Met AFAS klaar om aan de AVG / GDPR te kunnen voldoen

Vanaf mei 2018 wordt de AVG in Europa gehandhaafd. Op deze pagina vind je hoe dit invloed heeft op jouw organisatie en hoe je met onze software klaar bent om aan de AVG / GDPR te kunnen voldoen.

Over de AVG / GDPR

 
Privacy is in het huidige informatietechnologietijdperk steeds belangrijker. We willen weten wat er met onze gegevens gebeurt en willen voorkomen dat deze gegevens op straat komen te liggen. 

Vanuit de EU is er een privacywet: de General Data Protection Regulation (GDPR). In Nederland en België is deze wet bekend als Algemene Verordening Gegevensbescherming (AVG). Deze wet is er gekomen om ons het vertrouwen te geven dat er alles aan gedaan wordt om onze gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben of waarvan we niet willen dat het zomaar op straat komt te liggen. 

Vanaf 25 mei 2018 wordt deze wet – die overigens in 2016 al in werking is getreden – gehandhaafd. Dit betekent dat wanneer je persoonsgegevens verzamelt, je moet voldoen aan de regels van de AVG / GDPR.

Wij vertellen jullie graag waar AFAS jullie bij helpt om je aan deze wet te houden. Voldoe je namelijk niet aan de regels, dan kunnen de boetes oplopen tot maar liefst vier procent van de jaaromzet.

De AVG/GDPR en AFAS


Om de gevolgen van deze wet begrijpelijk uit te leggen hebben we dit uitgesplitst in twee onderdelen:

Mens | Techniek

Mens

Het gaat hier bijvoorbeeld om een gebruiker van de software, medewerker van een organisatie of een contact die wordt vastgelegd in het CRM-systeem. Voor AFAS zijn de 3 belangrijkste pijlers van de Wet op dit gebied: 

  1. Transparantie: Bedrijven moeten burgers op een begrijpelijke manier informeren over hoe de data wordt verzameld en verwerkt.
  2. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden 
  3. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen 72 uur, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Met persoonsgegevens wordt alle informatie bedoeld waarmee een burger geïdentificeerd kan worden: naam, telefoonnummer, adres, e-mailadres, foto’s, en meer. Vraag je jezelf af of de AVG/GDPR voor jouw organisatie van toepassing is? Het is heel simpel: werk je met één van bovengenoemde gegevens dan geldt AVG/GDPR ook voor jouw organisatie. 

Personen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken. Oftewel: bij elk invulformulier, iedere nieuwsbriefpermissie moet je als bedrijf specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren. Dit betekent vaak dat je je bedrijfsvoering erop aan moet passen.

Techniek

Op het gebied van onze software wordt op de volgende wetgevingspunten rekening gehouden met de AVG / GDPR. 

Recht om vergeten te worden
Het 'recht om vergeten te worden' kan eenvoudig worden uitgevoerd om de betreffende gegevens te blokkeren voor gebruik, te verwijderen of onherkenbaar te maken. Binnen AFAS zijn er verschillende mogelijkheden voor:

  • Blokkeren voor gebruik. Het is mogelijk om gegevens die niet meer in gebruik zijn, te blokkeren. Het gebruik (of misbruik) van gegevens kan daardoor worden voorkomen.
  • Verwijderen van dossieritem en sollicitanten. Daarnaast is er een logboek aanwezig op het digitale dossier, waardoor ook kan worden aangetoond dat gegevens ook verwijderd zijn.
  • Verwijderen van persoonsgegevens (persoon, organisatie, medewerker, e.d.) is ook mogelijk, maar bedenk goed dat 'verwijderen' ook echt verwijderen is. Eenmaal verwijderde gegevens kunnen niet meer worden teruggehaald. 

Dataportabiliteit
In de wetgeving is hier veel aandacht voor en dit heeft alles te maken met het kunnen exporteren van persoonsgegevens zodat deze in andere situaties weer kunnen worden gebruikt. De huidige mogelijkheden in onze software, zoals analyses, rapporten via pdf en/of XML zijn voldoende om aan de wetgeving te kunnen voldoen.

Gebruik van gegevens
Het gebruiken van de verschillende persoonsgegevens moet overeenkomstig zijn met het doel waarvoor deze gegevens gebruikt worden. Zo is het bijvoorbeeld voor een manager die een verlof van een medewerker beoordeelt niet noodzakelijk dat deze manager ook het BSN / Rijksregister nummer van de medewerker ziet. AFAS voorziet hierin door het kunnen scheiden van de gegevens en door inzicht te geven in waar de gegevens gebruikt worden.

Overzicht waar persoonsgegevens gebruikt worden
Je hebt de mogelijkheid om aan te geven of een gegeven een persoonsgegeven is. Voor standaardvelden is dit al voorgedefinieerd. Vervolgens kan je vanuit de software snel in één overzicht zien waar deze persoonsgegevens gebruikt worden.

Belangrijke pijlers van de AVG

Wat moet jij doen en wat doet AFAS?

1. Maak een overzicht van de verwerkingen

Jouw organisatie

Maak inzichtelijk hoe en welke persoonsgegevens jouw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. Maak een Privacy impact assessment (PIA). Deze is vaak beschikbaar via jouw eigen branchevereniging. Volgens de AVG zijn organisaties verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.

AFAS

In AFAS kun je zien welk veld een persoonsveld is. Daarnaast heb je de mogelijkheid om te zien waar deze gegevens gebruikt worden. 

2. Houd rekening met privacy by design & privacy by default

Jouw organisatie

Privacy by design houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening houdt met de bescherming van privacygevoelige informatie. 

Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.

Als organisatie blijf je altijd verantwoordelijk wie, waar en welke gegevens mag verwerken. 

AFAS

Bij het ontwikkelen van (nieuwe) functies houdt AFAS standaard al rekening met privacy.  
Aangezien gegevens maar één keer worden opgeslagen in de database en we maar op één manier de rechten beheren, is privacy by design gewaarborgd.

3. Voldoe aan de Meldplicht Datalekken

Jouw organisatie

Steeds vaker lezen we dat hackers persoonsgegevens buit hebben gemaakt en ergens beschikbaar hebben gesteld om er beter van te worden. Maar houd er ook rekening mee dat je zonder opzet ‘gewoon’ een laptop kunt verliezen. Dit zijn serieuze ondernemersrisico’s. In alle omstandigheden moet je betrokkenen berichten over het datalek. Bovendien moet je er alles aan doen om dit te voorkomen.

Waar zitten de risico's voor jouw organisatie? Kijk naar je procedures voor het documenteren en melden van datalekken. In de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat dit toetsbaar is door de Autoriteit Persoonsgegevens. 

AFAS

AFAS ondersteunt jou om een datalek te voorkomen en helpt je dit te registreren. We gaan binnenkort een standaard workflow ‘Melding datalek’ meeleveren. 

4. Hoe vraag en registreer je toestemming?

Jouw organisatie

De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer de manier waarop je mensen toestemming vraagt voor het verwerken van hun persoonsgegevens, maar ook hoe je deze registreert. Je moet kunnen aantonen dat er geldige toestemming van mensen is gekregen.

AFAS

Het vragen en registreren van toestemming is uitstekend in te regelen middels workflows op de klantportal voor klanten en iedereen die op de website komt. Voor medewerkers geldt uiteraard hetzelfde via het intranet.

Neem contact op!

Maak een afspraak

Wil je graag meer informatie over wat onze software
voor jouw bedrijf kan betekenen? Maak dan een
afspraak!

 

Download de brochure

De AVG / GDPR zit verankerd in onze ERP
software. Wil je meer weten over de software? Download
dan de brochure.