AVG et les données d'absence : pourquoi les logiciels sécurisés sont essentiels

Chez Otherside at Work, nous développons une technologie qui soutient les organisations dans la gestion des absences, l'employabilité durable et la sécurité sociale. Cela implique le traitement d'un grand nombre de données sensibles pour la protection de la vie privée. Comment pouvons-nous garantir que vos données d'absence restent sûres et que votre traitement est conforme à la loi sur la protection des données ? Stef Roskam, vice-président chargé de l'ingénierie chez Otherside at Work, nous fait part de son point de vue sur la sécurité des données.

Qu'est-ce qui rend les données d'absence si sensibles ?

Stef : "Les données d'absence font partie des données personnelles spéciales. Pensez aux rapports de maladie et de convalescence - ce sont des données qui relèvent des catégories les plus réglementées par la loi sur la protection des données. Les employeurs et les prestataires de services de santé et de sécurité ont la responsabilité de traiter ces données en toute sécurité. Notre travail consiste à les soutenir dans cette tâche en leur fournissant des outils qui les aident à assumer cette responsabilité. Pensez à déterminer qui a accès à certaines données et combien de temps vous souhaitez les conserver. Nous veillons à ce que cela soit possible dans la suite Xpert AVG-proof". Il ajoute : "Le traitement de données sensibles pour la vie privée nécessite une combinaison de mesures techniques, telles que le cryptage, et de mesures organisationnelles, par exemple des accords clairs sur qui est autorisé à voir quelles données. C'est pourquoi nous avons également fait des choix dans l'architecture technique de la Suite Xpert qui correspondent bien aux exigences de l'AVG. Chez Otherside at Work, nous concevons nos logiciels en tenant compte de ces responsabilités.

Que se passe-t-il si vous ne respectez pas la confidentialité des données ?

Les conséquences d'une mauvaise protection des données sont multiples : "Une violation des données peut avoir des conséquences juridiques et financières, telles que des amendes imposées par les autorités de réglementation ou des réclamations de personnes concernées qui subissent les conséquences négatives de vos erreurs. Pour notre entreprise, la conséquence la plus importante est peut-être l'atteinte à la réputation. Si la confiance des clients, des partenaires et des employés est perdue, cela reste le plus grand risque pour la continuité de l'entreprise.

Comment la suite Xpert protège vos données

Stef explique comment Otherside at Work relève ces défis avec la suite Xpert.

 Centres de données néerlandais

"Nous choisissons délibérément de stocker les données localement dans plusieurs centres de données néerlandais. Ce faisant, nous minimisons les risques liés à la conformité. Les clients peuvent être sûrs que leurs données restent au sein de l'UE, ce qui leur évite les discussions sur les réglementations étrangères." Stef souligne : "Nous ne travaillons qu'avec des parties qui respectent la législation AVG et d'autres normes pertinentes. Nous n'utilisons pas les fournisseurs de cloud américains dans la base de notre produit, afin d'éviter d'éventuelles complications liées aux réglementations."

 Sécuriser notre réseau

Notre stockage n'est pas directement accessible via l'internet », explique Stef. "C'est ainsi que nous minimisons les risques de fuites de données dues à une erreur humaine ou à une mauvaise configuration. Il poursuit en donnant quelques exemples de nos mesures de sécurité :

"Nous appliquons une segmentation étendue du réseau et plusieurs couches de pare-feu.
Les environnements de développement, de test, d'acceptation et de production sont strictement séparés. Chaque modification de code passe par l'ensemble de la chaîne avant d'entrer en production.
Nous cryptons les données. Même si quelqu'un y accède, les informations ne sont pas immédiatement lisibles.
Les certificats utilisés pour créer des cookies font l'objet d'une rotation quotidienne automatique.

Sécurité du stockage des données

Lors de la conception de notre architecture de stockage de données, nous faisons des choix conscients pour assurer à la fois la sécurité et la facilité de gestion. Stef explique ci-dessous nos décisions les plus importantes :

• Pour le stockage des données, nous n'optons délibérément pas pour une architecture avec des microservices, où les données sont stockées de manière décentralisée, mais nous optons pour une base de données par client, afin que les données puissent être facilement nettoyées et supprimées.
• Nous choisissons consciemment un support de stockage avec des options de cryptage intégrées, mais où les données peuvent être supprimées, contrairement à, par exemple, une blockchain ou un magasin d'événements immuable.
• Pour la solution de sauvegarde, nous optons pour des sauvegardes temporaires inmuables avec plusieurs emplacements de sauvegarde, afin de minimiser le risque de perte de données.
• Nous avons également inclus dans notre architecture que tout accès aux données doit être effectué avec des contrôles d'autorisation. L'accès via les API doit donc également être autorisé pour les bonnes données et fonctionnalités. De nombreux systèmes fonctionnent avec un mécanisme d'autorisation beaucoup plus superficiel. Cela permet aux administrateurs et aux développeurs de faire des erreurs plus rapidement, et les pirates peuvent l'exploiter beaucoup plus lorsqu'une faiblesse est trouvée.

Suivi structurel des vulnérabilités

La sécurité de vos logiciels maison ne suffit pas pour une bonne sécurité. C'est pourquoi nous gardons un œil sur l'ensemble de notre pile :

• Grâce aux outils du Software Improvement Group, nous surveillons en permanence les vulnérabilités de nos logiciels et des bibliothèques que nous utilisons.
• Nous utilisons l'analyse des vulnérabilités pour analyser notre infrastructure.
• Avec les tests d'intrusion et les programmes de bug bounty, les vulnérabilités qui ne peuvent pas être trouvées avec des outils sont activement recherchées.

La confidentialité dès la conception et par défaut
La confidentialité est ancrée dans la suite Xpert », explique Stef. « Nous minimisons les données stockées, car les clients peuvent définir beaucoup de choses eux-mêmes. Ainsi, seules les données qui conviennent à leur propre situation sont demandées. Nous proposons également les outils de l'outil qui soutiennent une bonne politique de rétention. Les délais de conservation varient considérablement en fonction de la situation exacte du client. Ils doivent donc être en mesure de définir ce qui s'applique à eux. En voici quelques exemples :

• Dossiers médicaux : Durée de conservation de 20 ans (ou plus en cas de troubles liés au travail).
• Dossiers de gestion de cas de counseling en absentéisme : Un maximum de deux ans après la fin d'un processus.
• Dossiers de nomination : Un maximum de six mois.

Nous soutenons également un modèle d'autorisation étendu. Vous pouvez déterminer en détail quels documents et données doivent être transparents et adaptables à quels rôles.

CertificationsVous pouvez tout configurer parfaitement, mais cela n'a de valeur que si les clients peuvent s'y fier. Une façon de donner plus de confiance aux clients à cet égard est d'utiliser divers certificats et déclarations. Otherside at Work est certifié ISO 27001 et NEN 7510. Inconvénients, nous avons un relevé SOC2 chaque année. « Ces garanties de qualité donnent aux clients l'assurance que nous répondons aux normes internationales », explique Stef.

• ISO 27001 : Cela confirme que notre système de management de l'information est structuré et que nous mettons constamment à jour nos choix. »
• NEN7510 :  ISO 27001 est la norme mondialement reconnue pour la sécurité de l'information. Le NEN7510 est la variante néerlandaise dérivée spécifiquement destinée aux prestataires de soins de santé, tels que les hôpitaux ou les pharmaciens. Il s'agit d'un certain nombre de directives spécifiques supplémentaires concernant les mesures à prendre lors du traitement de données médicales.
• SOC2 : Une déclaration SOC2 est un complément très précieux à une certification ISO ou NEN. Cela donne la certitude que non seulement vous dites que vous travaillez d'une certaine manière, mais aussi que vous l'avez fait de cette façon dans un certain laps de temps. Chaque année, un vérificateur indépendant examine toutes les activités qui ont été menées au cours de l'année écoulée. Cela démontre que nous travaillons depuis longtemps selon des procédures strictes. Il offre donc beaucoup de sécurité supplémentaire à nos clients.

Il souligne : Cette combinaison de certifications et de déclarations montre que non seulement nous avons mis en place les bons processus, mais que nous les respectons constamment. 

Pourquoi choisir Otherside at Work ?

Stef conclut : Chez Otherside at Work, la confidentialité des données est une priorité absolue. Avec notre suite Xpert, nous offrons à nos clients une solution sûre et fiable pour la gestion de l’absentéisme. L’accent que nous mettons sur les centres de données locaux, la sécurité du réseau, le stockage sécurisé des données, la surveillance continue et les certifications garantit que nos clients peuvent travailler en toute sécurité et en toute confidentialité avec les données personnelles spéciales que nous traitons. Vous souhaitez en savoir plus sur la façon dont nous gérons la sécurité des données ? 

En savoir plus sur notre coffre-fort de données ou sur les 10 questions fréquemment posées sur le RGPD. Vous voulez en savoir plus sur la façon dont Xpert Suite peut soutenir votre organisation ? N’hésitez pas à nous contacter.