General Data Protection Regulation (GDPR)

Wat betekent dit voor uw bedrijf?

De datum van 25 mei 2018 nadert. Op deze datum zal ieder bedrijf in Nederland, van de grote beursgenoteerde multinationals tot de eenmanszaak op het dorpsplein, geconformeerd moeten zijn aan de nieuwe privacyregels. Dit vereist veel voorbereiding. Weet u wat GDPR in de toekomst gaat betekenen voor uw onderneming?

OakTree en de AVG

De vier stappen van de voorbereiding

 

Stap 1: Bewustwording
Zorgen dat de juiste
mensen binnen uw
bedrijf kennis hebben
van de nieuwe
privacywetgeving
Stap 2: Identificatie
Inzicht krijgen op
welke plek de
software belangrijke
persoonsgegevens
bewaart
Stap 3: Beheer
Leg de correcte
bewerking,
retentietermijn
en actie in de
software vast
Stap 4: Beveiliging
Neem de juiste
voorzorgsmaatregelen
om kwetsbaarheden
en inbreuken
uit te sluiten

 

Stap 1

De Algemene Verordening Gegevensbescherming (AVG) is de wet rondom persoonsgegevens. Denk hierbij aan naam, locatie, IP-adressen, e-mail, numerieke data als BSN, paspoort of rijbewijsnummers. Zorg dat bekend is:

  • wat het doel en de grondslag (regels volgens de AVG) is van de vastgelegde gegevens;

  • op welke wijze er toestemming is verkregen voor verwerking van gegevens;

  • hoe de toestemming is geregistreerd;

  • hoe lang uw bedrijf de gegevens wilt en mag bewaren.

In de AVG staat precies beschreven hoe er met gegevens moet worden omgaan. Bewaar en/of verwerk je gegevens, dan moeten de betrokkene personen (van wie je deze gegevens opslaat of verwerkt) hun rechten goed, eenvoudig en snel kunnen uitoefenen. Licht uw medewerkers in over de AVG en hoe zij hiermee dagelijks kunnen werken.

Stap 2

Een medewerker van uw bedrijf, van een leverancier of klant verzoekt om gegevens te bekijken. Denk hierbij aan een verzoek van een medewerker, die inzage wil in welke gegevens hij/zij heeft achtergelaten en wil deze nu controleren op juistheid en de huidige actualiteit. Je wilt dan snel aan dit verzoek voldoen.

Opzoeken
In OakTree Rent zoek je een persoon eenvoudig op (zelfs over meerdere administraties heen). Je opent vervolgens de Relatiekaart van die persoon en ziet welke persoonsgegevens zijn vastgelegd. Je kunt ze vervolgens delen met de persoon die om inzage van deze gegevens heeft verzocht. Als je het verzoek van een natuurlijk persoon krijgt om de vastgelegde gegevens in te mogen zien, dan is het mogelijk om deze gegevens via de persoonskaart af te drukken. Hiermee kan de aanvrager kijken welke gegevens er zijn vastgelegd en of deze correct zijn.

Stap 3

Uitleg vastleggen persoonsgegevens
Als je gegevens niet hebt verkregen van de betrokken persoon, moet je als bedrijf aantonen op welke manier je dan wel aan de gegevens bent gekomen. Zijn de gegevens wel door de betrokken persoon zelf aangeleverd? Je moet dit als bedrijf vastleggen. Belangrijk is dus om te registeren op welke wijze je aan de gegevens van de betrokken persoon bent gekomen. Het doel van het bewaren is belangrijk, omdat het weergeeft hoe lang je de gegevens mag of moet bewaren. Waar (veld bron) en de reden (doel) je de gegevens hebt verzameld, leg je eenvoudig vast in de Relatiekaart. Begin er zo snel mogelijk mee zodat je klaar bent als de AVG verplicht is gesteld (25 mei 2018).

Persoonsgegevens verwijderen
Als het bewaren van bepaalde gegevens niet meer noodzakelijk is en/of de bewaartermijn ervan verstreken is, dan moet je ze uit je administratie verwijderen. De bewaartermijn van gegevens kan je zelf bepalen of de betrokken persoon moet dit aangeven, dat hij/zij wil dat de gegevens verwijderd worden. Het komt vaak voor dat een relatie gekoppeld is aan één of meerdere andere entiteiten. Een relatie kan gekoppeld zijn aan een factuur, project, pakbon of een offerte. Een (oud) gebruiker van de software is op veel plekken gekoppeld aan diverse transacties in OakTree Rent. Als dergelijke koppelingen bestaan, is het niet meer mogelijk om deze informatie uit OakTree Rent te verwijderen. Wel is het mogelijk de gegevens inhoudelijk te wijzigen.

Anonimiseren
De wetgever heeft hiervoor ook een oplossing bedacht. Anonimiseren. Hiermee maak je de gegevens (zoals naam, geboortedatum, naam en BSN-nummer) van een persoon anoniem. De naam van deze persoon zal niet meer te herkennen zijn in de administratie. De functie anonimiseren zal in een van de updates van OakTree beschikbaar zijn. Na het anonimiseren zal de data onherkenbaar zijn. De Wet bepaalt dat dit onomkeerbaar moet zijn en zo zal OakTree Rent ook omgaan met deze regelgeving.

Stap 4

Om gegevens van medewerkers, contactpersonen en relaties in te zien, dienen personen hiervoor rechten te hebben in de administratie. Binnen OakTree Rent kunnen er rechten gegeven worden om gegevens in te zien en/of te wijzigen. Alle gegevens waaronder persoonsgegevens zijn goed beschermd binnen OakTree Rent. U dient deze rechten echter wel goed in te richten binnen OakTree om niet geautoriseerde personen toegang te geven aan privacygevoelige informatie.

Veranderingen OakTree Help en Support

De nieuwe privacyregels heeft ook consequenties voor onze Helpdesk. Na 25 mei 2018 kunnen wij alleen support bieden en Teamviewer sessies houden, als u ons daar expliciet toestemming voor geeft. Helpdesk- consultants- en supportmedewerkers van OakSoft krijgen uitsluitend toegang wanneer u in het hoofdmenu linksboven op het boomje van OakTree Rent klikt en aanvinkt dat u de support toestemming geeft.

Verwerkersovereenkomst
Als u na 28 mei 2018 nog gebruik maakt van OakTree Rent dan stemt u automatisch in met de verwerkersovereenkomst die u heeft ontvangen. Mocht u deze niet hebben ontvangen dan kunt u een online versie hiervan hier downloaden. Werkt u met OakTree in de cloud, dan dient u deze overeenkomst door uw directeur worden ondertekend en digitaal aan ons terug te sturen. Na ontvangst van het geretourneerde formulier zal de licentie worden verlengd. Zorg er dus voor dat u op tijd dit regelt.