Exact Globe+

Algemene Verordening Gegevensbescherming (AVG) en Exact Globe / Exact Synergy

Vanaf 25-5-2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) of  General Data Protection Regulation (GDPR) van kracht, en dienen bedrijven te voldoen aan deze privacy regels.

Binnen GDPR staat de privacy van persoonsgegevens centraal. Ieder bedrijf dient de persoonsgegevens - en de beveiliging van deze persoonsgegevens - de hoogste prioriteit te geven. Dit begint met de verplichting om alleen persoonsgegevens te verwerken wanneer er een duidelijk doel hiervoor is, en eindigt met het verwijderen van deze persoonsgegevens wanneer het doel niet meer van toepassing is.

Binnen het kader van de Algemene Verordening Gegevensbescherming wordt een dergelijke zienswijze als een eerste vereiste van "Privacy by Design" genoemd. Heeft u alle geboden functionaliteiten tot bescherming van deze gegevens daadwerkelijk geactiveerd? Denk hierbij aan het actief beleid op het gebied van autorisatie, data autorisatie, logging, actielogging en archivering van stamgegevens. Naast privacy verhogende functionaliteit binnen de applicatie wordt onder Privacy by Design tevens de eis van dataminimalisatie genoemd. Dataminimalisatie wil zeggen dat u verantwoordelijk bent voor het vastleggen van alleen die persoonsgegevens die noodzakelijk zijn voor het doel van de verwerking. Heeft u inzichtelijk waar en waartoe (welke processen) u persoonsgegevens in Exact Globe of Exact Synergy opslaat? Heeft u het beheer van persoonsgegevens onder controle? Hoe lang dienen de vastgelegde persoonsgegevens hun doel en hoe lang mogen zij worden bewaard? Schoont u op periodieke basis uw vastgelegde persoonsgegevens op door deze hetzij te verwijderen dan wel te anonimiseren?

Data minimalisatie

• Stamgegevens
  De persoonsgegevens in de stamgegevens dienen als ondersteuning om de transacties aan te maken of het proces waarin deze transacties tot stand komen te ondersteunen. Denk hierbij bijvoorbeeld aan het aanmaken van boekingen en het genereren van betalingsherinneringen, betaalspecificaties en verkoopfacturen op basis van vastgelegde gegevens. Hierbij kan in eerste instantie worden gedacht aan NAW-gegevens in het onderhoud van debiteuren, crediteuren en werknemers. Vanzelfsprekend heeft u zelf tijdens de inrichting bepaald welke gegevens in welke stamgegevens worden opgeslagen. Naast het vullen van persoonsgegevens op logische plaatsen, kunt u in theorie in alle omschrijvingsvelden in de applicatie persoonsgegevens vastleggen. Leg de spelregels hieromtrent goed vast in de voor uw bedrijfsvoering geldende werkprocedures.

  We onderscheiden de volgende persoonsgegevens (entiteiten) in onze producten:

  • Relaties (debiteuren, crediteuren, etc)
  • Contactpersonen
  • Medewerkers (medewerkers, sollicitanten, gebruikers)

  Voor deze entiteiten kunnen de volgende persoonsgegevens worden opgeslagen: Adresgegevens, naam, e-mail, creditcard informatie, bankrekeningen, externe referenties, BSN nummer, BTW-nummer, visitekaartje, etc.

  Zodra inzichtelijk is waar de persoonsgegevens zijn opgeslagen kunt u besluiten om deze te verwijderen of anonimiseren.

  Door de gegevens te verwijderen worden ze verwijderd uit de database. Wanneer de stamgegevens echter zijn gebruikt in transacties, kunt u deze niet verwijderen. In dat geval kunt u de gegevens anonimiseren of samenvoegen.

  Als er voor (persoons)gegevens geen doel meer is en de bewaartermijn is verstreken, dan kunt u  informatie uit de administratie verwijderen. Denk bijvoorbeeld aan een potentiële klant die interesse heeft getoond om zaken te doen, maar uiteindelijk geen klant is geworden dan is het niet nodig om deze persoonsgegevens langer dan noodzakelijk te bewaren en mag verwacht worden dat deze gegevens regelmatig worden opgeschoond.

  In de meeste situaties zal de relatie, contactpersoon, medewerker of gebruiker gekoppeld zijn aan een of meerdere entiteiten. Een relatie kan bijvoorbeeld gekoppeld zijn aan een factuur, een contactpersoon aan een afleverbon, een medewerker aan een salarisslip en een gebruiker aan zo’n beetje iedere registratie in de applicatie. Aangezien ook bewaartermijnen in acht genomen moet worden (bijvoorbeeld een boekjaar mag pas na 7 jaren worden verwijderd) is het vaak niet mogelijk om gegevens uit de administratie te verwijderen. Als u na de wettelijke bewaartermijn medewerker informatie van een stagiair wilt verwijderen, dan kan het nog steeds voorkomen dat de informatie niet verwijderd kan worden omdat de medewerker aan allerlei entiteiten is gekoppeld. Een oplossing hiervoor is om de medewerker in dit geval te anonimiseren. Hiermee zorgt u ervoor dat alle persoonsgegevens van de medewerker (of relatie, contactpersoon of gebruiker) anoniem wordt gemaakt en de persoon niet meer binnen de administratie te herkennen is. Van de persoon is geen geslachtsinformatie, geboortedatum, naam, BSN-nummer of functietitel meer terug te vinden.

  Door de gegevens te anonimiseren verwijdert u de persoonsgegevens uit de bestaande records. De records blijven aanwezig, maar de persoonsgegevens worden verwijderd of vervangen door dummy informatie.
  
  Door de gegevens samen te voegen, voegt u de records die persoonsgegevens bevatten samen met records die dummy informatie bevatten.  

• Mutaties
  Ten einde de verantwoording richting de accountant te kunnen borgen, kunnen verwerkte boekingen ofwel transacties niet worden gewijzigd. In Nederland geldt ten overstaan van de Fiscale Autoriteiten een bewaarplicht van 7 jaar. In het geval uw verkoopfactuurregels, inkoopfactuurregels, bankboekingen persoonsgegevens bevatten die hier naar uw inzicht niet thuis horen, is het van belang uw werkprocedures goed in ogenschouw te nemen. Zijn persoonsgegevens noodzakelijk voor de boeking? Kunt u gebruik maken van factuur specificaties en deze later apart verwijderen?
  
  
• Documenten
  U kunt persoonsgegevens koppelen aan documenten. Zodra u deze persoonsgegevens heeft geanonimiseerd of samengevoegd, is de geanonimiseerde of samengevoegde entiteit gekoppeld aan het document. Het is echter mogelijk dat de inhoud van het document persoonsgegevens bevat. U kunt hierbij denken aan verkoop- of inkoopfacturen, maar ook aan diploma's, CV's en/of contracten. Daarnaast kunnen automatisch verkoopfacturen, herinneringen, etc (in PDF formaat) worden aangemaakt en opgeslagen. Het is verstandig de onderliggende werkprocedures goed te bekijken om na te gaan of er werkwijzen worden gehanteerd waarbij als resultaat persoonsgegevens op deze documenten zichtbaar worden gemaakt. Tevens kunnen uitgaande als ook inkomende bankbestanden in de database worden opgeslagen. In dat geval kunt u het document verwijderen, of de persoonsgegevens in het document anonimiseren.

• Verzoeken
  U kunt persoonsgegevens koppelen aan verzoeken. Zodra u deze persoonsgegevens heeft geanonimiseerd of samengevoegd, is de geanonimiseerde of samengevoegde entiteit gekoppeld aan het verzoek. Het is echter mogelijk dat de opmerkingen in het verzoek persoonsgegevens bevat. In dat geval kunt u het verzoek verwijderen, of de persoonsgegevens in het verzoek anonimiseren.
  
  
• Logboek
  Let op als u gegevens wijzigt (denk bijvoorbeeld aan debiteuren), de doorgevoerde wijzigingen op deze gegevens terug te vinden zijn in uw logboek. Het is dan zaak uw gelogde gegevens te verwerken, te controleren op fraude en vervolgens te verwijderen uit uw logboek.
  
  
• Back-ups
  De GDPR vereist dat ook uw back-ups zijn geanonimiseerd als de persoonsgegevens hun doel niet meer dienen. Het is van belang het beheer van back-ups te bekijken en na te gaan in hoeverre uw back-up procedure aan deze eis voldoet. Indien nodig kunt u back-ups terugzetten in een testomgeving om vervolgens de persoonsgegevens te verwijderen. Indien gewenst, kan de consultancy afdeling van Exact of uw Exact partner u hierbij van dienst zijn. Let er goed op dat u bij het teruglezen van een back-up niet per ongeluk uw live administratie overschrijft.

Persoonsgegevens afschermen

Via rollen en rechten kunt u de persoonsgegevens afschermen en bepalen welke gebruikers deze informatie mogen bekijken.

Voor meer informatie over de beschikbare functies in de applicatie, zie Algemene Verordening Gegevensbescherming en Exact Globe / Exact Synergy - functionaliteit.

Meer informatie

• De Nederlandse AVG wettekst op europa.eu (pdf)
• General Data Protection Regulation, final version dated 27 April 2016 (pdf)
• EU Data Protection page
• Algemene Verordening Gegevensbescherming en Exact Globe / Exact Synergy - functionaliteit
• Autoriteit Persoonsgegevens