Vrijdag 25 mei 2018 was een mooie zonnige dag!
Natuurlijk bent u al lang klaar voor de Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) zo u wilt. U heeft de data protection impact assessment succesvol uitgevoerd, een register van verwerkingsactiviteiten opgesteld, een nieuwe privacyverklaring opgesteld, alle verwerkingsovereenkomsten met externe verwerkers getoetst en aangepast en al uw medewerkers geïnformeerd over de nieuwe privacyregels.
Vrijdag 25 mei 2018 was voor u een dag als iedere andere en een mooie zonnige dag aan het begin van een heerlijk weekeinde.
In dat geval hoort u bij de ongeveer 33% van de bedrijven en instellingen die klaar is voor GDPR en hebben wij u niets te vertellen en kunnen we u slechts complimenteren met het feit dat u uw processen en uw systemen wel op orde hebt. U hoeft dit artikel niet meer verder te lezen, want wat we hierna hebben geschreven is voor u al lang bekend. Veel plezier met de andere artikelen uit deze nieuwsbrief en vergeet niet uzelf op tijd in te smeren!
Uit recent onderzoek is gebleken dat ongeveer 66% van de bedrijven die persoonsgegevens verzamelen en verwerken nog steeds niet (helemaal) klaar is voor de Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) zo u wilt. Toch zullen deze bedrijven zo snel mogelijk de juiste maatregelen moeten treffen; de nieuwe data- en privacywetgeving die per 25 mei 2018 in werking treedt heeft namelijk grote impact op het bedrijfsleven. In deze wetgeving staan nieuwe, herziene richtlijnen voor het verzamelen en verwerken van persoonsgegeven van Europese burgers.
Natuurlijk is de dreiging van de impact op uw systemen wellicht niet zo groot als bij het jaar 2000 waarbij iedereen bang was dat door een millenniumbug hun systemen zouden omvallen, maar onderschat u niet wat de imagoschade is als u een datalek heeft. En dan hebben we het nog niet over eventuele boetes die kunnen oplopen tot maximaal 20 miljoen euro of 4% van uw wereldwijde omzet.
Als u nog helemaal niets heeft gedaan is de website van de Autoriteit Persoonsgegevens (AP) in ieder geval een zeer goed startpunt. Op deze site vindt u onder andere het AVG 10-stappenplan. Hierin staan in het kort alle belangrijke stappen die u moet volgen om voorbereid te zijn op de AVG.
Een tweede hulpmiddel is de Regelhulp Algemene verordening gegevensbescherming. Dit is een interactieve tool die de AP heeft ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO) waarmee u een beeld krijgt waar u aan kunt werken om goed voorbereid te zijn op de AVG. Samen met een van onze partners kunnen we samen met een privacyexpert alle risico’s in kaart brengen en u helpen om alle organisatorische en technische maatregelen in kaart te brengen en te realiseren.
Als u al wel bezig bent om alle noodzakelijke voorbereidingen te treffen kunnen we u wellicht nog helpen om een scan te doen op alle door u geregistreerde persoonsgegevens in uw SAP-systemen en de systemen die uw SAP-systemen als bron gebruiken voor overige processen.
Praktijkgevallen
We merken namelijk best vaak dat lang niet alle persoonsgegevens even inzichtelijk zijn en dat er soms ongemerkt meer persoonsgegevens worden opgeslagen dan strikt noodzakelijk voor het doel waarvoor u deze persoonsgegevens verwerkt. En dan gaat het niet alleen maar om gegevens van klanten, maar ook over personeel. Zo kwamen we laatst bij een klant de situatie tegen dat er onnodig veel gegevens vanuit de personeelsgegevens uit hun SAP HCM systeem naar SAP CRM werden gestuurd voor hun servicemonteurs die als medewerkers in CRM waren opgeslagen (zoals bijvoorbeeld het privéadres en -telefoonnummer). En hoewel die gegevens middels autorisaties slechts te zien waren door een beperkte groep van gebruikers hebben we samen met de klant een aantal aanpassingen gedaan en de set aan gegevens die wordt gesynchroniseerd ingeperkt.
Figuur 1 - Filtering persoonsdata van HCM naar CRM
Voor diezelfde klant hebben we ook een proces ingericht waarmee alle vragen en meldingen rondom AVG kunnen worden geregistreerd en waarbij de medewerker aan de hand van een controlelijst alle stappen kan doorlopen die worden vereist vanuit de AVG rondom het verstrekken van informatie en het afhandelen van de verschillende rechten.
Figuur 2 - Serviceaanvraag mbt GDPR met controlelijst met specifieke AVG-acties
Bij weer een andere klant hebben we samen met een van hun externe partijen een aantal bestaande webservices moeten aanpassen waardoor nu minder data verplicht is die niet strikt noodzakelijk is voor de verwerking van hun processen. Daarbij hebben we ook een tweetal nieuwe webservices gerealiseerd waarmee het recht om vergeten te worden nu wordt ondersteund.
Hoe kunnen wij u helpen?
Samen met een van onze partners kunnen wij zorgen dat er een data protection impact assessment wordt uitgevoerd binnen uw organisatie waarmee u de privacyrisico’s van een gegevensverwerking in kaart brengt en waarmee de maatregelen kunnen worden bepaald om de risico’s zo veel mogelijk te verkleinen. Mocht blijken dat u een functionaris voor de gegevensbescherming (FG) moet aanstellen, dan kan onze partner de door u benoemde persoon opleiden voor deze functie, of kunnen wij op interim basis een FG inzetten die u helpt bij uw project tot u zelf een FG hebt kunnen aanstellen.
Met betrekking tot de vastlegging van persoonsgegevens in SAP en de uitwisseling van en naar uw SAP-systemen kunnen wij u helpen om daar waar nodig de hoeveelheid gegevens in te perken.
Rondom de beveiliging van uw systemen en de autorisaties van de personen die inzage mogen hebben kunnen onze S&A-consultants u helpen om de juiste maatregelen te treffen.