Hoe veilig zijn je gegevens in jouw e-HRM systeem?

Niet elk selectie- en implementatietraject verloopt even gestructureerd. Vaak speelt het “onderbuikgevoel” een grote rol en is er voor betrouwbaarheid en continuïteit minder aandacht dan je je misschien bewust bent. Sta jij wel eens stil bij de vraag hoe veilig jouw gegevens zijn in je e-HRM systeem?

Je gegevens zijn veilig als de leverancier van je e-HRM systeem maatregelen heeft genomen om jouw informatie voor bevoegden beschikbaar te houden en voor onbevoegden af te schermen. Als je e-HRM systeem op basis van SAAS (“Software as a service”) door de leveranciers via Internet beschikbaar wordt gesteld, ben je vrijwel volledig afhankelijk van de veiligheidsmaatregelen die de leverancier voor jou heeft genomen.

Beveiliging

Het aanbieden van software via Internet biedt grote voordelen, zoals locatieonafhankelijk werken en laagdrempelige toegang voor gebruikers. Kwaadwillenden weten helaas ook de weg te vinden en kunnen proberen toegang te krijgen door zwakheden in de gebruikte technologie of aangeboden software te misbruiken. Het simpelweg (geautomatiseerd) raden van inlognamen en wachtwoorden is nog steeds een veelgebruikte manier om bij websites binnen te komen.

Vraag je leverancier welke beveiligingsmaatregelen zij nemen.

  • Als je geen panklaar antwoord ontvangt, is dat een indicatie dat er niet structureel aan beveiliging wordt gewerkt.
  • Als zij regelmatig door een onafhankelijke derde partij security-audits laten uitvoeren, is er in ieder geval serieuze aandacht voor dit onderwerp.

Beschikbaarheid

Als je e-HRM systeem niet beschikbaar is, heeft dat veel nadelige gevolgen, zoals verloren productiviteit en eventueel imagoschade als de storing ook voor de buitenwereld zichtbaar is.

Vraag je leverancier om garanties m.b.t. “uptime” en sluit een SLA (Service level agreement) af.

  • Let op de mitsen en maren. Vaak wordt er b.v. een voorbehoud gemaakt voor “gepland onderhoud”, waardoor de daadwerkelijke uptime lager uit kan pakken.
  • Welke consequenties zijn er aan het niet naleven van de SLA verbonden? Een regeling waarbij downtime de leverancier ook een beetje pijn doet, geeft een stok achter de deur. Helaas reikt de compensatie vaak niet verder dan (naar rato) een deel van de abonnementsprijs.

Backup

Diverse oorzaken kunnen het noodzakelijk maken dat je moet terugvallen op een backup: fouten in de software, hardware crashes, hacking en gebruikersfouten. Een goede backupstrategie minimaliseert de gevolgen van dat soort calamiteiten.

Vraag je leverancier welke werkwijze er gehanteerd wordt m.b.t. backup en recovery.

  • De regelmaat waarmee backups worden gemaakt en hoelang deze worden bewaard, bepaalt de omvang van het dataverlies bij calamiteiten.
  • Hou er rekening mee dat er enige tijd verstreken kan zijn tussen het ontstaan van het dataverlies en het constateren er van. In zo’n situatie is het van belang ook over oudere backups te kunnen beschikken. Als het dan niet mogelijk is slechts een deel van de informatie te restoren, moet je mogelijk het dataverlies alsnog slikken.

Continuïteit

De inhoud van je database is een belangrijk punt: hoe krijg je beschikking over je eigen informatie in geval van overstap naar een andere leverancier of faillissement?

Vraag je leverancier wat er m.b.t. dit onderwerp is geregeld.

  • Een exportmogelijkheid in de software die permanent beschikbaar is, biedt uitwijkmogelijkheden. Ga in dat geval na of de belangrijkste informatie daarmee beschikbaar komt en of er een regulier dataformaat voor gehanteerd wordt.
  • Leg afspraken hierover contractueel vast. Bij een faillissement hebben contractuele afspraken overigens vrijwel geen betekenis. De curator is gerechtigd wanprestatie te plegen als hem dat beter uitkomt bij het verdelen van de boedel!

Deze issues kun je het best aansnijden voordat je met een leverancier in zee gaat. Als dat al gebeurd is, moet je alsnog even stilstaan bij de vraag “Hoe veilig zijn mijn gegevens in dit e-HRM systeem?”.