Op het moment dat je gegevens van personen verwerkt in je financiële administratie, krijg je te maken met de Algemene Verordening Gegevensbescherming (AVG) die sinds mei 2018 in heel Europa geldt. Door de AVG krijgen de zogenaamde betrokkenen meer privacyrechten, waaronder:
- het recht op inzage,
- het recht op vergetelheid,
- het recht op rectificatie en aanvulling,
- het recht op dataportibiliteit en
- het recht op beperking van de verwerking.
Als gegevensverwerker zul je je systemen en processen hierop moeten aanpassen. Gelukkig biedt Business Central een aantal tools om je hierbij te ondersteunen. In dit blog leg ik aan de hand van de privacyrechten uit hoe je dit kunt inrichten en gebruiken.
Vertrouwelijkheid van gegevens
Om het eenvoudiger te maken om te kunnen reageren op aanvragen vanuit betrokkenen, kun je de vertrouwelijkheid van de opgeslagen data classificeren. Dit doe je in het werkblad gegevensclassificatie. Van alle velden in alle tabellen kan worden aangegeven wat het gevoeligheidsniveau is. Er kan onderscheid worden gemaakt in:
- Vertrouwelijke informatie: Informatie over het ras of de etnische achtergrond van een gegevensonderwerp, politieke overtuigingen, religieuze overtuigingen, betrokkenheid bij vakbonden, fysieke of geestelijke gezondheid, seksualiteit of gegevens over strafbare feiten.
- Persoonlijke informatie: Informatie die kan worden gebruikt om een gegevensonderwerp te identificeren, rechtstreeks of in combinatie met andere gegevens.
- Vertrouwelijke bedrijfsinformatie: Bedrijfsgegevens die voor de boekhouding of andere bedrijfsdoeleinden worden gebruikt en die je niet aan andere entiteiten wilt blootstellen. Dit kan bijvoorbeeld posten omvatten.
- Normale informatie: Algemene gegevens die niet in andere categorieën horen.
Het werkblad Gegevensclassificatie is beschikbaar in het rolcentrum van de IT-beheerder en de beheerder van gebruikers, gebruikersgroepen en machtigingen en vereist dat je systeembeheerder bent. Het is mogelijk om de vertrouwelijkheid van velden bulksgewijs te classificeren of te bewerken in Excel.
Recht op inzage
Met dit recht op inzage kan een betrokkene controleren welke persoonsgegevens door de organisatie worden verwerkt en of deze persoonsgegevens wel kloppen. Op het moment dat een aanvraag wordt ontvangen, kun je met behulp van het hulpprogramma gegevensprivacy een Excel-bestand maken waarin de geregistreerde gegevens worden weggeschreven. Dit dient binnen 30 dagen na het ontvangen verzoek te gebeuren.
Recht op rectificatie en aanvulling
Als organisatie ben je ervoor verantwoordelijk dat de persoonsgegevens die je verwerkt, juist zijn en te actualiseren als dat nodig is. De AVG geeft betrokkenen het recht om juiste persoonsgegevens te laten wijzigen of aan te vullen. Corrigeren en aanvullen kan op verschillende manieren gebeuren, bijvoorbeeld door de gegevens te bewerken in Excel of de velden handmatig te bewerken op bijvoorbeeld een specifieke klantkaart.
Recht op vergetelheid
Op het moment dat een betrokkene aangeeft dat hij wil worden vergeten, met andere woorden te de persoonsgegevens te wissen, dan dient de organisatie, als aan bepaalde voorwaarden wordt voldaan, dit verzoek uit te voeren. Dit kan eenvoudig door bijvoorbeeld een contactpersoon te verwijderen en daarna de gekoppelde interacties via een batchroutine te verwijderen. Je kunt ook gebruik maken van het configuratiepakket uit het hulpprogramma gegevensprivacy.
Recht op dataportabiliteit
Het recht op overdraagbaarheid van gegevens (dataportabiliteit) is het recht van een betrokkene om een kopie van de persoonsgegevens die een organisatie van hem of haar heeft, te verkrijgen, zodat deze gegevens kunnen worden overgedragen aan een andere verwerkingsverantwoordelijke. Dit recht bestaat alleen als de gegevensverwerking berust op toestemming of op een overeenkomst én de verwerking geautomatiseerd is.
Indien je een dergelijk verzoek ontvangt, moet je binnen 30 dagen de verwerkte persoonsgegevens op een gestructureerde, gangbare en machine leesbare vorm aanleveren aan de betrokkene. Hiervoor kun je gebruik maken van het hulpprogramma gegevensprivacy om persoonlijke gegevens naar een Excel-bestand of een zogenaamde RapidStart-configuratiepakket te exporteren. Met Excel kun je de persoonlijke gegevens opslaan in een gangbare, door een machine leesbare indeling, zoals .csv of .xml. Voor RapidStart-configuratiepakketten kun je hoofdgegevenstabellen en de gerelateerde tabellen ervan configureren die persoonlijke gegevens bevatten. Als je gegevens exporteert, geef je een minimumgevoeligheidsniveau op. De export bevat het minimale gevoeligheidsniveau en alle niveaus erboven. Als je er bijvoorbeeld voor kiest gegevens te exporteren die zijn geclassificeerd als Persoonlijk, bevat de export ook gegevens die zijn geclassificeerd als Vertrouwelijk.
Recht op beperking van de verwerking
Een betrokkene kan een organisatie vragen (tijdelijk) te stoppen met het verwerken of wijzigen van zijn persoonsgegevens. De organisatie moet de betrokkene binnen één maand laten weten of aan het verzoek wordt voldaan en zo nee, waarom niet. Wordt wel aan het verzoek voldaan? Dan moet de organisatie aangeven hoe zij dat gaat doen.
In Business Central heb je de mogelijkheid om op een account-, contact-, klant- of leverancierskaart een veld “Geblokkeerd vanwege privacy”. Hiermee wordt de betrokkene volledig geblokkeerd en kunnen geen nieuwe transacties worden geregistreerd die het betreffende record gebruiken.
Al met al zeer handige tools die het eenvoudiger maken om op aanvragen van betrokkenen te reageren.
GAC