Vanaf mei 2018 wordt de AVG in Europa gehandhaafd. Op deze pagina vind je hoe dit invloed heeft op jouw organisatie, hoe je hiermee werkt in de software van AFAS en wat dit betekent voor jouw relatie met AFAS.
In een wereld waarin digitale informatie overal aanwezig is, wordt privacy steeds belangrijker. We willen weten wat er met onze persoonsgegevens gebeurt en vooral wie er toegang toe heeft en dat allemaal veilig wordt opgeslagen. Onzorgvuldig omgaan met die gegevens kan grote gevolgen hebben, zowel voor betrokkenen als voor organisaties.
Daarom is er een Europese privacywet: de General Data Protection Regulation (GDPR), beter bekend als de Algemene Verordening Gegevensbescherming (AVG). Deze wet is bedoeld om betrokkenen meer grip te geven op hun gegevens en verplicht organisaties om hier op een transparante en verantwoorde manier mee om te gaan.
Dit betekent dat wanneer je persoonsgegevens verzamelt, je moet voldoen aan de regels van de AVG / GDPR.
Veel organisaties hebben inmiddels stappen gezet om te voldoen aan de AVG. Maar privacy is geen eenmalig project. Het vraagt om blijvende aandacht en bewustwording binnen alle lagen van de organisatie. AFAS helpt je daarbij. Wij zorgen dat onze software en dienstverlening blijven aansluiten op de actuele wet- en regelgeving, zodat jij grip houdt op je compliance vereisten.
Voldoe je niet aan de regels? Dan kunnen de gevolgen groot zijn. De toezichthouder kan boetes opleggen of je zelfs dwingen om te stoppen met de verwerking!
Direct aan de slag om je Profit omgeving klaar te maken voor de AVG? Doorloop het stappenplan!
De AVG is inmiddels niet meer weg te denken uit het dagelijkse werk. Maar hoe pas je de regels nu echt toe in je praktijk? Om de gevolgen van deze wet begrijpelijk te maken, hebben we dit opgedeeld in drie onderdelen:
Mens | Organisatie | Techniek
Hier gaat het om iedereen van wie je persoonsgegevens verwerkt of die met de software werkt: een gebruiker, medewerker, sollicitant of bijvoorbeeld een contactpersoon in het CRM-systeem. Voor AFAS zijn de drie belangrijkste pijlers binnen dit onderdeel:
Onder persoonsgegevens vallen alle gegevens die herleidbaar zijn tot een persoon: namen, telefoonnummers, adressen, e-mailadressen, foto's en meer. Vraag je je af of de AVG voor jouw organisatie geldt? Verwerk je één of meerdere van deze gegevens, dan ben je verplicht aan de wet te voldoen.
Betrokkenen, de persoon waar je de persoonsgegevens van verwerkt, hebben recht op inzage, correctie en verwijdering van hun gegevens. Ook moeten ze specifieke, geïnformeerde en ondubbelzinnige toestemming geven voor het gebruik van hun gegevens. Dus bij elk formulier, nieuwsbriefinschrijving of sollicitatieproces moet je als organisatie helder aangeven wat je met de gegevens gaat doen. Dit vraagt vaak om aanpassingen in je processen.
De AVG raakt ook je gehele organisatie. Bij AFAS zorgen we dat onze afspraken, systemen en communicatie hierop aansluiten.
In onze SLA zijn ook bepalingen opgenomen over privacy en gegevensverwerking. Daarbij is de zogenoemde verwerkersovereenkomst inbegrepen. Maar wat houdt dat eigenlijk in, en wat kun jij daarmee als klant van AFAS?
Verwerkersovereenkomst: In deze overeenkomst leggen we de rolverdeling vast: jij bent als klant de verwerkingsverantwoordelijke, en AFAS is de verwerker. Dat betekent dat jij bepaalt welke persoonsgegevens je verwerkt, met welk doel en op welke manier. AFAS verwerkt die gegevens vervolgens uitsluitend in jouw opdracht en volgens jouw instructies.
In de overeenkomst staat precies wat wij doen om jouw data veilig te verwerken, hoe we omgaan met de subverwerker(s) en welke afspraken er zijn rondom beveiliging, meldplichten en verwijdering van gegevens.
AFAS heeft een privacyverklaring gepubliceerd op de website. Niet alleen omdat het wettelijk verplicht is, maar omdat we het belangrijk vinden om open te zijn over hoe we met jouw gegevens omgaan. Je vindt daarin precies welke gegevens we verzamelen, waarom we dat doen en hoe lang we ze bewaren.
Onze software, AFAS Profit, biedt verschillende functies die helpen bij het voldoen aan de AVG. We lichten de belangrijkste hieronder toe.
Recht om vergeten te worden
De AVG verplicht organisaties om persoonsgegevens te verwijderen als daar geen gerechtvaardigd belang meer voor is. AFAS ondersteunt dit proces op meerdere manieren:
Dataportabiliteit
De AVG geeft betrokkenen het recht om hun gegevens mee te nemen naar een andere partij. Binnen AFAS Profit kun je gegevens exporteren in verschillende formaten, zoals PDF, Excel, JSON en XML. Daarmee voldoe je aan deze eis, zonder dat aanpassingen aan de software nodig zijn.
Doelbinding en gegevensgebruik
Gegevens mogen alleen gebruikt worden voor het doel waarvoor ze zijn verzameld. Zo hoeft een manager die een verlofaanvraag beoordeelt bijvoorbeeld geen toegang te hebben tot het BSN of rijksregisternummer van een medewerker.
Binnen AFAS Profit zijn de schermen en tabbladen zo ingericht dat persoonsgegevens doelgericht gescheiden worden. Gevoelige gegevens staan op aparte tabbladen, waarbij alleen medewerkers met de juiste autorisatie toegang krijgen. Zo zorgen we dat alleen bevoegden de juiste gegevens zien.
Daarnaast biedt de managementtool inzicht in welke velden persoonsgegevens bevatten, ook vrije velden. Je ziet waar deze gegevens in AFAS InSite worden gebruikt, zodat je autorisaties en processen eenvoudig kunt beheren en blijven voldoen aan de AVG.
Maak inzichtelijk hoe en welke persoonsgegevens jouw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. Maak een Privacy impact assessment (PIA). Deze is vaak beschikbaar via jouw eigen branchevereniging. Volgens de AVG zijn organisaties verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.
Je kan nagaan waar persoonsvelden in Profit zijn opgeslagen en waar ze gebruikt worden (analyse, rapport, weergave). Daarnaast is het mogelijk om vrije velden te kenmerken als privacygevoelige persoonsgegevens waarbij je direct kan vastleggen waarvoor je deze informatie gebruikt. Je legt dit vast in de Managementtool.
Privacy by design houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening houdt met de bescherming van privacygevoelige informatie.
Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.
Als organisatie blijf je altijd verantwoordelijk wie, waar en welke gegevens mag verwerken.
Bij het ontwikkelen van (nieuwe) functionaliteit houdt AFAS standaard al rekening met privacy.
Aangezien gegevens maar één keer worden opgeslagen in de relationele database, en we maar op één manier de autorisatie (filterautorisatie) beheren, is privacy by design gewaarborgd.
Door gebruik te maken van groepen, rollen en functionaliteit in combinatie met de filterautorisatie is prima te bepalen dat gegevens alleen door de juiste verantwoordelijke ingezien of gemuteerd kunnen worden.
Steeds vaker lezen we dat hackers persoonsgegevens buit hebben gemaakt en ergens beschikbaar hebben gesteld om er beter van te worden. Maar houd er ook rekening mee dat je zonder opzet ‘gewoon’ een laptop kunt verliezen. Dit zijn serieuze ondernemersrisico’s. In alle omstandigheden moet je betrokkenen berichten over het datalek. Bovendien moet je er alles aan doen om dit te voorkomen.
Waar zitten de risico's voor jouw organisatie? Kijk naar je procedures voor het documenteren en melden van datalekken. In de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat dit toetsbaar is door de Gegevensbeschermingsautoriteit.
AFAS ondersteunt jou om een datalek te voorkomen en helpt je dit te registreren. We gaan binnenkort een standaard workflow ‘Melding datalek’ meeleveren.
De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer de manier waarop je mensen toestemming vraagt voor het verwerken van hun persoonsgegevens, maar ook hoe je deze registreert. Je moet kunnen aantonen dat er geldige toestemming van mensen is gekregen.
Het vragen en registreren van toestemming is uitstekend in te regelen middels workflows op OutSite voor klanten en iedereen die op de website komt. Voor medewerkers geldt uiteraard hetzelfde via InSite.
De Gegevensbeschermingsautoriteit stelt dat het 'gebruikelijk' is dat sollicitatiegegevens na 4 weken worden verwijderd, tenzij er toestemming en een redelijk doel is deze te bewaren. Omdat in veel gevallen dat laatste niet het geval is, is het aan te bevelen om de sollicitatiegegevens in AFAS Profit na deze periode te verwijderen.
Handeling:
In de weergave HRM - Werving en selectie - Sollicitanten is een actie 4. Verwijderen beschikbaar.
Alle sollicitatiegegevens, inclusief het dossier, worden nu verwijderd. Zijn er echter nog niet-afgehandelde dossieritems, dan blijft de sollicitant en bijbehorende gegevens bewaard. Handel de workflows alsnog af en herhaal de actie.
Door gegevens niet meer benaderbaar te maken kan je al voor 90% voldoen aan de wetgeving. AFAS Profit kent uitgebreide mogelijkheden om gegevens alleen voor geautoriseerde gebruikers zichtbaar te maken. Het voordeel van deze functie is dat ook onderliggende gegevens reageren op deze filter autorisatie.
Handeling:
In Dossieritems worden de meeste vertrouwelijke, en vaak datumafhankelijke gegevens opgeslagen. Het risico dat deze gegevens onbedoeld gebruikt worden is aanzienlijk. Het is daarom te adviseren het dossier regelmatig op te schonen. Voor AFAS Profit is daar een speciale weergave met actie voor ontwikkeld.
In de weergave CRM - Dossier - Dossier kan een weergave gemaakt worden die alle dossieritems toont. Het is namelijk van belang dat ook de vertrouwelijke dossieritems zichtbaar zijn in deze weergave. Mocht deze (nog) niet bestaan, maak dan deze aan op basis van de gegevensverzameling Dossieritems incl. vertrouwelijk. Zorg ervoor dat velden als Type, Datum ingestuurd en/of dossieritemkoppelingen (=bestemming) zoals Medewerker en de Datum uit dienst zijn toegevoegd. Denk er ook aan dat deze weergave alleen voor de applicatiebeheerder zichtbaar is door de juiste definitie te kiezen en Autorisatie toepassen aan te zetten in de eigenschappen van de weergave.
Handeling:
Alle geselecteerde dossieritems, met eventuele bijlages, worden nu verwijderd, ook die nog eventueel in de workflow zitten. Deze handeling is niet meer ongedaan te maken, wees je er dus goed van bewust dat de juiste selectie gemaakt wordt.
Tip: 'Datum uit dienst' is te selecteren door bij de beschikbare velden te kiezen voor: 'Dossierkoppeling - Organisatie/persoon - Koppelingen - Medewerker - Medewerker (actuele gegevens) - Koppelingen - Koppeling contract - Medewerker contract - Arbeidsverhouding - Datum uit dienst.
Op basis van de Archiefwet kunnen voor dossieritems wettelijke bewaartermijnen gelden. Na afloop van deze termijn kun je de betreffende dossieritems verwijderen. De bewaartermijn wordt vooraf vastgelegd per type dossieritem of per kenmerkcombinatie.
Handelingen die je kan uitvoeren:
Zie voor de uitgebreide uitleg en alle detailstappenhet volledige artikel “Dossieritem verwijderen o.b.v. wettelijke bewaartermijn”.
Heb je een vraag of opmerking over dit onderwerp? Stel deze dan aan ons!
Wij kunnen er bij AFAS niet veel aan doen, maar de AVG/GDPR zelf is voor de meesten niet erg enerverend. Wij maken er liever wat praktisch van. Toch kun je dit in je voordeel gebruiken! Kun je een keer niet in slaap komen, dan is er altijd nog de meditatie-app Calm. Zij hebben de integrale tekst van de volledige GDPR laten inspreken door voormalig BBC Radio-coryfee Peter Jefferson. Gegarandeerd een goede nachtrust!