Welke tools geeft AFAS om aan de AVG / GDPR te kunnen voldoen?

Vanaf mei 2018 wordt de AVG in Europa gehandhaafd. Op deze pagina vind je hoe dit invloed heeft op jouw organisatie, wat er wordt veranderd in de software van AFAS en wat er wijzigt in jouw relatie met AFAS.


Over de AVG / GDPR


Privacy is in het huidige informatietechnologietijdperk steeds belangrijker. We willen weten wat er met onze gegevens gebeurt, en willen voorkomen dat deze gegevens op straat komen te liggen. 

Vanuit de EU is er een privacywet: de General Data Protection Regulation (GDPR). In Nederland en België is deze wet bekend als Algemene Verordening Gegevensbescherming (AVG). Deze wet is er gekomen om ons het vertrouwen te geven dat er alles aan gedaan wordt om onze gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben of waarvan we niet willen dat het zomaar op straat komt te liggen. 

Vanaf 25 mei 2018 wordt deze wet – die overigens in 2016 al in werking is getreden – gehandhaafd. Dit betekent dat wanneer je persoonsgegevens verzamelt, je moet voldoen aan de regels van de AVG / GDPR.

De meeste organisaties zijn al begonnen met de voorbereidingen. Wij vertellen jullie graag waar AFAS jullie bij helpt om je aan deze wet te houden. Voldoe je namelijk niet aan de regels, dan kunnen de boetes oplopen tot maar liefst vier procent van de jaaromzet.



Webinar over AVG / GDPR


Heb je het webinar over de AVG/GDPR niet live meegekeken? Hieronder vind je de on demand-versie terug. In het webinar gaan we met name in op de praktische toepassing van de wetgeving in onze software en hoe je er op een pragmatische manier mee kunt omgaan. 



Tijdens het webinar zijn veel vragen gesteld. De antwoorden hierop vind je op deze speciale pagina: 



De AVG/GDPR en AFAS


Om de gevolgen van deze wet begrijpelijk uit te leggen hebben we dit uitgesplitst in drie onderdelen:

Mens | Organisatie | Techniek

Mens

Mens


Het gaat hier bijvoorbeeld om een gebruiker van de software, medewerker van een organisatie of een contact die wordt vastgelegd in het CRM-systeem. Voor AFAS zijn de 3 belangrijkste pijlers van de Wet op dit gebied: 

  1. Transparantie: Bedrijven moeten burgers op een begrijpelijke manier informeren over hoe de data wordt verzameld en verwerkt.
  2. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden 
  3. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen 72 uur, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Met persoonsgegevens wordt alle informatie bedoeld waarmee een burger geïdentificeerd kan worden: naam, telefoonnummer, adres, e-mailadres, foto’s, en meer. Vraag je jezelf af of de AVG/GDPR voor jouw organisatie van toepassing is? Het is heel simpel: werk je met één van bovengenoemde gegevens dan geldt AVG/GDPR ook voor jouw organisatie. 

Personen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken. Oftewel: bij elk invulformulier, iedere nieuwsbriefpermissie moet je als bedrijf specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren. Dit betekent vaak dat je je bedrijfsvoering erop aan moet passen.

Organisatie

Organisatie (AFAS/AFAS Online)

SLA/AV | Privacy Statement |Contactgegevens die wij beheren

SLA/AV

AFAS past per januari 2018 de SLA/AV aan aan de nieuwe wet- en regelgeving. Op zich is dit qua inhoud gelijk gebleven, maar er worden wel nieuwe termen gebruikt.  De belangrijkste zijn:
Verwerkersovereenkomst: Volgens de AVG hebben we het niet meer over een ‘Verantwoordelijke’ en ‘Bewerker’ van de data, maar over de 'Verwerkingsverantwoordelijke' en de 'Verwerker'. AFAS is nooit Verwerkingsverantwoordelijke van de klantdata maar altijd de ‘Verwerker’. Daarom is het onderdeel ‘Bewerkersovereenkomst’ aangepast naar ‘Verwerkersovereenkomst’.

Wetgeving: De verwijzing naar de Wet bescherming persoonsgegevens (Wbp) is aangepast naar de Algemene Verordening Gegevensbescherming (AVG)
Kijk voor een volledig overzicht van alle wijzigingen onderaan de SLA/AV pagina.

Privacy statement

Vanaf nu heeft AFAS een Privacy statement op de website staan. We zijn dit verplicht vanuit de AVG, en nog belangrijker dan dit willen we uiting geven aan het feit dat we geen misbruik maken van jouw gegevens. Daarom is dit nu helder en duidelijk terug te vinden.

Contactgegevens

AFAS verzamelt veel gegevens van de personen waar wij contact mee hebben. Natuurlijk slaan we dit allemaal op in onze eigen software, dat op zijn beurt weer veilig in AFAS Online staat. Via de klantportal zijn de persoonlijke gegevens die AFAS verzamelt terug te vinden. In veel gevallen zijn deze gegevens door de contactpersoon zelf aan te passen. Mocht je vragen hebben over je gegevens of zelfs willen dat we die geheel verwijderen, neem dan contact met onze op. 

Techniek

Techniek


Op het gebied van onze software AFAS Profit wordt op de volgende wetgevingspunten rekening gehouden met de
AVG / GDPR. 

Recht om vergeten te worden
Het 'recht om vergeten te worden' kan eenvoudig worden uitgevoerd om de betreffende gegevens te blokkeren voor gebruik, te verwijderen of onherkenbaar te maken. Binnen AFAS zijn er verschillende mogelijkheden voor:

  • Blokkeren voor gebruik. Het is nu al mogelijk om gegevens die niet meer in gebruik zijn, te blokkeren. In alle gegevensverzameling is het mogelijk om geblokkeerde gegevens niet te tonen. Het gebruik (of misbruik) van gegevens kan daardoor worden voorkomen.
  • Verwijderen van dossieritem en sollicitanten is momenteel al mogelijk. Vanaf Profit 5 is nu ook logging op dossier mogelijk waardoor nu ook kan worden aangetoond dat gegevens ook verwijderd zijn. Denk eraan om dit wel in te richten voordat je dossieritems gaat verwijderen. 
  • Verwijderen van persoonsgegevens (persoon, organisatie , medewerker, e.d.) komt in Profit 6. Zie de Profit roadmap voor de opleverdatum daarvan. Bedenk goed dat 'verwijderen' ook echt verwijderen is. Eenmaal verwijderde gegevens kunnen niet meer worden teruggehaald. Mocht er gebruik worden gemaakt van 'testomgevingen' (die vaak kopieën zijn van de productieomgeving), dan moeten de gegevens ook in die omgevingen worden verwijderd. Ook back-up omgevingen bevatten de persoonsgegevens nog dus ook die omgevingen moeten worden verwijderd, wil je voor 100% voldoen aan de wetgeving.
  • Onderzoek naar anonimiseren van persoonsgegevens. AFAS is een onderzoek gestart naar het automatisch kunnen anonimiseren van persoonsgegevens. We verwachten vanaf september 2018 hier meer over te kunnen aangeven.
    Let op. Dossieritems en de bijlages worden niet geanonimiseerd. Het is dus zaak om die gegevens eerst te verwijderen voordat anonimiseren zin heeft. 

Dataportabiliteit
In de wetgeving is hier veel aandacht voor en dit heeft alles te maken met het kunnen exporteren van persoonsgegevens zodat deze in andere situaties weer kunnen worden gebruikt. De huidige mogelijkheden in onze software, zoals analyses, rapporten via pdf en/of XML zijn voldoende om aan de wetgeving te kunnen voldoen. Hier worden dus geen aanpassingen of toevoegingen voor gedaan. 

Gebruik van gegevens
Het gebruiken van de verschillende persoonsgegevens moet overeenkomstig zijn met het doel waarvoor deze gegevens gebruikt worden. Zo is het bijvoorbeeld voor een manager die een verlof van een medewerker beoordeelt niet noodzakelijk dat deze manager ook het BSN / Rijksregister nummer van de medewerker ziet. Binnen AFAS is dit soms moeilijk te scheiden. We hebben daarvoor 2 projecten opgestart die in de komende versies worden uitgerold. 

  • Scheiding van gegevens op tabbladen. We zullen alle tabbladen waarop de verschillende persoonsgegevens staan beoordelen of deze overeenkomstig zijn met het doel waarvoor de gegevens van toepassing zijn. In sommige gevallen worden gegevens dus verplaatst of op verschillende tabbladen gezet. Daarna kunnen deze opnieuw worden geautoriseerd zodat alleen de juiste gegevens zichtbaar zijn voor de juiste personen.
  • Inzicht in veldgebruik. Het wordt binnenkort mogelijk om bij elk veld te zien of het een persoonsveld is. Daarnaast maken we in de managementtool een mogelijkheid waarin je kunt zien waar deze persoonsvelden, in AFAS InSite, gebruikt worden. Voor de vrije velden wordt het óók mogelijk om aan te geven dat het gaat om een persoonsveld, zelfs met een toelichtingsmogelijkheid waarvoor je dit veld gaat gebruiken.
    Op die wijze is ook een overzicht of analyse te genereren waar welk veld in gebruik is.

Belangrijke pijlers van de AVG

Wat moet jij doen en wat doet AFAS?

1. Maak een overzicht van de verwerkingen


Jouw organisatie

Maak inzichtelijk hoe en welke persoonsgegevens jouw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. Maak een Privacy impact assessment (PIA). Deze is vaak beschikbaar via jouw eigen branchevereniging. Volgens de AVG zijn organisaties verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.

AFAS

AFAS maakt het binnenkort mogelijk om bij elk veld te zien of het een persoonsveld is. Daarnaast maken we in de managementtool een mogelijkheid waarin je kunt zien waar deze persoonsvelden in InSite gebruikt worden. Voor de vrije velden wordt het ook mogelijk om aan te geven dat het gaat om een persoonsveld, met een toelichtingsmogelijkheid waarvoor je dit veld gaat gebruiken.

2. Houd rekening met privacy by design & privacy by default


Jouw organisatie

Privacy by design houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening houdt met de bescherming van privacygevoelige informatie. 

Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.

Als organisatie blijf je altijd verantwoordelijk wie, waar en welke gegevens mag verwerken. 

AFAS

Bij het ontwikkelen van (nieuwe) functionaliteit houdt AFAS standaard al rekening met privacy.  
Aangezien gegevens maar één keer worden opgeslagen in de relationele database, en we maar op één manier de autorisatie (filterautorisatie) beheren, is privacy by design gewaarborgd. 

Door gebruik te maken van groepen, rollen en functionaliteit in combinatie met de filterautorisatie is prima te bepalen dat gegevens alleen door de juiste verantwoordelijke ingezien of gemuteerd kunnen worden.


3. Voldoe aan de Meldplicht Datalekken


Jouw organisatie

Steeds vaker lezen we dat hackers persoonsgegevens buit hebben gemaakt en ergens beschikbaar hebben gesteld om er beter van te worden. Maar houd er ook rekening mee dat je zonder opzet ‘gewoon’ een laptop kunt verliezen. Dit zijn serieuze ondernemersrisico’s. In alle omstandigheden moet je betrokkenen berichten over het datalek. Bovendien moet je er alles aan doen om dit te voorkomen.

Waar zitten de risico's voor jouw organisatie? Kijk naar je procedures voor het documenteren en melden van datalekken. In de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat dit toetsbaar is door de Autoriteit Persoonsgegevens. 

AFAS

AFAS ondersteunt jou om een datalek te voorkomen en helpt je dit te registreren. Er wordt vanaf Profit 6 een standaarddossieritem met workflow ‘Melding datalek’ meegeleverd. 

4. Hoe vraag en registreer je toestemming?


Jouw organisatie

De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer de manier waarop je mensen toestemming vraagt voor het verwerken van hun persoonsgegevens, maar ook hoe je deze registreert. Je moet kunnen aantonen dat er geldige toestemming van mensen is gekregen.

AFAS

Het vragen en registreren van toestemming is uitstekend in te regelen middels workflows op OutSite voor klanten en iedereen die op de website komt. Voor medewerkers geldt uiteraard hetzelfde via InSite.


Voorbeelden



Voorbeeld: Verwijderen Sollicitantgegevens

De Autoriteit Persoonsgegevens stelt dat het 'gebruikelijk' is dat sollicitatiegegevens na 4 weken worden verwijderd, tenzij er toestemming en een redelijk doel is deze te bewaren. Omdat in veel gevallen dat laatste niet het geval is, is het aan te bevelen om de sollicitatiegegevens in AFAS Profit na deze periode te verwijderen. 

Handeling:
In de weergave HRM - Werving en selectie - Sollicitanten is een actie 4. Verwijderen beschikbaar.

  • Open de weergave Sollicitanten
  • Filter op het veld Datum vervuld (datum waarop de vacature vervuld is en sollicitatiegegevens dus niet of minder van toepassing zijn) met een datum kleiner dan X periode geleden
  • Selecteer middels Ctrl+S de gewenste regels
  • Kies voor actie 4. Verwijderen.

Alle sollicitatiegegevens, inclusief het dossier, worden nu verwijderd. Zijn er echter nog niet-afgehandelde dossieritems, dan blijft de sollicitant en bijbehorende gegevens bewaard. Handel de workflows alsnog af en herhaal de actie.



Voorbeeld:
Filterautorisatie op gegevens

Door gegevens niet meer benaderbaar te maken kan je al voor 90% voldoen aan de wetgeving. AFAS Profit kent uitgebreide mogelijkheden om gegevens alleen voor geautoriseerde gebruikers zichtbaar te maken. Het voordeel van deze functie is dat ook onderliggende gegevens reageren op deze filter autorisatie. 

Handeling:

  • Geef in de filterautorisatie medewerker aan dat alleen niet-geblokkeerde medewerkers mogen worden geraadpleegd. 
  • Als dan bijvoorbeeld de weergave dossier wordt geopend, zijn alleen dossieritems zichtbaar van niet-geblokkeerde medewerkers.
  • Denk er in dit geval ook over na om bij de verschillende types dossieritems die alleen zichtbaar mogen zijn als de bestemming zichtbaar is, het vinkje vertrouwelijk aan te zetten.



Voorbeeld: Verwijderen Dossieritems


In Dossieritems worden de meeste vertrouwelijke, en vaak datumafhankelijke gegevens opgeslagen. Het risico dat deze gegevens onbedoeld gebruikt worden is aanzienlijk. Het is daarom te adviseren het dossier regelmatig op te schonen. Voor AFAS Profit is daar een speciale weergave met actie voor ontwikkeld. 

In de weergave CRM - Dossier - Dossier kan een weergave gemaakt worden die alle dossieritems toont. Het is namelijk van belang dat ook de vertrouwelijke dossieritems zichtbaar zijn in deze weergave. Mocht deze (nog) niet bestaan, maak dan deze aan op basis van de gegevensverzameling Dossieritems incl. vertrouwelijk. Zorg ervoor dat velden als TypeDatum ingestuurd en/of dossieritemkoppelingen (=bestemming) zoals Medewerker en de Datum uit dienst zijn toegevoegd. Denk er ook aan dat deze weergave alleen voor de applicatiebeheerder zichtbaar is door de juiste definitie te kiezen en Autorisatie toepassen aan te zetten in de eigenschappen van de weergave. 

Handeling:

  • Open de weergave Dossieritems incl. vertrouwelijk
  • Filter op de beschikbare velden zodat een verzameling overblijft van te verwijderen dossieritems
  • Op het datumveld kan bijvoorbeeld een filter ingevoerd worden als <[vandaag - 7 jaar] 
  • Selecteer daarna via Ctrl+S de gewenste regels
  • Kies voor actie 2. Collectief verwijderen

Alle geselecteerde dossieritems, met eventuele bijlages, worden nu verwijderd, ook die nog eventueel in de workflow zitten. Deze handeling is niet meer ongedaan te maken, wees je er dus goed van bewust dat de juiste selectie gemaakt wordt.

Tip: 'Datum uit dienst' is te selecteren door bij de beschikbare velden te kiezen voor: 'Dossierkoppeling - Organisatie/persoon - Koppelingen - Medewerker - Medewerker (actuele gegevens) - Koppelingen - Koppeling contract - Medewerker contract - Arbeidsverhouding - Datum uit dienst.


Vragen? 

Heb je een vraag of opmerking over dit onderwerp? Stel deze dan aan ons!