Exact Financials: statement met betrekking tot security en GDPR
Veiligheid van informatie en privacy zijn onze belangrijkste assets. Het is in ons grootste belang dat je vertrouwen hebt in hoe wij met jouw financiële informatie en persoonsgegevens omgaan. Dat kan alleen als onze software goed en veilig werkt, onze interne processen en beleid kloppen en als onze medewerkers op de juiste manier omgaan met jouw (bedrijfs) gegevens. Hier werken we continu aan.
Op 25 mei 2018 moet elk bedrijf dat persoonsgegevens van Europese burgers verwerkt, voldoen aan de General Data Protection Regulation (“GDPR”), in het Nederlands ook wel de Algemene verordening gegevensbescherming (“AVG”) genoemd. Ook jouw bedrijf zal hiermee te maken krijgen.
In een wereld waarin geldende regelgeving voortdurend aan verandering onderhevig is, streven wij er altijd naar dat onze oplossingen voldoen aan alle relevante wet- en regelgeving. Daarbij passen wij, indien nodig, ook onze interne procedures en de communicatie aan. Zodat we je – nu en in de toekomst – zoveel als redelijkerwijze mogelijk in lijn met de nieuwste wet- en regelgeving kunnen blijven bedienen.
Op dit moment zijn de voorbereidingen op de implementatie van de nieuwe Europese algemene verordening gegevensbescherming, de GDPR, in volle gang. We verwachten ruim voor de inwerkingtreding van de GDPR op 25 mei 2018 alle aanpassingen te hebben doorgevoerd in onze eigen interne processen.
Om als klant van Exact te kunnen voldoen aan de nieuwe regelgeving bieden we in de software verschillende mogelijkheden om volgens de richtlijnen met persoonsgegevens om te gaan. Daarnaast werken we aan het ontwikkelen van tools die klanten kunnen helpen bij het voldoen aan verplichtingen rondom GDPR.
Voor meer details over hoe wij de veiligheid van informatie en privacy waarborgen, verwijzen we je naar de geldende algemene voorwaarden van Exact en ons information security statement. Uiteraard kun je ook altijd contact met ons opnemen voor een persoonlijke toelichting op hoe we jouw privacy en veiligheid waarborgen.
Algemene verordening gegevensbescherming (AVG / GDPR)
Op dit moment zijn de voorbereidingen op de implementatie van de nieuwe Europese Algemene verordening gegevensbescherming, de General Data Protection Regulation (“GDPR”), in volle gang.
Bescherming van persoonsgegevens
Elk bedrijf heeft of krijgt te maken met de verwerking en bescherming van persoonsgegevens. Daarbij is het van groot belang de processen waarbij persoonsgegevens worden verwerkt te inventariseren en de bijbehorende werkprocedures rond deze processen te documenteren. Op deze wijze maakt u inzichtelijk waar en wanneer welke persoonsgegevens worden verwerkt. Ook bepaalt u de bewaartermijn van deze gegevens. Als de persoonsgegevens het doel niet meer dienen waarvoor zij daadwerkelijk zijn opgeslagen of de bewaartermijn voorbij is, dienen deze te worden vernietigd.
Persoonsgegevens kunnen in Exact Financials worden vastgelegd in o.a.:
- Stamgegevens
De persoonsgegevens in de stamgegevens dienen als ondersteuning om de transacties aan te maken of het proces waarin deze transacties tot stand komen te ondersteunen. Denk hierbij bijvoorbeeld aan het aanmaken van boekingen en het genereren van aanmaningen, betaalspecificaties en verkoopfacturen op basis van vastgelegde e-mail adressen. Hierbij kan in eerste instantie worden gedacht aan NAW-gegevens in het onderhoud van debiteuren, crediteuren en werknemers. Vanzelfsprekend heeft u zelf tijdens de inrichting bepaald welke gegevens in welke stamgegevens worden opgeslagen. Zo kan het zijn dat u persoonsgegevens als eigenschap heeft vastgelegd of hiertoe een aparte dimensie heeft aangemaakt. Naast het vullen van persoonsgegevens op logische plaatsen, kunt u in theorie in alle omschrijvingsvelden in de applicatie persoonsgegevens vastleggen. Leg de spelregels hieromtrent goed vast in de voor uw bedrijfsvoering geldende werkprocedures. Zodra u inzichtelijk hebt voor welke velden in welke stamgegevens u persoonsgegevens opslaat, kunt u in Exact Financials deze beheren door deze gegevens te markeren als zijnde persoonsgegevens om deze vervolgens te kunnen samenvoegen met reeds bestaande gegevens [zie Samenvoegen stamgegevens] (7.24), verwijderen [zie Verwijderen stamgegevens] dan wel te kunnen anonimiseren [zie Beheer van persoonsgegevens] (7.24). Over het algemeen zal u ervoor kiezen om uw data te verwijderen dan wel te anonimiseren. Gebruikt u voor debiteuren, crediteuren of werknemers het Burgerservicenummer (“BSN”) als unieke identificatiecode, dan zal u alleen via vernummeren dan wel het samenvoegen van stamgegevens het BSN kunnen anonimiseren. Binnen de applicatie Exact Financials worden persoonlijke gegevens ofwel persoonsgebonden gegeven als “natuurlijk” getypeerd. Niet-persoonsgebonden gegevens worden als “niet-natuurlijk” geclassificeerd.
- Mutaties
Verwerkte boekingen ofwel transacties kunnen ten einde de verantwoording richting de accountant te kunnen borgen na verwerking niet worden gewijzigd. In Nederland geldt ten overstaan van de Fiscale Autoriteiten een bewaarplicht van 7 jaar. In het geval uw verkoopfactuurregels, inkoopfactuurregels, bankboekingen persoonsgegevens bevatten die hier naar uw inzicht niet thuis horen, is het van belang uw werkprocedures goed in ogenschouw te nemen. Zijn persoonsgegevens noodzakelijk voor de boeking? Kunt u gebruik maken van factuur specificaties en deze later apart verwijderen? Als de bewaartermijn van 7 jaar is komen te vervallen, heeft u binnen Exact Financials de optie om boekjaren te verwijderen. Daarbij heeft u tevens de keuze om alle data dan wel alleen de details te verwijderen (de grootboeksaldi blijven inzichtelijk, maar de transacties worden verwijderd) [zie Verwijderen boekjaren]. Wilt u de gegevens langer dan 7 jaren bewaren om andere doeleinden, dan is het van belang na te gaan in hoeverre deze gegevens persoonsgegevens bevatten en of deze gegevens nog bewaard mogen worden voor de doeleinden waarvoor u deze data wenst te gebruiken.
- Documenten
In Exact Financials kunnen documenten in diverse formaten worden vastgelegd. Deze documenten kunnen persoonsgegevens bevatten. U kunt hierbij denken aan verkoop- of inkoopfacturen, maar ook aan diploma’s, CV’s en/of contracten. Daarnaast kunnen binnen Exact Financials automatisch verkoopfacturen, herinneringen en betaalspecificaties (in PDF formaat) worden aangemaakt en opgeslagen. Het is verstandig de onderliggende werkprocedures goed onder de loep te nemen om na te gaan of er werkwijzen worden gehanteerd waarbij als resultaat persoonsgegevens op deze documenten zichtbaar worden gemaakt. Tevens kunnen in Exact Financials uitgaande SCT en SDD, als ook inkomende CAMT bestanden in de database worden opgeslagen. Documenten gekoppeld aan stamgegevens kunt u handmatig verwijderen door het stamgegeven te openen en het document te verwijderen op het tabblad documenten. Vanaf versie 7.24 kunt u documenten per documentcategorie en entiteit in bulk verwijderen. Documenten gekoppeld aan transacties kunnen vanaf versie 7.24 worden verwijderd. Tevens kan vanaf versie 7.24 een vervaldatum aan een documentcategorie worden meegegeven.
- Logboek
Let op als u gegevens wijzigt en u uw logboek geactiveerd heeft op het desbetreffende veld (denk bijvoorbeeld aan bankrekeningen), dan zijn de doorgevoerde wijzingen op deze gegevens terug te vinden in uw logboek. Het is dan zaak uw gelogde gegevens te verwerken, te controleren op fraude en vervolgens te verwijderen uit uw logboek [zie logboek]. In de laatste product updates is het aantal tabellen welke standaard (kunnen) worden gelogd, uitgebreid in het kader van EDP – auditing, hetgeen nauw aansluit bij de eisen rond GDPR.
- Back-ups
De GDPR vereist dat ook uw back-ups zijn geanonimiseerd als de persoonsgegevens hun doel niet meer dienen. Het is van belang het beheer van back-ups in ogenschouw te nemen en na te gaan in hoeverre uw back-up procedure aan deze eis voldoet. Indien nodig zou u back-ups kunnen terug zetten in een testomgeving om vervolgens de persoonsgegevens te verwijderen. Indien gewenst, kan onze consultancy afdeling u hierbij van dienst zijn.
Autorisatie
Het beheren van de door u opgeslagen data in het kader van GDPR is uw belangrijkste verantwoordelijkheid. Als u persoonsgegevens vastlegt, is autorisatie op deze gegevens een even belangrijke verantwoordelijkheid. Het is van groot belang dat de toegang tot deze gegevens tot een minimum wordt beperkt. Mocht data lekken, dan is het uw verantwoordelijkheid de bron hiervan zo mogelijk te herleiden. Binnen Exact Financials beperkt u toegang tot gegevens middels rechtenbeheer [zie autorisatie] enerzijds en data autorisatie anderzijds [zie data autorisatie]. Het verdient aanbeveling extra aandacht in het kader van GDPR hiervoor vrij te maken en tabellen rond rechtenbeheer vast te leggen in uw logboek en onderdeel van uw standaard procedures te maken [zie logboek]. Tot slot kan middels actielogging worden vastgelegd wie welke acties uitvoert ten aanzien van een entiteit. zie [Actie logging].
Systeem – Stamgegevens verwijderen
Systeem – Stamgegevens verwijderen[Systeem: Inrichting, Verwijderen stamgegevens, ..]
Stamgegevens kunnen worden aangemaakt, gewijzigd of worden verwijderd in de bijbehorende onderhoudsapplicatie. Als u echter veel gegevens in een keer wenst te verwijderen (bijvoorbeeld in het kader van de Algemene Verordening Gegevensbescherming (AVG)) en niet elk stamgegeven stuk voor stuk in de onderhoudsapplicatie wilt verwijderen, is het raadzaam om gebruik te maken van deze functie om grote hoeveelheden stamgegevens in een enkele opdracht te verwijderen. Zie: [Verwerkingsfuncties]
U kunt de volgende stamgegevens in een bulk-actie verwijderen:
Hoofdapplicatie Entiteit
- Systeem
- Documentcategorieën (optioneel: de onderliggende vervallen documenten) (7.24)
- Eigenschappen (optioneel: de onderliggende eigenschapswaarden) (7.24)
- Finance
- Debiteuren
- Crediteuren
- Debiteurencategorieën
- Crediteurencategorieën
- Hoofdverdichtingen
- Verdichtingen
- Grootboekrekeningen
- Kostenplaatsen
- Kostendragers
- Predikaten
- Landen
- Talen
- Factuurhouders
- BTW-aangiftevakken
- BTW-codes
- Machtigingen
- Dimensie 1 (7.24)
- Dimensie 2 (7.24)
- Dimensie 3 (7.24)
- Dimensie 4 (7.24)
- Dimensie 5 (7.24)