AVG (GDPR) update

De privacy wetgeving in 2018 i.c.m. uw Exactsoftware

Naast de al langer bestaande Wet bescherming persoonsgegevens (Wbp) is sinds januari 2016 de meldplicht datalekken van kracht. In mei 2018 werden de regels rondom persoonsgegevens nóg strenger. De AVG – Algemene verordening gegevensbescherming (ook wel GDPR – General Data Protection Regulation) is nu sinds enkele weken ingevoerd. De invoering van deze nieuwe wet heeft nogal wat consequenties voor bedrijven. Zorg dat u hiervoor in de volle breedte klaar voor bent klaar voor bent. (De AVG in het kort).

De AVG is een nieuwe Europese wet op het gebied van het verzamelen, verwerken en gebruiken van persoonsgegevens. Deze wet is bedoeld om de privacy van Europese burgers beter te beschermen. Burgers krijgen in feite het recht om zelf te bepalen wie welke gegevens van ze mogen hebben en waar deze vervolgens voor gebruikt mogen worden. Een goede zaak, maar wel met grote consequenties die u als bedrijf niet mag onderschatten.

Algemene informatie over de AVG en voorbereiding op de AVG.

De AVG brengt behoorlijke administratieve lasten met zich mee en u moet kunnen aantonen dat u aan de verplichtingen voldoet. Het is dus van groot belang dat u de volgende stap zet om compliant te worden, en te blijven. We helpen u graag bij deze overgang, door u mee te nemen in de veranderingen die de AVG met zich meebrengt, en hoe u daaraan gerelateerd de Exact software hierop kunt voorbereiden c.q. aanpassen..

 

Wat kunt u doen.

Expliciete toestemming vereist

U magniet zomaar meer allerlei persoonsgegevens verzamelen en verwerken. U bent verplicht om per gebruiksdoel expliciet om toestemming te vragen aan de desbetreffende persoon. U mag deze data vervolgens alleen voor het omschreven doel gebruiken en dat moet u dan ook duidelijk en begrijpelijk omschrijven. Vraagt u bijvoorbeeld of u een e-mailadres mag gebruiken om een maandelijkse nieuwsbrief te versturen, dan heeft u niet automatisch toestemming om meteen ook aanbiedingen te versturen naar deze persoon. Daarnaast mag iemand zijn toestemming ook weer intrekken of kan om inzage gevraagd worden.

In specifieke situaties kan zelfs geëist worden dat u iemands gegevens volledig verwijdert, het zogenaamde ‘recht om vergeten te worden’.

Herleidbare gegevens

Het is belangrijk om te weten dat de AVG van toepassing is op alle gegevens die mogelijk tot een individuele persoon herleid kunnen worden. Denk aan een naam, IP-adres, telefoonnummer, kenteken, maar ook aan cookies en identifiers van apparaten. Als u niet aan de verplichtingen voldoet, bent u strafbaar en kunt u strafrechtelijk vervolgd worden. Een boete kan oplopen tot vier procent van uw jaaromzet of tot een bedrag van maximaal twintig miljoen euro. En dan hebben we ht nog niet over de mogelijke reputatieschade die daarmee gepaard gaat.

De wetgeving is van toepassing op alle Europese burgers, ongeacht waar hun data wordt opgeslagen. Maakt u bijvoorbeeld gebruik van een clouddienst die de data mogelijk ergens buiten Europa opslaat, of een datacenter op een ander continent, dan moet u nog steeds aantoonbaar aan de verplichtingen van de AVG voldoen.

Administratie

Behalve dat expliciete toestemming nodig is, moet u er alles aan doen om de persoonsgegevens te beschermen. De gegevens mogen natuurlijk niet verloren gaan, beschadigd raken, door ongeautoriseerde mensen worden ingezien, en ze moeten ook nog eens correct en actueel gehouden worden. Dat is een behoorlijke administratieve last. Verder mag u geen gegevens verzamelen die u niet nodig heeft voor de omschreven doeleinden en mogen privacygevoelige gegevens niet op straat komen te liggen.

Zodra de AVG van kracht is moet u kunnen aantonen dat u aan de verplichtingen voldoet. Zoals dat u expliciete toestemming heeft om bepaalde persoonsgegevens vast te leggen, maar ook dat u er alles aan doet om deze gegevens optimaal te beschermen en dat u vooraf heeft uitgezocht welke acties nodig zijn mocht er onverhoopt iets misgaan. Periodieke risicoanalyses zijn daarom nodig om per datasoort te bepalen wat de risico’s zijn en wat je eraan moet doen om ze te minimaliseren.

Gegevens in kaart brengen

Het is essentieel dat u bedrijfsbreed zorgvuldig in kaart heeft gebracht welke soorten data er allemaal verzameld, opgeslagen en verwerkt worden. Aan de hand van deze inventarisatie kun u vervolgens bepalen welke acties er uitgezet moeten worden om op tijd aan de verplichtingen van de AVG te voldoen.

Voor welke gegevens moet u bijvoorbeeld nog toestemming vragen. Is elke datasoort alleen toegankelijk door geautoriseerde afdelingen en functionarissen. Zijn er persoonsgegevens die u niet nodig heeft en dus niet mag hebben. Kan data geaggregeerd en geanonimiseerd worden zodat het niet meer onder de AVG valt. Worden gegevens niet te kort en ook niet te lang bewaard. Om welke bedrijfssystemen, apparatuur van medewerkers, datacenters en cloud diensten gaat het. Maakt u gebruik van externe partijen die namens uw bedrijf privacygevoelige gegevens verwerken.

Privacy by design en privacy by default

Ook is het belangrijk om te weten dat privacy by design verplicht wordt. Alle systemen moeten zo ontworpen zijn dat al vanaf de tekentafel gedacht wordt aan de bescherming van de privacy. Daarnaast geldt privacy by default. Dit houdt in dat als gebruikers zelf ergens privacy instellingen kunnen aanpassen deze standaard al de hoogste graad van bescherming moeten bieden. U kunt dus niet alvast een paar vakjes aanvinken om uzelf meer mogelijkheden te geven, ook niet op bijvoorbeeld een inschrijfformulier.

 

Exact(-gerelateerde) software

Enerzijds is de beveiliging van toegang en data van de software welke u gebruikt een interne aangelegenheid en biedt de techniek heden ten dagen voldoende mogelijkheden om die zaken goed te organiseren. Gebruik (gaan) maken van 2-staps authenticatie is daarin geen overbodige luxe.

Daar waar het de functionaliteit van de software raakt spelen er vervolgens weer een tweetal zaken:

  1. Rollen en rechten in de software moeten goed ingericht zijn
    AO-technisch moeten processen en controles dusdanig goed zijn ingericht dat bewust zaken ter beschikking worden gesteld aan alleen de juiste medewerkers
    Toegang tot data (en functies) dient te worden voorkomen als het niet strikt noodzakelijk is. Dat geldt trouwens ook voor data bij het opstellen van intern beleid, procedures en processen. Bewaar geen data welke je niet nodig hebt of waar je niets mee doet!
  2. Functionaliteiten in de software om conform de door AVG opgelegde regelgeving om te kunnen gaan met de in je systemen opgeslagen data:
    1. Sumatra leest alleen data uit bestaande databases en heeft geen “eigen data”. Het juist borgen van toegang, rollen en rechten etc. zoals boven genoemd zou daarmee moeten volstaan.
    2. Elvy leest en schrijft alleen in de Exact-databases teneinde een inkoopboeking te kunnen aanmaken. Elvy IFR legt in een eigen database uitsluitend de gegevens vast rondom het interne proces van fiattering
    3. Ten aanzien van Exact Synergy en Globe is reeds enige handmatig dan wel automatische functionaliteit beschikbaar en daarnaast wordt daaraan door Exact Software nog hard gewerkt. Omtrent die ontwikkelingen houden wij onze relaties op de hoogte en is tot op heden onderstaande bekend:

Op woensdag 11 april heeft Exact in de vorm van een webinar een eerste intro gegeven van een oplossingsrichting in de software waarmee daadwerkelijk actie kan worden ondernomen in het kader van de AVG. Het Action Center. Daarin kan worden aangegeven welke entiteiten aanwezig zijn (relaties, contactpersonen, Documenttypes (CV’s o.a.) etc.) en welke acties daarop periodiek moeten worden ondernomen. Zolang dat niet officieel gereleased wordt door Exact kunnen wij nog steeds geen vervolg hieraan geven.

Tot op heden is er niet meer bekend dat datgene wat Exact publiceert op haar website. En de links naar de betreffende software wat er tot op heden mogelijk is. Ten aanzien van Exact Synergy en Exact Globe is nu e.e.a. opgenomen in de standaardfunctionaliteit en een verwijzing naar een nog nader bekend te maken knop Anonimiseren resp. het eerder genoemde Action Center. Vermoedelijk komt dit beschikbaar vanaf release 260 SP7.

 

Op 20 april jl. is de eerste functionaliteit in Exact Globe en Synergygereleased waarbij de classificaties en acties al kunnen worden gedefinieerd. Op basis van de acties kunnen tot nu toe gegevens worden gevonden welke dan handmatig (al dan niet in bulk) moeten worden bewerkt. Meer functionaliteit volgt in het (nog beveiligde) eerder genoemde action center.

Na het toekennen in Synergy van de rol Personal data controller beschik je over het Menu Systeem – Persoonsgegevens

Daar vind je reeds:

Classificaties

Ten einde bewaartermijnen te definiëren en deze te koppelen aan gegevenstypes

 

Selecties / Acties

Ten einde gegevens op te sporen op welke data in het systeem actie nodig is.

 

Wachtwoord GDPR actie center 

Het anonimiseren van persoonsgegevens is voor gedeelte in de nieuwste releases nu uit te voeren. Dit gedeelte is echter beveiligd met een wachtwoord en dient bij Exact expliciet te worden aangevraagd!

Op dit moment is het proces voor het anonimiseren van data via het GDPR actie center in de software, nog niet volledig beschikbaar voor alle licentie samenstellingen.
Om klanten toch vast gebruik te kunnen laten maken van deze aanpassingen en oplossingen in onze software, wordt op dit moment het verwerkingsproces binnen het GDPR actie center nog afgeschermd.
Deze functionaliteit kan beschikbaar worden gesteld in de software door middel van een eenmalige invoering van een speciaal hiervoor bestemd wachtwoord.

Via de knop ‘wachtwoord aanvragen GDPR functionaliteit’ op de GDPR pagina van de customer portal vraagt u hier een specifiek wachtwoord voor aan.

Exact zal dan samen met u beoordelen of uw omgeving al geschikt is om deze functionaliteit te activeren. Indien dit het geval is, wordt het wachtwoord aan u verstrekt.

Meer details en informatie over deze functionaliteit volgt op een later moment en wordt dan opgenomen in dit document.

Een update is nu net wat vroeg omdat nog niet alles beschikbaar is. Plan echter tijdig uw AVG (GDPR) update aangezien de agenda’s snel vollopen. Zeker de relatief rustige vakantieperiode is (ook nog met verminderd beschikbare capaciteit) een gewilde periode!