Vanaf 25 mei 2018 wordt de GDPR in Europa gehandhaafd. Op deze pagina vind je hoe dit invloed heeft op jouw organisatie en hoe je met onze software klaar bent om aan de GDPR te kunnen voldoen.
Privacy is in het huidige informatietechnologietijdperk steeds belangrijker. We willen weten wat er met onze gegevens gebeurt en willen voorkomen dat deze gegevens op straat terechtkomen.
Vanuit de EU is er een privacywet: de General Data Protection Regulation (GDPR). In Nederland en België is deze wet ook bekend als Algemene Verordening Gegevensbescherming (AVG). Deze wet is er gekomen om ons het vertrouwen te geven dat er alles aan gedaan wordt om onze gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben of waarvan we niet willen dat het zomaar op straat komt te liggen.
Vanaf 25 mei 2018 wordt deze wet – die overigens in 2016 al in werking is getreden – gehandhaafd. Dit betekent dat wanneer je persoonsgegevens verzamelt, je moet voldoen aan de regels van de GDPR.
Wij vertellen jullie graag waar AFAS jullie bij helpt om je aan deze wet te houden. Voldoe je namelijk niet aan de regels, dan kunnen de boetes oplopen tot maar liefst vier procent van de jaaromzet.
Het gaat hier bijvoorbeeld om een gebruiker van de software, medewerker van een organisatie of een contact die wordt vastgelegd in het CRM-systeem. Voor AFAS zijn de 3 belangrijkste pijlers van de wet op dit gebied:
Met persoonsgegevens wordt alle informatie bedoeld waarmee een burger geïdentificeerd kan worden: naam, telefoonnummer, adres, e-mailadres, foto’s, en meer. Vraag je jezelf af of de GDPR voor jouw organisatie van toepassing is? Het is heel simpel: werk je met één van bovengenoemde gegevens? Dan geldt de GDPR ook voor jouw organisatie.
Personen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken. Oftewel: bij elk invulformulier, iedere nieuwsbriefpermissie moet je als bedrijf specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren. Dit betekent vaak dat je je bedrijfsvoering erop aan moet passen.
Op het gebied van onze software wordt op de volgende wetgevingspunten rekening gehouden met de GDPR.
Recht om vergeten te worden
Het 'recht om vergeten te worden' kan eenvoudig worden uitgevoerd om de betreffende gegevens te blokkeren voor gebruik, te verwijderen of onherkenbaar te maken. Binnen AFAS zijn er verschillende mogelijkheden voor:
Dataportabiliteit
In de wetgeving is hier veel aandacht voor en dit heeft alles te maken met het kunnen exporteren van persoonsgegevens zodat deze in andere situaties weer kunnen worden gebruikt. De huidige mogelijkheden in onze software, zoals analyses, rapporten via pdf en/of XML zijn voldoende om aan de wetgeving te kunnen voldoen.
Gebruik van gegevens
Het gebruiken van de verschillende persoonsgegevens moet overeenkomstig zijn met het doel waarvoor deze gegevens gebruikt worden. Zo is het bijvoorbeeld voor een manager die een verlof van een medewerker beoordeelt niet noodzakelijk dat deze manager ook het BSN / Rijksregister nummer van de medewerker ziet. AFAS helpt hiermee door het mogelijk te maken om de gegevens te scheiden en door inzicht te geven in waar de gegevens gebruikt worden.
Overzicht waar persoonsgegevens gebruikt worden
Je hebt de mogelijkheid om aan te geven of een gegeven een persoonsgegeven is. Voor standaardvelden is dit al voorgedefinieerd. Vervolgens kan je vanuit de software snel in één overzicht zien waar deze persoonsgegevens gebruikt worden.
Maak inzichtelijk hoe en welke persoonsgegevens jouw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. Maak een Privacy impact assessment (PIA). Deze is vaak beschikbaar via jouw eigen sectorvereniging. Volgens de GDPR zijn organisaties verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.
In AFAS kun je zien welk veld een persoonsveld is. Daarnaast heb je de mogelijkheid om te zien waar deze gegevens gebruikt worden.
Privacy by design houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening houdt met de bescherming van privacygevoelige informatie.
Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.
Als organisatie blijf je altijd verantwoordelijk voor wie, waar en welke gegevens mag verwerken.
Bij het ontwikkelen van (nieuwe) functies houdt AFAS standaard al rekening met privacy.
Aangezien gegevens maar één keer worden opgeslagen in de database en we maar op één manier de rechten beheren, is privacy by design gewaarborgd.
Steeds vaker lezen we dat hackers persoonsgegevens stelen en ergens anders beschikbaar hebben gesteld uit winstbejag. Maar hou er ook rekening mee dat je zonder opzet ‘gewoon’ een laptop kunt verliezen. Dit zijn serieuze ondernemersrisico’s. In alle omstandigheden moet je de betrokkenen informeren over het datalek. Bovendien moet je er alles aan doen om dit te voorkomen.
Waar zitten de risico's voor jouw organisatie? Kijk naar de procedures voor het documenteren en melden van datalekken. In de GDPR wordt de meldplicht voor datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat dit aftoetsbaar is door de Privacycommisie.
AFAS ondersteunt jou om een datalek te voorkomen en helpt je dit te registreren. We leveren een standaard workflow ‘Melding datalek’ mee.
De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer de manier waarop je mensen toestemming vraagt voor het verwerken van hun persoonsgegevens, maar ook hoe je deze registreert. Je moet kunnen aantonen dat er geldige toestemming van mensen is gekregen.
Het bevragen en registreren van een toestemming is uitstekend te regelen door middel van workflows op de klantportal. Dit zowel voor klanten als iedereen die op de website komt. Voor medewerkers geldt uiteraard hetzelfde via het intranet.