Algemene Verordening Gegevensverwerking (AVG) of General Data Protection Regulation (GDPR)
&
DIMASYS|ENT en DIMASYS|WKG
Op 25 mei 2018 moet elk bedrijf dat persoonsgegevens van Europese burgers verwerkt, voldoen aan de General Data Protection Regulation (“GDPR”) in het Nederlands ook wel de Algemene verordening gegevensbescherming (“AVG”) genoemd. Ook jouw bedrijf zal hiermee te maken krijgen.
In een wereld waarin geldende regelgeving voortdurend aan verandering onderhevig is, streven wij er altijd naar dat onze oplossingen voldoen aan alle relevante wet- en regelgeving. Daarbij passen wij, indien nodig, ook onze interne procedures en de communicatie aan. Het is immers ons objectief u – nu en in de toekomst – zoveel als redelijkerwijze mogelijk in lijn met de nieuwste wet- en regelgeving kunnen blijven bedienen.
In dit document gaan wij niet verder in op wat GDPR specifiek voor uw organisatie betekent en hoe u dit binnen de werkprocedures van uw organisatie dient in te passen. Elk bedrijf heeft immers te maken met de verwerking en bescherming van persoonsgegevens voor het realiseren van zakelijke transacties. De AVG-wetgeving heeft geenszins de bedoeling zakelijke transacties onmogelijk of nodeloos gecompliceerd te maken.
Het is dan ook van groot belang dat u zelf inventariseert in welke processen persoonsgegevens worden verwerkt en uw procedures hieromtrent te documenteren. Op die manier krijgt u een duidelijk beeld van waar, hoe, wanneer en waarvoor deze gegevens worden gebruikt. Ook bepaalt u de bewaartermijn voor die gegevens. Het is tevens belangrijk goed te bekijken welke gegevens effectief zakelijk voor u relevant zijn, en de overige niet op te slaan. Dit laatste kadert binnen de eis van “dataminimalisatie” wat wil zeggen dat je verantwoordelijk bent voor het vastleggen van enkel die persoonsgebonden gegevens die noodzakelijk zijn voor het doel van de verwerking.
In beginsel, moet u steeds de wettelijke grondslag kunnen verantwoorden waarop u beroep doet om persoonsgegevens te verwerken (bv. toestemming van de betrokkene).
Als persoonsgegevens geen zakelijk nut meer voor u hebben, en dus de reden waarvoor u ze had opgeslagen niet meer van toepassing is, of de (wettelijke) bewaartermijn voorbij is, dienen deze te worden vernietigd.
Persoonsgegevens en DIMASYS
DIMASYS, zowel de ENT (Enterprise) Edition als de WKG (Workgroup) Edition, is ontworpen om uw bedrijfsadministratie zo efficiënt mogelijk te laten verlopen en de processen zo optimaal mogelijk te sturen. Gegevens die daarvoor worden opgeslagen zijn quasi per definitie vertrouwelijk. Denken we maar aan wie welke producten precies bij u koopt, welke de specifieke prijs- en kortingafspraken zijn per klant, naar welke emailadressen documenten moeten worden verstuurd, het opslaan van de contactpersonen met hun gegevens, enzovoort.
Uiteraard dient u met al deze gegevens confidentieel om te gaan, en daarvoor bestaat een uitgebreide rechtenstructuur binnen DIMASYS, zodat u gegevens kan beveiligen en afschermen.
Indien contactpersonen vragen hun gegevens uit DIMASYS te verwijderen (het recht om vergeten te worden), kan u ook steeds de betreffende gegevens uit de database verwijderen.
DIMASYS levert de mogelijkheid aan uw bedrijf om aan de AVG-verplichtingen te voldoen. Let wel, de aangeboden softwares dienen ingericht te worden met oog op de AVG vereisten. De functionaliteiten van DIMASYS bieden ondersteuning aan uw bedrijf om zich aan deze wetgeving te conformeren, maar zijn geen vervanging voor de implementatie van technische en organisatorische maatregelen binnen uw bedrijf die ervoor moeten zorgen dat de verwerking van persoonsgegevens op AVG-conforme wijze gebeurt.
Als ontwerper en verkoper van ERP-software opereert INFOMAT geenszins als verwerker van persoonsgegevens van uw klanten. Deze verantwoordelijkheid ligt op uw bedrijf, en gebruikers van DIMASYS binnen uw bedrijf dienen ingelicht te worden over de wijze waarop ze deze software kunnen configureren teneinde de AVG-verplichtingen na te leven.
Een eerste stap is te lokaliseren waar persoongegevens in DIMASYS kunnen worden vastgelegd. Hieronder zoomen we verder in op waar binnen DIMASYS persoonsgegevens onder andere worden vastgelegd.
De woorden ‘onder andere’ hierboven zijn niet toevallig gekozen omdat u zelf, tijdens de inrichting, heeft bepaald welke gegevens op welke plek binnen de basisgegevens worden opgeslagen. Uiteraard zijn er een aantal vaste velden daartoe voorzien, maar daarnaast kan het zijn dat u tevens persoonsgebonden gegevens heeft opgeslagen in eigenschappen, vrije velden of dimensies op ongestructureerde wijze. Naast het invullen van persoonsgegevens op de logische daartoe voorziene plaatsen binnen DIMASYS (fiche privépersonen en contactpersonen), kan u in theorie in alle omschrijvingsvelden in de toepassing persoonsgegevens hebben vastgelegd. Als u bovendien met particuliere klanten werkt kan ook informatie zijn opgeslagen op de klantenfiche zelf.
Het is belangrijk dat u daarvoor de spelregels binnen uw organisatie duidelijk vastlegt in procedures, zodat u duidelijk inzichtelijk heeft waar u specifiek persoonsgebonden gegevens heeft opgeslagen, en ze dus ook desgevallend kan gaan verwijderen of anonimiseren (overschrijven met XXXX) van zodra u daarom verzocht wordt.
Persoonsgegevens worden in DIMASYS opgeslagen ter ondersteuning van het aanmaken van zakelijke transacties of ter ondersteuning van het proces waarin deze transacties tot stand komen.
Privépersonen en contactpersonen kunnen binnen DIMASYS te allen tijde verwijderd worden, ook al zijn deze al gebruikt in een transactie of beweging.
Klanten echter, éénmaal geregistreerd in een transactie, kunnen niet meer verwijderd worden. U kan deze enkel anonimiseren (door te overschrijven met bijvoorbeeld XXXX).
- BEWEGINGEN OF TRANSACTIES
Ten einde de verantwoording tov accountants of officiële instanties kunnen transacties vanaf een bepaald ogenblik niet meer worden gewijzigd. Zo zijn in DIMASYS bewegingen vanaf een bepaalde status niet meer aanpasbaar. Indien u onvoldoende op de hoogte bent vanaf welke status dit het geval is per transactie, neemt u best contact op met uw contactpersoon binnen INFOMAT en documenteert u dit best binnen uw eigen werkprocedures.
Al naargelang het land waarin u actief bent en DIMASYS gebruikt, is er een wettelijke bewaartermijn of bewaarplicht. In het geval je bijvoorbeeld verkooporderregels, offerteregels, aankoopfactuurregels en andere zou hebben waarbinnen persoonsgegevens worden opgeslagen die hier volgens je inzicht niet thuis horen is het belangrijk deze werkprocedures onder de loep te nemen en ook hier over te gaan tot verwijdering of anonimisering van zodra u hierom verzocht wordt.
Om contactpersonen (zoals gedefiniëerd in daarvoor voorziene plaats binnen Dimasys) te anonimiseren in transacties die ouder zijn dan de wettelijk verplichte bewaartermijn voor documenten als facturen, voorziet DIMASYS vanaf versie 4 in een specifiek daarvoor voorziene functie.
Indien u, na uw interne GDPR-analyse binnen uw bedrijf, vermoedt dat u ook op andere plaatsen persoonsgegevens heeft opgeslagen, kan u steeds contact opnemen om samen te bekijken hoe deze alsnog verwijderd of geanonimiseerd kunnen worden.
Door DIMASYS geproduceerde documenten zoals Zendnota’s/Pakbonnen, Verkooporderbevestigingen, Verkoopfacturen, enzovoort kunnen binnen DIMASYS in diverse formaten worden gegenereerd en of opgeslagen. Ze worden enkel als link bewaard binnen DIMASYS en kunnen desgevallend fysiek worden verwijderd. Indien nodig kunnen ze achteraf opnieuw worden gegenereerd. Deze documenten zouden persoonsgegevens kunnen bevatten. Het is ook hier aangewezen de onderliggende werkprocedures nader te bekijken om na te gaan of dit het geval is en de vermelding van de persoonsgegevens hier van nut is.
In DIMASYS kan u echter ook elk type document opslaan of koppelen (tekeningen, plannen, CV’s, foto’s, …). U bepaalt volkomen zelf welke documenten u opslaat en dient dus ook hier nader te bekijken of deze persoonsgegevens bevatten. Uiteraard kan u binnen DIMASYS steeds deze documenten weer verwijderen.
Ook al is de kans miniem, toch is het mogelijk dat u in de software “triggers” heeft ingesteld op persoonsgegevens. Dit is het geval als u een “spiegelfunctie” heeft ingesteld op die tabel, waardoor in een andere tabel als “logging” de wijzigingen hierop worden opgeslagen. Dergelijke spiegeltabellen kunnen door uzelf worden verwijderd. In dat geval zal u met andere woorden ook deze spiegeltabel moeten verwijderen als u verzocht wordt persoonsgegevens te verwijderen.
Indien u onvoldoende op de hoogte bent over hoe u deze tabel kan verwijderen binnen DIMASYS, neemt u best contact op met uw contactpersoon binnen INFOMAT en kunnen wij u hierbij helpen.
De AVG-regelgeving vereist tevens dat uw back-ups worden geanonimiseerd van zodra de persoonsgegevens hun doel niet meer dienen. Het is ook hier aangewezen het beheer van uw back-ups onder de loep te nemen en na te gaan in welke mate je procedure hieraan voldoet. Indien vereist zou u de desbetreffende back-up kunnen terug zetten in een testomgeving om nadien de persoonsgegevens te gaan verwijderen. Indien gewenst en indien de noodzaak zich voor doet, kan onze Customer Service afdeling u hier bij helpen.
Tot slot is het beheren van de door opgeslagen gegevens in het kader van AVG/GDPR uw belangrijkste verantwoordelijkheid. Als u persoonsgegevens vastlegt, is het toekennen van de rechten of autorisaties van wie deze mag ingeven, zien, wijzigen, verwijderen een even belangrijke verantwoordelijkheid. Het is van groot belang dat de toegang tot DIMASYS zelf, maar ook tot deze gegevens tot een minimum wordt beperkt. Mocht data lekken dan is het uw verantwoordelijkheid de bron hiervan zo mogelijk te achterhalen en af te sluiten. Naast de pure netwerk en hardware beveiligingen kan u binnen DIMASYS de toegang tot de gegevens beperken door het rechtenbeheer. Binnen DIMASYS kunnen zowel programma’s, functies als velden worden beveiligd en dient het dus extra benadrukt te worden dat het belangrijk is hier niet te lichtzinnig mee om te gaan en ook dit duidelijk binnen de werkprocedures van uw organisatie vast te leggen.
Indien u onvoldoende op de hoogte bent over de beveiligingsmogelijkheden binnen DIMASYS, neemt u best contact op met uw contactpersoon binnen INFOMAT en kunnen wij u hierbij helpen.
Voor de AVG/GDPR statements van producten van onze partners (zoals Exact Financials, CAS genesisWorld, CORSA, Allegro, …) verwijzen wij u graag naar onze website of de website van de partner in kwestie.
Als antwoord op de vraag in welke mate onze medewerkers de GDPR-regeling ten aanzien van de persoonsgegevens in uw database waarmee zij mogelijk in aanraking zouden komen, hetzij persoonsgegevens van uw eigen medewerkers hetzij bij uw klanten of leveranciers, verwijzen wij graag naar het artikel dat daartoe in onze Algemene Voorwaarden is voorzien (met name Artikel 22. Vertrouwelijkheid) en waarbij de vertrouwelijkheid op het geheel van onze handelingen die wij voor u uitvoeren wordt gegarandeerd. Een behandeling van gegevens in het kader van een technische ingreep (herstelling,…) door één van onze medewerkers is geen verwerking van persoonsgegevens in de zin van AVG-wetgeving.
INFOMAT hecht belang aan de “privacy by design” en “privacy by default” beginselen in de ontwikkeling van haar producten. INFOMAT zal erop toezien dat haar ERP-software privacyvriendelijke functionaliteiten blijft inhouden om u gemakkelijk toe te laten de nodige AVG-conforme processen en maatregelen te implementeren, in lijn met de evolutie van het regelgevend kader.
Wij hopen u hiermee voldoende te hebben geïnformeerd, maar zijn uiteraard steeds tot uw beschikking voor verdere vragen.
Met vriendelijke groeten,
Infomat
Datum van laatste aanpassing: 15-05-2018
