GDPR / AVG General Data Protection Regulation Algemene Verordening Gegevensbescherming
Inhoud Wat houdt GDPR / AVG in? Algemene informatie Wat valt er onder de GDPR? Wat betekent dit concreet? Aanwezige tools in SAP Business One Upcoming: SBO9.3PL04 Aandachtspunten
Wat houdt GDPR / AVG in? Versterking en uitbreiding van privacyrechten Meer verantwoordelijkheden voor organisaties Het uitgangspunt voor ondernemingen moet zijn om zo min mogelijk persoonsgegevens te bewaren (opgeslagen op binnen EU-geplaatste databases), en dat er voorzorgsmaatregelen aanwezig zijn om de risico’s voor personen te minimaliseren
Algemene informatie Vanaf 25 mei 2018 – 1 regelgeving door heel EU De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken (dus zowel B2C als ook B2B), zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie De gegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt. De gegevens kunnen voor een langere periode worden bewaard indien ze uitsluitend worden verwerkt voor archiveringsdoeleinden voor openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden.
Wat valt er onder de GDPR? Transparantie Bedrijven moeten betrokkenen informeren c.q. communiceren over hoe men de persoonsgegevens verzamelt en verwerkt Verantwoording Er is meer nadruk op de verantwoordelijkheid van bedrijven om zelf aan te kunnen tonen dat zij zich aan de wet houden. Bedrijven hebben een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacy risico's terug te dringen met betrekking tot persoonsgegevens. Consumentenrechten - Het recht om de eigen gegevens in te zien, te corrigeren of te verwijderen. - Het recht om eigen persoonsgegevens op te vragen in een toegankelijk bestandsformaat (bijv. Excel) en deze over te dragen aan andere bedrijven. - Het recht om vergeten te worden: bedrijven moeten persoonsgegevens wissen als de persoon hierom vraagt. Dit dient per direct te gebeuren en uiterlijk binnen een maand. Dit geldt ook voor data die inmiddels is gedeeld met derde partijen. Meldplicht bij datalekken Bedrijven zijn verplicht om binnen 72 uur een datalek te melden (bij de Autoriteit Persoonsgegevens), tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover de gegevens zijn verzameld. Privacy by design en privacy by default - Privacy by design geeft aan dat privacy bij het ontwikkelen van informatiesystemen en diensten / apps vanaf het begin moet worden omarmd. Focus ligt dus op privacy bij de ontwikkeling. - Privacy by default betekent dat je maatregelen neemt om standaard alleen de noodzakelijke gegevens te verzamelen voor het doel waarvoor je ze verzamelt. (Denk aan: locatiegegevens verzamelen, het delen op social netwerk) Focus ligt dus op privacy achteraf.
Wat betekent dit concreet? Zorg ervoor dat de interne procedures op orde zijn - Wie is er bevoegd te wijzigen / wissen / inzien? - Controle op echtheid aanvrager bij aanvraag wijzigen / wissen data Ga te rade bij de accountant/fiscalist/jurist/auditor - Welke data komt in aanmerking? - Welke termijn geldt er voor de wettelijke bewaarplicht? - Welke systemen worden geraakt? Implementatie in SAP Business One - Welke tools/onderdelen kunnen gebruikt c.q. ingezet worden? - Welke personen heb ik hierbij nodig? - Wie is belast met welke acties? - Wat is de impact op mijn SAP Business One landschap? Domani Business Solutions staat tot uw beschikking voor het aanreiken en verlenen van eventuele ondersteuning bij het implementeren van de tools die SAP Business One biedt. Via de nieuwsbrief is tevens de GDPR checklist beschikbaar gemaakt. Deze checklist zal ook per email worden gedeeld.
Aanwezige tools in SAP Business One SAP Business One heeft de volgende functionaliteit reeds aanwezig: Algemene bevoegdheden Gegevensownership Gegevensarchivering Wijzigingslogboeken opschonen Toegangsverslag
Algemene bevoegdheden Standaard heeft een nieuwe gebruiker géén rechten Wees zorgvuldig met het toewijzen van rechten Zorg voor minimaal 2 superusers Goedkeuringsmethoden overrulen de algemene bevoegdheden
Gegevensownership (1/3) Als eigenaar van gegevens kan men de rechtmatige eigenaar van gegevens en informatie definiëren Gegevens worden beveiligd en beschermd door de vooraf gedefinieerde autorisatie. Informatie en gegevens zijn alleen toegankelijk voor toegestane rollen en gebruikers Beperk de toegang en zichtbaarheid van: Zakenpartner Master Data Documenten die zakenpartnergegevens met eigenaars gebruiken Vanaf SBO 9.3 is het mogelijk met meerdere filialen te werken binnen 1 SAP Business One administratie. De ingelogde gebruiker zal automatisch alleen de zakenpartners en transacties zien die gekoppeld zijn aan hetzelfde filiaal als dat de gebruiker aan gekoppeld is.
Gegevensownership (2/3) Gegevensownership kan ingesteld worden bij de zakenpartners vanaf versie 9.2 Beperken van toegang en zichtbaarheid van zakenpartners en relevante transacties Gegevensownership kan ingesteld worden op: - Alleen document Toegang kan ingesteld worden per document - Alleen zakenpartner Als de gebruiker toegang heeft tot de zakenpartner, kunnen ook alle documenten ingezien worden die gekoppeld zijn aan de zakenpartner. - Zakenpartners en documenten Als een zakenpartner is gekoppeld aan een eigenaar, dan is dit bepalend voor de zichtbaarheid van de documenten. Als er geen eigenaar is gekoppeld aan de zakenpartner, dan zijn de autorisaties op document niveau bepalend.
Gegevensownership (3/3) Autorisatie kan worden verleend op bedrijfsniveau om zodoende Gegevensownership te overrulen Standaard SAP rapporten (zoals Open documenten) kunnen beperkt worden tot alleen specifieke zakenpartners voor specifieke gebruikers Uitsluiten van specifieke restricties en inschakelen van “Alleen lezen” rechten
Gegevensarchivering Archiveer data zodat deze wordt opgeslagen maar niet direct toegankelijk is. De data van compleet afgesloten transactieketens wordt overgeheveld naar een separate database. LET OP: Niet beschikbaar voor SAP HANA!
Wijzigingslogboeken opschonen Middels deze tool kunnen de wijzigingslogboeken (data achter het wijzigingsverslag) opgeschoond/verwijderd worden. De gebruikers met de juiste autorisaties kunnen de data opschonen op basis van de ingestelde filters en parameters. Dit zorgt tevens voor een krimp in de grootte van de database.
Toegangsverslag Het toegangsverslag laat (in detail) zien wie, van waaruit en wanneer in- en uitgelogd zijn in/van SAP Business One via de client danwel via de DI API.
Upcoming: SBO9.3PL04 In SAP Business One 9.3 PL04 heeft SAP functionaliteit toegevoegd ten aanzien van de GDPR-wetgeving: Personal Data Protection Management Sensitive Personal Data Access Log Uitgebreid(er) wijzigingsverslag Bepalen “Natural Person” “Natural Person” toewijzing verwijderen Personal Data Report Personal Data Cleanup Voorlopige releasedatum SBO9.3PL04: 04-05-2018
Personal Data Management (1/3) Op het tabblad “Basisintialisatie” van de “Bedrijfsdetails” kan dit onderdeel geactiveerd worden. Wordt automatisch geactiveerd voor alle lokalisaties voor EU-landen, Noorwegen en Zwitserland na upgrade naar 9.3 PL04 De automatische instelling kan gedeactiveerd worden na de upgrade indien er nog geen “Natural person” is aangemerkt in de administratie. In het hoofdmenu onder “Hulpmiddelen” zal een nieuw onderdeel aanwezig zijn.
Personal Data Management (2/3) Nieuwe functie voor het definiëren en categoriseren van persoonlijke gegevens. UDF-velden in GDPR-objecten kunnen als persoonlijke gegevens worden gezien. UDO’s zijn (nog) niet beschikbaar
Personal Data Management (3/3) Uitbreiding van de Algemene Bevoegdheden ter ondersteuning van de gegevensbescherming. Mogelijkheid om de toegang tot (de instellingen en functies van) gevoelige gegevens te beperken en autorisaties in te stellen
Sensitive Personal Data Access Log Geselecteerde geautoriseerde gebruikers kunnen verborgen (gevoelige) persoonlijke gegevens bekijken. Controle voor toegang tot elke speciale categorie van (gevoelige) persoonsgegevens door logboekregistratie. Waarden worden in de database versleuteld opgeslagen. In de User Interface worden de waarden standaard verborgen getoond. Speciale permissies zijn benodigd om de data in te kunnen zien. LET OP: Vooralsnog alleen beschikbaar voor de Duitse lokalisatie van SAP Business One!
Uitgebreid(er) wijzigingsverslag Nieuwe ondersteunde objecten ten aanzien van het wijzigingsverslag: activiteiten, cheques voor betaling, servicecontacten. Het registreren van wijzigingen (datum, tijd, eigenaar) in persoonsgegevens is een absoluut vereiste van GDPR.
Bepalen “Natural Person” Middels een wizard kunnen gebruikers, medewerkers, zakenpartners en contactpersonen als “Natural Person” aangemerkt worden in SAP Business One. Deze instelling is essentieel om de GDPR functies binnen SAP Business One te kunnen gebruiken.
“Natural Person” toewijzing verwijderen Middels een wizard kan de “Natural Person” instelling van een object af gehaald worden mocht deze onterecht toegewezen zijn.
Personal Data Cleanup Wissen van aangemerkte en geselecteerde persoonlijke data uit stamgegevens en transacties via een wizard. Gewiste gegevens over alle betrokken stamgegevens en transacties worden vervangen door asterisken. De status van wie de persoonsgegevens zijn gewist, wordt gewijzigd in “Gewist”. LET OP: Deze actie is onomkeerbaar en moet worden ondernomen nadat alle bewaartermijnen voor gegevens zijn verstreken!
Personal Data Report Een “Natural Person” kan contact opnemen om de details van de persoonlijke data binnen de organisatie op te vragen en de organisatie dient dit aan te leveren in het kader van de GDPR. Middels een wizard kan alle persoonlijke data, zowel master data als transacties, middels dit rapport uit SAP Business One gehaald worden en overhandigd worden aan de aanvrager.
Aandachtspunten Zorg voor gedegen interne procedures Raadpleeg de juiste personen Domani Business Solutions staat tot uw beschikking voor het aanreiken en verlenen van eventuele ondersteuning bij het implementeren van de tools die SAP Business One biedt. Let op data encryptie! In B1i flows alsook in customizing in SAP Business One kan persoonlijke data aangeroepen/geupdate/toegevoegd worden die versleuteld opgeslagen is in de database.
Bronnen GDPR and SAP Business One https://www.youtube.com/watch?v=v7YzeIZPEgo GDPR: waarom is het zo belangrijk voor uw SAP systemen? https://www.interdobs.nl/blog/gdpr-waarom-is-het-zo-belangrijk-voor-uw-sap-systemen/ GDPR: What it means for you – and SAP Business One https://seidor.uk/gdpr-sap-business-one/ Getting ready for May 25, 2018 https://www.sap.com/content/dam/site/sapcom/dropbox/upload-docs- here/GDPR%20Getting%20Ready.2017.02.14.pdf Autoriteit Persoonsgegevens https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese- privacywetgeving/mag-u-persoonsgegevens-verwerken
VRAGEN? support@domani-bs.nl 077 – 744 00 54