Berichten

GDPR geldt óók voor het MKB

Eenmanszaak of multinational, fabrikant of dienstverlener: alle organisaties en bedrijven moeten serieus werk maken van de nieuwe Europese privacyverordening. Is jouw organisatie er klaar voor?

Op 25 mei is de General Data Protection Regulation (GDPR) van kracht geworden. Dat leidde bij iedereen tot een mailbox vol opt-in verzoeken en gewijzigde voorwaarden. Toch zijn er ook nog een hoop bedrijven die niet voldoen aan de nieuwe wetgeving. Niet verwonderlijk, vindt Djimmy Zeijpveld, Solution Markeer bij Exact: “Het is tamelijk droge kost waar je even goed voor moet gaan zitten.” Daarmee is zeker niet gezegd dat je het maar gewoon moet laten lopen.

Bij Exact is GDPR al lange tijd een belangrijk thema. Producten zijn inmiddels zodanig aangepast dat het gebruikers zo gemakkelijk mogelijk wordt gemaakt om binnen de Exact-omgeving te voldoen aan de regels. Zeijpveld: “Ongeveer een halfjaar geleden kregen we er ook de eerste concrete vragen over, vooral van grote bedrijven die meer wilden weten over juridische en IT-aspecten. Zij hebben speciale afdelingen en juristen in huis. Maar het midden- en kleinbedrijf beschikt daar niet over en hikt nu vaak nog steeds aan tegen implementatie.”

LAST MINUTE

Voor veel kleine bedrijven is de GDPR een klok-en-klepelverhaal: ze hebben ervan gehoord, maar weten niet wat ze moeten doen om aan de nieuwe wet te voldoen. Maar ‘laat’ is niet hetzelfde als ‘tevergeefs’, vindt Zeijpveld. “Voldoen aan de GDPR moet, dus pak het meteen goed aan. Loop zorgvuldig en systematisch je processen na en pas ze aan waar nodig. Dat geldt niet alleen voor wat je doet met Exact software, maar ook voor e-mail-, urenregistratie- en facturatiesystemen. Stuk voorstuk bevatten ze persoonsgegevens.” Nagaan of je de regels naleeft, is best een kluif, zegt hij. “Maar het is te doen, al dan niet met hulp van je branchevereniging of een gespecialiseerde dienstverlener of consultant.”

Bedrijven zijn zélf verantwoordelijk voor naleving van de regels, voegt Zeijpveld eraan toe. Directie en bestuurders zijn hoofdelijk aansprakelijk als er iets misgaat. “De boetes op niet-naleving zijn stevig bij ernstige incidenten. De bakker op de hoek krijgt als het fout gaat waarschijnlijk een minder dikke boete dan een tech-gigant, maar naar verhouding doet het net zoveel of meer pijn.”

PRAKTISCHE INFORMATIE

Eigen verantwoordelijkheid of niet, Exact heeft gebruikers in de aanloop naar de inwerkingtreding van de wet zoveel mogelijk voorzien van praktische informatie. Daarnaast is de software uitgerust met functies die rekening houden met GDPR-eisen. Zeijpveld: “Denk aan de mogelijkheid om op relatie-, contactpersoon- of medewerker niveau aan te geven wat persoonsgebonden informatie is, welke actie moet plaatsvinden, en op welke termijn. Bijvoorbeeld door na uitdiensttreding van een medewerker binnen een bepaald aantal weken persoonsgegevens te verwijderen of te anonimiseren. Maar ook om precies te zien waar je welke persoonsgegevens hebt opgeslagen en of er een actie noodzakelijk is.”

Verder helpt de software bij het toekennen van rollen en rechten, zodat medewerkers alleen persoonsgegevens kunnen verwerken en (in)zien die bij hun takenpakket horen, vervolgt Zeijpveld. “Of door een extra beveiligingsmaatregel in te voeren met tweestapsverificatie wanneer je inlogt in Exact. Een geïntegreerd ERP-systeem als dat van Exact legt gegevens één keer vast, van het aanmaken van een nieuwe relatie tot en met de factuur. Dus een goede (her)inrichting van je processen en de persoonsgebonden informatie die je opslaat, is essentieel om het beheersbaar te houden en de regelgeving na te kunnen leven.”

VERANTWOORDINGSPLICHT

Waar begin je en hoe ver moet je als organisatie gaan? Volgens Rianneke Hoekendijk, Senior Legal Counsel bij Exact, ligt het accent nu meer op het kunnen aantonen van compliance met de wet, de zogeheten ‘verantwoordingsplicht’. “Zo zijn organisaties verplicht een register op te stellen van verwerkingsactiviteiten, oftewel alle handelingen die je met persoonsgegevens uitvoert. Daar kun je het best beginnen.”

Zo’n register omvat waarschijnlijk best veel verwerkingen. Bijvoorbeeld verwerkingen die je uitvoert met persoonsgegevens van klanten of medewerkers, en waar deze staan opgeslagen. Ook moet je registreren of je persoonsgegevens doorgeeft aan een derde partij, bijvoorbeeld een administratiekantoor of het bedrijf dat de nieuwsbrief distribueert. Hoekendijk: “Aan de hand van het register kun je beoordelen of er verwerkings-activiteiten zijn waarbij iets misgaat. Bijvoorbeeld omdat je geen toestemming van de betrokkene hebt gevraagd, of omdat het systeem waarin persoonsgegevens zijn opgeslagen niet afdoende beveiligd is tegen inbreuken.”

Wanneer je inschat dat een gegevensverwerking een hoog privacy-risico bevat, dan kan het volgens Hoekendijk zijn dat er een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd om risico’s in kaart te brengen en maatregelen te nemen. Van ‘hoog risico’ is bijvoorbeeld sprake als je op grote schaal medische gegevens van personen verwerkt, of informatie die te herleiden is naar minderjarigen.

GELDIGE REDEN

De GDPR verplicht niet alleen om inzicht te hebben in welke persoonsgegevens waar zijn opgeslagen, ook moet je als organisatie desgevraagd kunnen aantonen dat je een grondslag hebt om iemands persoonsgegevens te verwerken. Een van deze grondslagen is toestemming. Voor iedere betrokkene moet het vervolgens net zo makkelijk zijn om toestemming voor het gebruik van die gegevens in te trekken als het is om die toestemming te geven. “Zorg ervoor dat betrokkenen hun privacy-rechten goed kunnen uitoefenen”, adviseert Hoekendijk. “Vragen ze om overdracht van, inzage in of verwijdering van hun persoonsgegevens? Zorg dat je weet hoe je aan deze verzoeken kunt voldoen en reageer binnen vier weken.”

Hoekendijk wijst verder nog op privacy by design en privacy by default, kernbegrippen in de wet. “Daarmee wordt bedoeld dat je er bij het ontwikkelen van producten van meet af aan voor zorgt dat alleen noodzakelijke persoonsgegevens verwerkt worden en dat die goed beschermd zijn.”

NIET ALLEEN EEN LAST

Veel ondernemers verzuchten dat er weer een verplichting is toegevoegd aan de toch al niet geringe regeldruk. Dat vindt Zeijpveld ook, maar hij pleit ervoor de GDPR-verplichting niet uitsluitend als last te ervaren. “Zie het als een mooi moment om bewustzijn over privacy in je organisatie te vergroten. Terwijl je kritisch kijkt naar je processen kun je meteen beoordelen of er nog waste in zit, die eruit kan. Twee vliegen in één klap dus. Mocht je onverhoopt te maken krijgen met een hack, dan is de schade beperkter. En tegen je klanten kun je zeggen, zeker als je actief bent in de consumentenmarkt: bij ons is je informatie in goede handen.”

Bron: Exact Blog

Exact Financials 7.24 GDPR/AVG versie algemeen beschikbaar

Vanaf 16 april 2018 is de GDPR/AVG versie Exact Financials 7.24 algemeen beschikbaar.

De aandachtpunten in 7.24

  • Versie 7.24 is de GDPR/AVG versie. Tools zijn gebouwd om velden uit stamgegevens als persoonlijk gegeven te labelen. Controle lijsten en rapporten op deze velden en mogelijkheden om de data te anonimiseren/samen te voegen zijn gebouwd.
  • In de document types kan een aantal dagen ingegeven worden waarmee de verloopdatum berekend wordt. Hiermee signaleert u of documenten (in bulk) verwijderd kunnen worden.
  • In de WebUI is de PDF editor verbeterd.
  • De systeemeisen zijn aangepast: Office 2010, MS SQL Server 2012, Progress OpenEdge 11.4 en 11.5 en wsisa.dll worden in 7.24 niet meer ondersteund.
  • Facturen kunnen uit de factuurhistorie aangemaakt worden en er is een controle toegevoegd waarmee gecontroleerd wordt of een creditfactuur niet al eerder aangemaakt is.

Meer informatie

Meer informatie kunt u vinden op de startpagina Exact Financials 7.24.

Bron: Exact Support Blog

In 10 stappen voorbereid op de AVG

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Download hier de brochure van de Autoriteit Persoonsgegevens ter voorbereiding op de AVG.

Bron: Autoriteit Persoonsgegevens

Exact AEC 1.46 service pack 11 is nu beschikbaar

Op 16 februari jl is service pack 11 voor Exact AEC 1.46 beschikbaar gekomen. In verband met de nieuwe Europese privacywetgeving (AVG/GDPR) richt deze service pack zich vooral op verbeteringen op het gebied van het beheer van persoonsgegevens.

Zie voor een volledige overzicht van de aanpassingen in de service packs: 27.179.791 – Exact AEC-releasenotes 1.46

Bron: Exact Support Blog

Gouden tip om met Exact Online te voldoen aan de AVG

Let op, bijna iedere organisatie in Europa moet voldoen aan de GDPR (General Data Protection Regulation). In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. Bereid je nu voor, want vanaf 25 mei 2018 loop je de kans op hoge boetes (tot 20 miljoen euro of 4% van de totale omzet). Zo neem je de essentiële maatregelen in Exact Online.

In de AVG staat tot in detail beschreven hoe je met persoonsgegevens moet omgaan. Bewaar en/of verwerk je persoonsgegevens, dan moeten de betrokkenen (personen van wie je deze gegevens opslaat of verwerkt) hun privacyrechten goed, eenvoudig en snel kunnen gebruiken.

Om welke gegevens gaat het dan?

Het betreft persoonsgegevens die te herleiden zijn naar natuurlijke personen. Denk hierbij aan naam, locatie, IP-adressen, e-mail, numerieke data als BSN, paspoort of rijbewijsnummers.

AVG gaat om persoonsgegevens beschermen

Een van de eisen uit de AVG is dat je goede beschermingsmaatregelen neemt zodat persoonsgegevens niet in verkeerde handen kunnen vallen. Het gebruik van een gebruikersnaam en wachtwoord alleen biedt vaak niet voldoende bescherming tegen onbevoegd gebruik.

Als je inloggegevens in handen vallen van verkeerde mensen, kunnen zij in jouw Exact Online administraties alle persoonsgegevens opvragen en downloaden. Met het gebruik van tweestapsverificatie maak je het onmogelijk dat van buitgemaakte inloggegevens misbruik kan worden gemaakt. Er is dan altijd een code nodig die je genereert via een app op je telefoon.

Hoe werkt het?

Ben je beheerder van Exact Online? Zet tweestapsverificatie in Exact Online aan voor jou en je medewerkers volgens deze instructies.

Ben je gebruiker van Exact Online? Dan kan je dit aanzetten als je beheerder je hiervoor gemachtigd heeft. Je moet het alleen nog zelf activeren volgens deze instructies.

Regel het nu!

Vanaf 25 mei 2018 moet iedereen voldoen aan de eisen van de AVG. Zorg er daarom voor dat je het nu alvast goed regelt in Exact Online. Zo ben je goed beschermd én voorkom je een eventuele boete.

Bron: www.onlineondernemen.nl