AVG / GDPR

Bron: Marc Veenendaal
Het kan niemand ontgaan zijn; de AVG (algemene verordening persoonsgegevens) zal vanaf 25 mei 2018 worden gehandhaafd. Maar wat houdt de wet precies in? En wat betekent dit in de praktijk?

AVG

De wet vervangt de Wet bescherming persoonsgegevens (WBP) en de Meldplicht datalekken. Het is ontwikkeld omdat de Europese Unie een eenduidige en veilige Europese Digitale omgeving wil creëren, waarbij burgers beschermt worden tegen data verlies en diefstal. Tevens worden organisaties die data verwerken gedwongen hier voorzichtig mee om te gaan. De boete is dan ook niet mals: maximaal 20 miljoen euro of 4% van je wereldwijze omzet.


In het kort samengevat bepaald de wet de voorwaarden voor het verzamelen, verwerken, gebruiken en bewaren van persoonsgegevens. Persoonsgegevens = alle informatie waarmee een persoon direct of indirect geïdentificeerd kan worden. Er moet duidelijkheid zijn over hoe data wordt verzameld en verwerkt, aantoonbaar welke gegevens precies en met werk doel. Leg niet meer vast dan noodzakelijk. Verder heeft de betrokkene altijd het recht om de gegevens in te zien, te corrigeren en te laten verwijderen. Uiteraard zijn de gegevens met een wettelijke bewaartermijn hierop uitgezonderd.

In de praktijk

Welke stappen zijn er van belang om te doorlopen?

  • Inventariseren AVG-verplichtingen
  • Verwerkingen inventariseren en minimaliseren tot noodzakelijke verwerkingen
  • De doeleinden bepalen van de verwerkingen en vastleggen in verwerkingsregister
  • Actief privacy beleid voeren
  • Datalekprotocol opstellen
  • Beveiligingsmaatregelen nemen
  • Documenteer de genomen/uitgevoerde maatregelen om compliance aan te tonen
  • Wijs verantwoordelijke aan voor beveiligingsbeleid
  • Medewerkers contracteren inzake omgang persoonsgegevens
  • Verwerkersovereenkomst afsluiten tussen verantwoordelijke en de verwerkers van de data indien dit wordt uitbesteed. Overeenkomst is vormvrij, het mag ook in de algemene voorwaarden worden opgenomen.

Wat is er binnen Profit mogelijk?

AFAS heeft een aantal nieuwe functionaliteiten toegevoegd in Profit:

  • Logging op dossier, zodat kan worden aangetoond dat ook daadwerkelijk is verwijderd. Deze optie nog wel activeren in de instellingen van het logboek.
  • Een overzicht waar in Profit persoonsvelden worden vastgelegd (Algemeen à Beheer à Persoonsgegevens)
  • Als er nieuwe vrije velden worden aangemaakt, is hier een vinkveld beschikbaar waarmee kan worden aangegeven of het een persoonsveld betreft en een veld voor beschrijving waarom je dit veld gebruikt.
  • Mogelijkheid voor het verwijderen van medewerkers, inkooprelaties, verkooprelaties en personen. Wees er bewust van dat de persoon nog niet is verwijderd als de medewerker is verwijderd.
  • Afgewezen sollicitanten kunnen direct verwijderd worden. Mocht je ze nog even willen bewaren, kan je een weergave maken met enkel zichtbaar als zoveel tijd geleden is afgewezen. Let er goed op dat de persoon nog niet verwijderd is na het verwijderen van de sollicitant.
  • Als medewerkers/personen niet verwijderd mogen worden i.v.m. managementinformatie, bijvoorbeeld headcount, dan is het mogelijk om te anonimiseren door de persoon te hernoemen. Let er op dat dossieritems gekoppeld blijven, daar kan wellicht nog achterhaald worden welke persoon het betreft als hier nog persoonsgegevens in staan.
  • Reden verzuim is niet meer beschikbaar sinds de laatste update, dit mag niet geregistreerd worden. Organisaties moeten zelf bepalen wat met de oude data gedaan wordt.
  • AFAS is actief aan het kijken naar scheiding van gegevens op tabbladen: onnodige informatie wordt verwijderd. Het is bijvoorbeeld niet nodig om een BSN nummer te zien bij het goedkeuren van een verlofaanvraag.
  • Controleer de inrichting van de autorisatie. Wie heeft toegang tot welk dossieritem?
  • Selecties inrichten op Organisatorische eenheid, functies en rollen. Automatiseer dus het autorisatieproces zodat het inzichtelijk is en iedereen de juiste autorisatie heeft.
  • Controleren inrichting type dossieritems, staat er een vinkje bij ‘vertrouwelijk’? Het dossieritem is dan enkel toegankelijk als je ook rechten op de bestemming (de medewerker) hebt. Dit vinkje staat niet standaard aan als je een nieuw type dossieritem aanmaakt.
  • Medewerkers/personen uit dienst altijd blokkeren na uit dienst datum, zodat de geblokkeerde medewerkers/personen uitgefilterd kunnen worden in weergaves.
  • Weergaves opnemen in CRM à Dossier waar een filter op de uit dienst datum staat. Zo worden bijvoorbeeld enkel de dossieritems getoond van medewerkers die langer dan 7 jaar uit dienst zijn, zodat makkelijk beheerst kan worden wat er verwijderd mag worden.
  • Automatiseer verder zoveel mogelijk processen, zodat alle stappen geregistreerd worden. 


Hoe gaat BvB Groep met de nieuwe wetgeving om?

De BvB Groep past de algemene voorwaarden aan aan de nieuwe wet- en regelgeving. In principe wijzigt er niet heel veel, er worden termen aangepast zoals opgenomen in de nieuwe wetgeving en er wordt naar de nieuwe wet verwezen.


Verder biedt BvB Groep de vertrouwde diensten aan op het gebied van payroll, HRM, functioneel beheer en consultancy. We horen het graag als we iets voor u kunnen betekenen.

 

Conclusie
Heb vooral geen paniek! Er wordt momenteel veel aandacht besteed aan de nieuwe wet- en regelgeving, maar als je het goed bekijkt, was heel veel wet- en regelgeving voorheen ook al van toepassing. Er wordt nu gevraagd om meer transparantie, betere registratie, snellere melding bij datalekken en meer duidelijkheid voor de betrokkenen. Als je gebruik maakt van AFAS Profit, automatiseer dan zoveel mogelijk processen en digitaliseer je archief. Zo heb je alle gegevens bij elkaar in een systeem waarmee transparant alles inzichtelijk gemaakt kan worden. En BvB Groep staat altijd voor u klaar om te ondersteunen waar nodig.