat de juiste data gedurende de

voorgeschreven periode bewaard en voor bevoegde personen toegankelijk zijn.

Zo is iedere ondernemer wettelijk verplicht zijn administratie zeven jaar te bewaren.

Dit wordt de fiscale bewaarplicht genoemd. Tot de basisgegevens van de administratie

behoort ook de loonadministratie. Na deze termijn vraagt de Belastingdienst deze

gegevens niet langer op.

Databeveiliging en privacy

8

Softwareupdates worden onmiddellijk uitgevoerd

Organisaties die hun salarisadministratie nog niet in de cloud hebben ondergebracht,

zijn zelf verantwoordelijk voor het functioneel beheer van de software. Dat betekent

dat ICT-medewerkers de software moeten installeren en onderhouden. Wanneer de

fabrikant nieuwe functies beschikbaar stelt, moeten de softwarewijzigingen door-

gevoerd worden.

Voor de veiligheid testen veel organisaties nieuwe releases eerst binnen een test-

omgeving, om er absoluut zeker van te zijn dat geen onverwachte comptabiliteits-

problemen optreden. Daardoor duurt het vaak langer dan gewenst voordat nieuwe

updates worden geïnstalleerd. Wanneer organisaties hun processen onderbrengen

in de cloud, gebeuren updates onmiddellijk.

Leveranciers van salarisadministratiesystemen in de cloud bedienen verschillende

klanten tegelijk. Hierbij wordt voor een softwarearchitectuur gekozen waarbij klanten

van dezelfde applicatie gebruikmaken, terwijl hun gegevens toch veilig van elkaar zijn

afgescheiden. Het voordeel van deze zogenoemde software multitenancy is dat updates

onmiddellijk kunnen worden doorgevoerd, voor alle klanten tegelijk.

Dankzij deze softwarearchitectuur zijn belangrijke kostenbesparingen mogelijk, niet

alleen voor de leverancier maar ook voor klanten, onder meer omdat de licentiekosten

van onderliggende systemen gespreid kunnen worden over een grote verzameling

klanten.

Databeveiliging en privacy

9

Wachtwoorden worden goed beheerd

Om er zeker van te zijn dat salarisgegevens voldoende zijn beveiligd, hanteren leveran-

ciers van payrollsystemen in de cloud regels voor het wachtwoordbeheer. Zo wordt

voorkomen dat hackers eenvoudig het wachtwoord van gebruikers kunnen raden.

Dat wordt in de eerste plaats voorkomen doordat de leverancier elke nieuwe gebruiker

meteen een eigen wachtwoord geeft. Wanneer alle nieuwe gebruikers hetzelfde wacht-

woord zouden hebben, zoals bijvoorbeeld welkom01, zou het voor kwaadwillenden wel

heel gemakkelijk zijn om zichzelf onbevoegd toegang te verwerven. Om die reden

geven leveranciers van salarissystemen in de cloud aan elke gebruiker een ander start-

wachtwoord. Vervolgens kan elke nieuwe gebruiker tijdens de eerste keer inloggen een

eigen wachtwoord kiezen.

Daarnaast controleert een goed beveiligd onlinetoegangssysteem bij de invoering van

nieuwe wachtwoorden of deze sterk genoeg zijn. Een sterk wachtwoord is moeilijk te

raden. Dat kan bereikt worden door bijvoorbeeld een combinatie van kleine en hoofd-

letters te gebruiken, en behalve letters ook cijfers en speciale tekens in het wacht-

woord te verwerken, zoals { , * en &.

Het systeem waarschuwt gebruikers wanneer nieuwe wachtwoorden niet aan deze

eisen voldoen. Dat gebeurt bijvoorbeeld door het tonen van de kleur rood voor een

zwak wachtwoord, oranje voor een iets sterker wachtwoord en groen voor een zeer

moeilijk te raden wachtwoord.

Databeveiliging en privacy

10

De identiteit van gebruikers wordt grondig gecontroleerd

Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier

de authenticatie van gebruikers. Dat betekent dat voordat medewerkers vanaf hun

tablet, laptop of pc gebruik kunnen maken van een payrollsysteem in de cloud,

allereerst hun identiteit op echtheid wordt gecontroleerd. Zo wordt voorkomen dat

onbevoegden toegang kunnen krijgen tot het salarisadministratiesysteem.

Dit proces, waarbij de echtheid van de identiteit van gebruikers wordt gecontroleerd,

heet authenticatie en vindt plaats tijdens het inlogproces. Naarmate er meer authen-

ticatiemiddelen worden gebruikt, kan de identiteit van de gebruiker met meer zekerheid

worden vastgesteld. Multifactorauthenticatie is extra belangrijk wanneer het bijvoorbeeld

gaat om financiële of persoonsgegevens.

Traditionele systemen vragen vaak enkel om een inlognaam en wachtwoord. In dat

geval wordt maar één factor gebruikt tijdens het authenticatieproces: kennis van het

wachtwoord.

Databeveiliging en privacy

11

Maar daarnaast zijn extra authenticatiemiddelen mogelijk, die de beveiliging aanzienlijk

verhogen en die daarom vaak worden ingezet door leveranciers van bedrijfssystemen

in de cloud, waaronder die voor salarisadministratie.

Bij twofactorauthenticatie moet de gebruiker niet alleen het wachtwoord kennen,

maar ook bewijzen dat hij of zij in het bezit is van een bepaald apparaat. Dat kan een

mobiele telefoon zijn, maar bijvoorbeeld ook een pasje in combinatie met een controle-

apparaat. Het bezit van een mobiele telefoon kan gecontroleerd worden door via sms

een code naar dit apparaat te verzenden die de gebruiker vervolgens in de browser

moet invoeren. Het bezit van een speciaal pasje kan gecontroleerd worden met behulp

van een controle-apparaat. Alleen wanneer hierin het juiste pasje wordt gestoken,

weet dit controle-apparaat het juiste controlegetal te genereren in reactie op een

zogeheten challenge van de online-applicatie.

Bij threefactorauthenticatie wordt nog een extra authenticatiemiddel toegevoegd

aan het inlog- of toegangsproces. Dit kunnen bijvoorbeeld bepaalde persoonlijke eigen-

schappen zijn die uniek zijn voor een bepaald individu, zoals de iris of het lijnenpatroon

op een vingertop. Bij deze biometrische authenticatie wordt tijdens het inlogproces

bijvoorbeeld een vingerafdruk afgenomen of irisscan gemaakt.

Databeveiliging en privacy

12

De juiste gebruikersrechten worden toegekend

Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier

de autorisatie van gebruikers. Dat betekent dat aan elke persoon automatisch de juiste

rechten worden toegekend. Sommige persoonsgegevens mogen immers binnen de

organisatie alleen onder ogen komen van bevoegde personen. Daarbij gaat het bij-

voorbeeld om salarisgegevens, maar ook om verzuimgegevens.

De Wet Bescherming Persoonsgegevens wordt gerespecteerd

Wanneer organisaties hun salarisadministratie onderbrengen bij een Europese leveran-

cier van bedrijfssystemen in de cloud, worden de salarisgegevens opgeslagen op servers

in Europa. Dat is nodig om te voldoen aan de Wet Bescherming Persoonsgegevens.

Die schrijft voor dat organisaties persoonsgegevens niet mogen opslaan in landen

buiten de Europese Unie, tenzij ze zeker weten dat die het Europese privacyniveau

kunnen waarborgen.

Wanneer een organisaties ervoor kiest om de salarisadministratie binnen de eigen

bedrijfsmuren op eigen systemen te draaien, kunnen op dit vlak per ongeluk fouten

worden gemaakt. Dat kan bijvoorbeeld het geval zijn wanneer salarisgegevens auto-

matisch worden gebackupt via een cloudopslagsysteem. Wat organisaties namelijk

niet altijd beseffen, is dat de servers waarop de gegevens worden opgeslagen in het

buitenland kan staan en in veel gevallen buiten de Europese Unie. Om die reden zorgen

leveranciers van payrollsystemen in de cloud voor opslag binnen Europa.

Databeveiliging en privacy

13

Informatiebeveiliging gebeurt op basis van erkende standaarden

Om er zeker van te zijn dat gegevens voldoende zijn beveiligd, hanteren leveranciers

van payrollsystemen in de cloud bepaalde informatiebeveiligingsstandaarden. Daarbij

gaat het bijvoorbeeld om ISO/IEC 27001, die is opgesteld door de Internationale Orga-

nisatie voor Standaardisatie (ISO).

Dit is een beveiligingsstandaard waarin richtlijnen, ook wel best practices genoemd,

zijn opgenomen voor de informatiebeveiliging van een organisatie. Hierin is onder

meer beschreven hoe de fysieke beveiliging van een organisatie is ingericht en aan

welke eisen het wachtwoordbeleid moet voldoen.

Het doorvoeren van deze standaard en het behalen van het bijbehorende certificaat

is een tijdrovende klus die een hoog kwaliteitsbewustzijn vereist. Organisaties die ervoor

kiezen om de salarisadministratie binnen de eigen bedrijfsmuren op eigen systemen

te draaien, zijn zelf verantwoordelijk voor dit proces. Wanneer zij echter overstappen

op salarisadministratiesoftware in de cloud, kunnen zij die verantwoordelijkheid over-

dragen aan de leverancier.

Databeveiliging en privacy

14

Er is automatisch voldaan aan verplichte accountancyregels

Om openbaar accountants de mogelijkheid te geven om aan de Belastingdienst op een

correcte manier te kunnen rapporteren over de manier waarop financiële gegevens

worden verwerkt, bestaat een internationale standaard: de ISAE 3402. Wanneer een

organisatie de salarisadministratie onder brengt binnen de cloud bij een leverancier

die zich houdt aan deze accountancystandaard, hoeft de organisatie zich hier dus geen

zorgen meer over te maken. Het is zeker dat op een correcte manier aan de Belasting-

dienst kan worden gerapporteerd.

Organisaties hebben de beschikking over een veilige testomgeving

Wanneer een organisaties wijzigingen uitvoert aan de instellingen van de software,

bijvoorbeeld door nieuwe gebruikers aan te maken binnen het systeem, is het prettig

te controleren of deze wijzigingen van de software-instellingen het beoogde effect

hebben voordat de nieuwe instellingen live gaan. Veel leveranciers van bedrijfssystemen

in de cloud geven hun klanten daarom de mogelijkheid om software-instellingen eerst

binnen een testomgeving te wijzigen. De wijzigingen kunnen daar veilig worden getest.

Pas wanneer zekerheid bestaat dat de nieuwe instellingen goed zijn doorgevoerd

kunnen deze live gaan. Zo zijn organisaties ervan verzekerd dat het payroll-systeem

in de cloud altijd goed functioneert.

Databeveiliging en privacy

15

Conclusie

Leveranciers van salarissystemen in de cloud gebruiken geavanceerde beveiligings-

technieken om salarisgegevens in de cloud veilig op te slaan en te verwerken.

Niet alleen zorgen leveranciers van bedrijfssystemen in de cloud voor goede backup-

faciliteiten. Vaak zijn, om voorbereid te zijn op calamiteiten, systemen bovendien

dubbel uitgevoerd, op verschillende locaties. Sommige aanbieders bieden daarnaast

ook nog eens de mogelijkheid om de data uit de cloud te synchroniseren op de

on-site servers of pc’s van de klant.

Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier

bovendien de authenticatie van gebruikers. Vervolgens worden aan elke persoon

automatisch de juiste rechten worden toegekend.

Om er zeker van te zijn dat gegevens voldoende zijn beveiligd, hanteren leveranciers

van payrollsystemen in de cloud bepaalde informatiebeveiligingsstandaarden. Daar-

naast respecteren leveranciers van bedrijfssystemen in de cloud de wettelijk voorge-

schreven bewaarplicht. Hierdoor zijn organisaties ervan verzekerd dat de juiste data

gedurende de juiste periode bewaard en voor bevoegde personen toegankelijk zijn.

Deze voorbeelden bewijzen dat wanneer een organisatie essentiële bedrijfsprocessen,

waaronder salarisadministratie, in de cloud laat draaien, daarmee automatisch zorg

wordt gedragen voor een goede beveiliging van de gegevens. Dit scheelt de organisatie

aanzienlijke kosten op het gebied van informatiebeveiligingspersoneel, -software en

-advies.

Databeveiliging en privacy

16

Over Visma Software

Visma publiceert regelmatig informatie over het vakgebied Human Resource Management

en salarisverwerking met als doel u te informeren over de ontwikkelingen die er binnen

deze vakgebieden plaatsvinden en u te helpen uw doelstellingen mede te realiseren.

Visma Software levert volledig geïntegreerde softwareoplossingen voor Human

Resource Management en salarisverwerking. Het stelt het lijnmanagement en de

werknemers zelf in staat om taken die voorheen bij HRM lagen uit te voeren.

Meer informatie:

Visma Software, Rob van Loenen, telefoonnummer: 033 45 45 111.

www.vismasoftware.nl

info-amersfoort@visma.com

Maandelijks verstuurt Elsa Breeland de nieuwsbrief Elsa vertelt... met antwoorden

op HRM-vragen. Klik hier om u in te schrijven.