Bel ons

+32 9 336 39 42

We vertellen u graag meer

GDPR Mind The Gap

Is uw organisatie al GDPR compliant? De Europese General Data Protection Regulation wordt vanaf mei 2018 actief en kan voor u als ondernemer veel impact hebben. We kijken in deze blog naar de impact van deze wetgeving voor uw bedrijf. Vervolgens kijken we hoe Microsoft Dynamics NAV software u ondersteunt bij uw GDPR compliancy.

Het belang van goede privacy richtlijnen

Bedrijven verzamelen steeds meer data, soms als een gevolg van hun intensieve online activiteiten. Zonder dat we ons dat als ondernemer bewust zijn, wordt onze datastore steeds groter. Daar zitten veel persoonsgegevens bij. Zoals informatie over klanten en de producten of diensten die ze bij u afnemen. Bovendien zijn deze gegevens soms online toegankelijk, wat de kans op hacks en datalekken veel groter maakt. De beveiliging van deze persoonlijke gegevens wordt dan ook steeds belangrijker. Ook de wetgever eist van u dat u deze databeveiliging serieus neemt en dwingt dit af via de Europese General Data Protection Regulation (GDPR).

General Data Protection Regulation

GDPR is in 2016 door het Europees Parlement goedgekeurd. In tegenstelling tot Europese richtlijnen – die eerst per land in wetgeving moeten worden omgezet – is GDPR een verordening die in alle EU-landen direct geldig is. Feitelijk is GDPR nu dus al van kracht maar vanaf 25 mei 2018 wordt de wetgeving ook daadwerkelijk gehandhaafd en moet uw bedrijf volledig aan de GDPR eisen voldoen. U heeft dus nog een aantal maanden om te zorgen dat u volledig GDPR compliant bent. GDPR vervangt de nationale wetten op dit gebied die veelal verouderd waren.

Belangrijke punten bij GDPR

Een project opzetten om als bedrijf aan de GDPR eisen te voldoen is niet eenvoudig. Juist daarom is het goed om de hoofdlijnen van de verordening helder te hebben. GDPR richt zich uitsluitend op persoonsgegevens. Dat zijn alle vormen van informatie die verwijzen naar individuele personen. Daarbij wordt vaak gedacht aan namen, adressen en financiële gegevens, maar het kan van alles zijn. Ook foto- en videomateriaal waarop mensen staan afgebeeld vormen persoonsgegevens, evenals specifieke informatie over iemands geloof, ras of medische status. Het is uiteraard niet op voorhand verboden zulke gegevens over iemand op te slaan, maar u moet daar wel volledig transparant in zijn. U dient de persoon op de hoogte te brengen en om toestemming vragen. U moet ook processen hebben zodat mensen die toestemming desgewenst weer kunnen intrekken. En als een klant vraagt welke informatie u over hem of haar heeft opgeslagen, moet u daar snel en volledig inzicht in kunnen geven. Daarbij moet u helder zijn over het doel waarvoor u de gegevens opslaat. Dat betekent ook dat u de beschikbare gegevens niet voor andere doelstellingen mag gebruiken. Informatie die de klant heeft verstrekt bij aankoop van een product, mag u bijvoorbeeld niet zomaar inzetten voor gerichte marketingcampagnes. Ook moet u zich beperken tot de strikt noodzakelijke informatie voor dat opgegeven doel. Als u iemand een hypotheek verkoopt, is het relevant om naar het inkomen te vragen. Maar als u iemand schoenen verkoopt, zijn zulke vragen niet toegestaan. Ook moet u zorgvuldig met de gegevens omgaan. U dient er uiteraard voor te zorgen dat de gegevens niet zonder toestemming toegankelijk zijn voor derden. Het gaat er dus niet alleen om dat persoonsgegevens niet gestolen worden. Ze mogen ook niet ongemerkt worden aangepast. Daarbij bent u verplicht om procedures te hebben om gegevens te verwijderen als ze niet meer nodig zijn voor het doel waarvoor ze werden opgeslagen. Kiest een klant voor een andere leverancier, dan moet hij zijn gegevens eenvoudig kunnen meenemen of laten verwijderen. Dat laatste staat ook wel bekend als The Right to be Forgotten.

Privacy by Design en Privacy by Default

Cruciaal is dat u steeds moet kunnen aantonen hóe u deze zaken heeft gerealiseerd. Concepten die u rondom GDPR vaak zult horen, zijn Privacy by Design en Privacy by Default. Privacy by Design betekent dat u bij uw processen en IT-systemen kunt aantonen dat u vanaf het ontwerp tot en met de ingebruikname steeds de privacy richtlijnen heeft gehanteerd. Privacy moet onderdeel zijn van het design van uw systemen en niet slechts een paar losse maatregelen zonder onderlinge samenhang. Is er binnen de systemen voor een consistente methode gekozen om vertrouwelijke informatie te versleutelen? Hoe is het access management tot uw systemen georganiseerd? Privacy by Default houdt in dat u standaard de privacy instellingen op het hoogst mogelijke niveau heeft staan. Alleen als iemand daar expliciet toestemming voor geeft, kan dat niveau omlaag. Zo moet een klant expliciet toestemming geven alvorens hij of zij aan een mailinglist wordt toegevoegd. Impliciete toestemming is nooit een optie onder de GDPR.

Het belang van een goede GDPR implementatie

GDPR is niet een set maatregelen die u een standaard boete opleveren als u bij controle niet compliant blijkt te zijn. De impact van non-compliance rondom het beheer van uw persoonsgegevens kan desastreus zijn. Bij geconstateerde gebreken – zoals een datalek – kunnen boetes worden uitgedeeld tot wel 4% van de jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. Ook heeft u een actieve registratie- en meldplicht in het geval van een datalek. De reputatieschade kan daardoor erg groot zijn. De boetes zijn overigens afhankelijk van de mate waarin u kunt aantonen dat uw voorbereiding in orde was. Ieder bedrijf kan het slachtoffer worden van cybercriminaliteit. Als u in dat geval kunt aantonen dat uw GDPR voorbereidingen goed waren, kunt u er ook zonder of met een veel lagere boete vanaf komen.

Aandachtspunten bij IT dienstverlening en clouddiensten

Soms horen we van bedrijven dat men zich weinig zorgen maakt omdat de automatisering is uitbesteed en alles ‘in de cloud’ staat bij een dienstverlener. Dat is een onterecht uitgangspunt. U blijft in dat geval als data controller verantwoordelijk en kunt zich niet verschuilen achter het feit dat u zaken heeft uitbesteed. U moet aantonen dat u heeft gecontroleerd of uw leverancier (de data processor) de zaken GDPR compliant heeft ingericht en dat moet ook schriftelijk zijn vastgelegd in bijvoorbeeld bewerkersovereenkomsten.

Bent u met Microsoft Dynamics NAV oplossing ‘GDPR proof’?

Er is maar één partij die uiteindelijk kan garanderen dat uw organisatie als geheel is voorbereid op de GDPR. Dat bent u zelf. Uw automatisering is een schakel in een hele keten die volledig moet worden nagelopen op databeveiligingsrisico’s. Als uw automatisering is gebaseerd op Microsoft Dynamics NAV en andere Microsoft oplossingen zoals bijvoorbeeld Office 365 of Azure, heeft u wel een leverancier die optimaal is voorbereid op de GDPR eisen. U beschikt daarmee over alle benodigde tools en ook de Microsoft cloud dienstverlening voldoet aan de eisen:

Advies bij uw GDPR voorbereidingen

Met een goede aanpak is het realiseren van de compliance binnen uw organisatie zeker geen onoverkomelijk probleem. Met Microsoft Dynamics NAV beschikt u bovendien over software die volledig is voorbereid op de ondersteuning van GDPR.