Algemene Verordening Gegevensbescherming (AVG) en Exact Compact
Vanaf 25-5-2018 is de Europese Algemene Verordening Gegevensbescherming (AVG)
of General Data Protection Regulation (GDPR) van kracht, en dienen
bedrijven te voldoen aan deze privacy regels.
Binnen GDPR staat de privacy van persoonsgegevens centraal. Ieder bedrijf
dient de persoonsgegevens - en de beveiliging van deze persoonsgegevens
- de hoogste prioriteit te geven. Dit begint met de verplichting om alleen
persoonsgegevens te verwerken wanneer er een duidelijk doel hiervoor is, en
eindigt met het verwijderen van deze persoonsgegevens wanneer het doel niet
meer van toepassing is.
Binnen het kader van de Algemene Verordening Gegevensbescherming wordt
een dergelijke zienswijze als een eerste vereiste van "Privacy by Design"
genoemd. Heeft u alle geboden functionaliteiten tot bescherming van deze
gegevens daadwerkelijk geactiveerd? Denk hierbij aan het actief beleid op het
gebied van autorisatie, data autorisatie, logging, actielogging en archivering
van stamgegevens. Naast privacy verhogende functionaliteit binnen de applicatie
wordt onder Privacy by Design tevens de eis van dataminimalisatie genoemd.
Dataminimalisatie wil zeggen dat u verantwoordelijk bent voor het vastleggen van
alleen die persoonsgegevens die noodzakelijk zijn voor het doel van de
verwerking. Heeft u inzichtelijk waar en waartoe (welke processen) u
persoonsgegevens in Exact Compact opslaat? Heeft
u het beheer van persoonsgegevens onder controle? Hoe lang dienen de
vastgelegde persoonsgegevens hun doel en hoe lang mogen zij worden bewaard?
Schoont u op periodieke basis uw vastgelegde persoonsgegevens op door deze hetzij
te verwijderen dan wel te anonimiseren?
Data
minimalisatie
-
Stamgegevens
De persoonsgegevens in de stamgegevens dienen als
ondersteuning om de transacties aan te maken of het proces waarin deze
transacties tot stand komen te ondersteunen. Denk hierbij bijvoorbeeld aan het
aanmaken van boekingen en het genereren van betalingsherinneringen,
betaalspecificaties en verkoopfacturen op basis van vastgelegde gegevens.
Hierbij kan in eerste instantie worden gedacht aan NAW-gegevens in het onderhoud
van debiteuren, crediteuren en werknemers. Vanzelfsprekend heeft u zelf tijdens
de inrichting bepaald welke gegevens in welke stamgegevens worden opgeslagen.
Naast het vullen van persoonsgegevens op logische plaatsen, kunt u in theorie in
alle omschrijvingsvelden in de applicatie persoonsgegevens vastleggen. Leg de
spelregels hieromtrent goed vast in de voor uw bedrijfsvoering geldende
werkprocedures.
We onderscheiden de volgende persoonsgegevens (entiteiten) in onze
producten:
- Relaties (debiteuren, crediteuren, etc)
- Contactpersonen
- Medewerkers (medewerkers, gebruikers)
Voor deze entiteiten kunnen de volgende persoonsgegevens worden
opgeslagen: Adresgegevens, naam, e-mail, creditcard informatie, bankrekeningen,
externe referenties, BSN nummer, BTW-nummer, visitekaartje, etc.
Zodra inzichtelijk is waar de persoonsgegevens zijn opgeslagen
kunt u besluiten om deze te verwijderen of anonimiseren.
Door de gegevens te verwijderen worden ze verwijderd uit de database.
Wanneer de stamgegevens echter zijn gebruikt in transacties, kunt u deze
niet verwijderen. In dat geval kunt u de gegevens anonimiseren of
samenvoegen.
Als er voor (persoons)gegevens geen
doel meer is en de bewaartermijn is verstreken, dan kunt u informatie
uit de administratie verwijderen. Denk bijvoorbeeld aan een potentiële
klant die interesse heeft getoond om zaken te doen, maar uiteindelijk geen
klant is geworden dan is het niet nodig om deze persoonsgegevens
langer dan noodzakelijk te bewaren en mag verwacht worden dat deze gegevens
regelmatig worden opgeschoond.
In de meeste situaties zal de relatie,
contactpersoon, medewerker of gebruiker gekoppeld zijn aan een of meerdere
entiteiten. Een relatie kan bijvoorbeeld gekoppeld zijn aan een factuur, een medewerker aan een salarisslip
en een gebruiker aan zo’n beetje iedere registratie in de applicatie.
Aangezien ook bewaartermijnen in acht genomen moet worden (bijvoorbeeld
een boekjaar mag pas na 7 jaren worden verwijderd) is het vaak niet
mogelijk om gegevens uit de administratie te verwijderen. Als u na de
wettelijke bewaartermijn medewerker informatie van een stagiair wilt
verwijderen, dan kan het nog steeds voorkomen dat de informatie niet
verwijderd kan worden omdat de medewerker aan allerlei entiteiten is
gekoppeld. Een oplossing hiervoor is om de medewerker in dit geval te
anonimiseren. Hiermee zorgt u ervoor dat alle persoonsgegevens van
de medewerker (of relatie, contactpersoon of gebruiker) anoniem wordt
gemaakt en de persoon niet meer binnen de administratie te herkennen is.
Van de persoon is geen geslachtsinformatie, geboortedatum, naam, BSN-nummer
of functietitel meer terug te vinden.
Door de gegevens te anonimiseren verwijdert u de persoonsgegevens
uit de bestaande records. De records blijven aanwezig, maar de
persoonsgegevens worden verwijderd of vervangen door dummy
informatie.
Door de gegevens samen te voegen, voegt u de records
die persoonsgegevens bevatten samen met records die dummy informatie
bevatten.
- Mutaties
Ten einde de verantwoording richting de accountant te
kunnen borgen, kunnen verwerkte boekingen ofwel transacties niet worden
gewijzigd. In Nederland geldt ten overstaan van de Fiscale Autoriteiten een
bewaarplicht van 7 jaar. In het geval uw verkoopfactuurregels,
inkoopfactuurregels, bankboekingen persoonsgegevens bevatten die hier naar
uw inzicht niet thuis horen, is het van belang uw werkprocedures goed in
ogenschouw te nemen. Zijn persoonsgegevens noodzakelijk voor de boeking?
Kunt u gebruik maken van factuur specificaties en deze later apart
verwijderen?
- Documenten
U kunt persoonsgegevens koppelen aan documenten. Zodra u deze persoonsgegevens heeft geanonimiseerd of samengevoegd, is de geanonimiseerde of
samengevoegde entiteit gekoppeld aan het document. Het is echter mogelijk dat de
inhoud van het document persoonsgegevens bevat. U kunt hierbij denken
aan verkoop- of inkoopfacturen, maar ook aan diploma's, CV's en/of
contracten. Daarnaast kunnen automatisch verkoopfacturen, herinneringen,
etc (in PDF formaat) worden aangemaakt en opgeslagen. Het is verstandig de
onderliggende werkprocedures goed te bekijken om na te gaan of er
werkwijzen worden gehanteerd waarbij als resultaat persoonsgegevens op deze
documenten zichtbaar worden gemaakt. Tevens kunnen uitgaande als ook
inkomende bankbestanden in de database worden opgeslagen. In dat geval kunt u het document verwijderen, of de persoonsgegevens in het document anonimiseren.
- Verzoeken (activiteiten)
U kunt persoonsgegevens koppelen aan verzoeken. Zodra u deze persoonsgegevens heeft geanonimiseerd of samengevoegd, is de geanonimiseerde of
samengevoegde entiteit gekoppeld aan het verzoek. Het is echter mogelijk dat de
opmerkingen in het verzoek persoonsgegevens bevat. In dat geval kunt u het verzoek verwijderen, of de persoonsgegevens in het verzoek anonimiseren.
- Back-ups
De GDPR vereist dat ook uw back-ups zijn geanonimiseerd als de
persoonsgegevens hun doel niet meer dienen. Het is van belang het beheer
van back-ups te bekijken en na te gaan in hoeverre uw back-up procedure
aan deze eis voldoet. Indien nodig kunt u back-ups terugzetten in een
testomgeving om vervolgens de persoonsgegevens te verwijderen. Indien
gewenst, kan de consultancy afdeling van Exact of uw Exact partner u
hierbij van dienst zijn. Let er goed op dat u bij het teruglezen van een
back-up niet per ongeluk uw live administratie overschrijft.
Persoonsgegevens afschermen
Via rollen en rechten kunt u de persoonsgegevens afschermen en bepalen
welke gebruikers deze informatie mogen bekijken.
Voor meer informatie over de beschikbare functies in de applicatie, zie
Algemene Verordening Gegevensbescherming en Exact compact - functionaliteit.
Meer informatie
Main Category: |
Support Product Know How |
Document Type: |
Support - On-line help |
Category: |
On-line help files |
Security level: |
All - 0 |
Sub category: |
Details |
Document ID: |
28.303.731 |
Assortment: |
Exact Compact+
|
Date: |
25-04-2018 |
Release: |
|
Attachment: |
|
Disclaimer |