Bjorn Lunden

Lundify – Handleidingen

U bent nu hier: Start / Lundify Workflow / Algemene informatie

Lundify Workflow en de AVG (GDPR)

Geüpdate
Deze instructie geldt voor Lundify Workflow

Lundify Workflow is ontwikkeld met aandacht voor de eisen die de Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt aan verwerking van persoonsgegevens. Hier zijn enkele kernpunten over hoe Lundify Workflow voldoet aan de AVG/GDPR.

Wat is de AVG (GDPR)?

De EU heeft een verordening inzake gegevensbescherming vastgesteld, de AVG (Algemene Verordening Gegevensbescherming), die betrekking heeft op de verwerking van persoonsgegevens. GDPR staat voor General Data Protection Regulation.  De AVG stelt onder andere hogere eisen aan documentatie en informatie van degenen die persoonsgegevens verwerken. De verordening is van kracht sinds 25 mei 2018.

Het doel van de AVG is om de bescherming van persoonsgegevens van natuurlijke personen te waarborgen en te harmoniseren. Natuurlijke personen moeten meer controle krijgen over hun eigen persoonsgegevens, terwijl bedrijven slechts met één regelgevend kader hoeven te werken, ook wanneer ze in meerdere EU-landen actief zijn.

De AVG geldt voor alle bedrijven, overheden, verenigingen en in sommige gevallen ook voor particulieren die actief zijn in een EU-land of die omgaan met individuen die zich in een EU-land bevinden. De regels gelden voor alle systematische verwerking van persoonsgegevens, in principe alle vormen van elektronische gegevensverwerking – inclusief registers, databanken en lopende teksten. Ook bepaalde vormen van handmatige verwerking, zoals papieren registers, kunnen onder de AVG vallen.

Op onze pagina Integriteit & veiligheid hebben we alle informatie verzameld over onze visie op privacy en ons privacybeleid. Daar vind je ook feitelijke informatie en hulpmiddelen die nuttig zijn bij jouw GDPR-werkzaamheden.

Verwerkersovereenkomst

De AVG geldt voor de verwerkingsverantwoordelijke, dat wil zeggen degene die persoonsgegevens verwerkt in zijn of haar bedrijfsvoering en beslist welke gegevens worden verwerkt en met welk doel. De AVG geldt ook voor de verwerker, oftewel degene die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke, bijvoorbeeld een leverancier van een IT-dienst.

Zowel de verwerkingsverantwoordelijke als de verwerker dragen verantwoordelijkheid voor naleving van de AVG. Beiden moeten bijvoorbeeld een verwerkingsregister bijhouden en zijn afzonderlijk verantwoordelijk voor de gegevensbeveiliging. Als je een externe partij inschakelt om persoonsgegevens namens jou te verwerken, ben je verplicht om een schriftelijke verwerkersovereenkomst af te sluiten, inclusief duidelijke instructies over hoe die partij de persoonsgegevens mag verwerken waarvoor jij verantwoordelijk bent.

Wanneer je gebruikmaakt van Lundify Workflow, treden wij als leverancier van de software op als verwerker voor jou. Dit geldt bijvoorbeeld wanneer wij je gegevens opslaan via onze cloudservices, of wanneer wij op afstand je computer overnemen of bestanden van je ontvangen voor ondersteuning via onze helpdesk.

Dit betekent dat je een verwerkersovereenkomst met ons moet sluiten. Wij bieden een kant-en-klare verwerkersovereenkomst aan, inclusief bijbehorende informatie. We raden je aan om als verwerkingsverantwoordelijke dit contract met ons af te sluiten.

Persoonsgegevens

Wat wordt er dan precies verstaan onder persoonsgegevens? Een persoonsgegeven is informatie die op zichzelf, of in combinatie met andere gegevens, kan worden gebruikt om een uniek, nog in leven zijnde persoon te identificeren.

Een goed voorbeeld is een burgerservicenummer (BSN), dat op zichzelf al voldoende is om een specifieke persoon aan te wijzen.

Een naam is op zichzelf waarschijnlijk geen persoonsgegeven, omdat meerdere mensen dezelfde naam kunnen hebben. Maar zodra je die naam combineert met een adres en woonplaats, wordt het hoogstwaarschijnlijk wél een persoonsgegeven, omdat de combinatie dan naar een specifieke persoon verwijst.

Verderop wordt per onderdeel van het programma opgesomd welke persoonsgegevens daar worden verwerkt.

Gevoelige persoonsgegevens

Bepaalde categorieën van persoonsgegevens worden aangemerkt als gevoelige persoonsgegevens. Dit betreft informatie over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, seksuele geaardheid of het seksuele leven van een persoon, genetische gegevens, biometrische gegevens en gezondheidsgegevens. Voor deze gegevens gelden nog strengere regels binnen de AVG.

Volgens onze beoordeling zijn er op dit moment geen invoervelden in Lundify Workflow waarin het relevant of noodzakelijk is om gevoelige persoonsgegevens in te voeren.

Persoonsgegevens in het programma

In Lundify Workflow zijn er op meerdere plaatsen velden waarin persoonsgegevens kunnen worden ingevoerd. Daarnaast zijn er op verschillende plekken (zoals basisgegevens, bijlagen, notities, enz.) vrije tekstvelden, waarin mogelijk ook persoonsgegevens zijn opgeslagen. Al deze gegevens vallen onder de AVG en moeten voldoen aan de eisen die deze wet stelt.

Hieronder volgt een overzicht van de velden per programma onderdeel die bedoeld zijn voor persoonsgegevens:

  • Klantenkaart - Te benaderen via het tabblad Klanten en vervolgens door te klikken op Nieuwe klant of op een bestaande klant in de lijst. Op de klantenkaart kun je de volgende persoonsgegevens invoeren:
    • Algemene persoonsgegevens, zoals naam, telefoonnummer, adres en e-mailadres.
    • Aanvullende persoonsgegevens, zoals het land.
    • Identificerende persoonsgegevens, zoals burgerservicenummer of ondernemingsnummer.
    • Financiële persoonsgegevens, zoals informatie over aandelen.
  • Gebruikers - Te vinden via Kantoorinstellingen (het tandwielpictogram in de rechterbovenhoek) onder het tabblad Gebruikers. Hier kun je onder andere de volgende persoonsgegevens invoeren:
    • Algemene persoonsgegevens, zoals naam en e-mailadres.
    • IT-gerelateerde persoonsgegevens, zoals toegangsrechten en gebruikersmachtigingen van gebruikers.

Persoonsgegevens exporteren

Volgens de AVG moet het mogelijk zijn om persoonsgegevens te exporteren in overeenstemming met de vereisten voor dataportabiliteit, en het opvragen van een registeroverzicht (inzagerecht). Beide vereisten worden in Lundify Workflow ondersteund via de functie Exporteer lijst welke aanwezig is vanuit Klanten.

Dataportabiliteit

Dataportabiliteit betekent dat bijvoorbeeld een klant die zijn of haar persoonsgegevens aan een bedrijf heeft verstrekt, het recht heeft om die gegevens in elektronische vorm te ontvangen en deze elders te hergebruiken. Een bedrijf dat deze persoonsgegevens heeft ontvangen, is verplicht om deze overdracht van gegevens te vergemakkelijken op een gestructureerde en toegankelijke manier.

Registeroverzicht

Een registeroverzicht moet altijd schriftelijk worden verstrekt en bevat informatie over welke persoonsgegevens over de aanvrager worden verwerkt, waar deze gegevens vandaan komen, wat het doel is van de verwerking, en aan wie of welke categorieën van ontvangers de gegevens zijn verstrekt. Via het programma kun je de persoonsgegevens van de betreffende persoon exporteren, maar je moet deze aanvullen met documentatie over het doel van de verwerking, enzovoort, omdat deze gegevens niet direct zichtbaar zijn in Lundify Workflow.

Het is jouw verantwoordelijkheid als verwerker van persoonsgegevens om te verifiëren dat het verzoek afkomstig is van de juiste persoon. Er moet dus een vorm van identificatie of verificatie plaatsvinden, bijvoorbeeld via een identiteitsbewijs of een andere beveiligde inlogdienst van het bedrijf.

Om persoonsgegevens te exporteren, klik op de tab Klanten, klik op de blauwe knop linksonder in de hoek. Het programma maakt dan een CSV-bestand aan. Dit bestand vind je vervolgens terug in de map Downloads op je computer. Een CSV-bestand is vooral bedoeld om gebruikt te worden in andere programma’s en is daarmee het meest geschikt als het doel dataportabiliteit is.

Persoonsgegevens verwijderen

Volgens de GDPR mogen persoonsgegevens niet langer worden bewaard dan nodig is voor het doel waarvoor ze zijn verzameld. Dit betekent dat zodra de gegevens niet meer nodig zijn, ze moeten worden verwijderd of geanonimiseerd. Stel dan ook tijdslimieten en routines in voor het verwijderen of anonimiseren van persoonsgegevens en zorg ervoor dat je organisatie geen gegevens langer bewaart dan noodzakelijk.

Je mag alleen persoonsgegevens verwerken als je een geldige juridische grondslag hebt. Er zijn vier gebruikelijke gronden: Toestemming – De klant heeft expliciet ingestemd met de verwerking. Overeenkomst – De verwerking is nodig om een overeenkomst uit te voeren. Wettelijke verplichting – Zoals het bewaren van boekhoudmateriaal gedurende 7 jaar volgens de boekhoudwet, of het indienen van belastingaangiften. Belangenafweging – Jouw belang bij verwerking weegt zwaarder dan het recht van de betrokkene om niet verwerkt te worden, bijvoorbeeld bij direct marketing. Door zorgvuldig met deze gronden om te gaan en actief te verwijderen of anonimiseren, voldoe je aan de eisen van de GDPR.

Anonimisering van gegevens

In het programma kan het soms nodig zijn om persoonsgegevens te anonimiseren, omdat het niet mogelijk is om klanten te verwijderen zolang er historische gegevens aan gekoppeld zijn.

Er is geen ingebouwde functie voor anonimisering – dit moet handmatig gebeuren. Zoek  de betreffende records in het systeem op en verwijder de persoonsgegevens handmatig. Je kunt de oorspronkelijke gegevens vervangen door een aanduiding, zoals "XXX" of een andere notatie naar keuze die aangeeft dat de gegevens geanonimiseerd zijn. De betrokken registers zijn eerder in de handleiding opgesomd.

Beveiliging

Lundify Workflow biedt al geruime tijd sterke bescherming voor gebruikers die in de cloud werken, met versleutelde inlogprocedures en dataverkeer. Elke cloud-database is beveiligd met unieke inloggegevens, zodat gebruikers geen toegang kunnen krijgen tot gegevens van anderen. De servers worden 24/7 bewaakt en beschermd.

Om je persoonsgegevens nog beter te beschermen, zijn aanvullende organisatorische en technische maatregelen genomen, waaronder:

  • Verbeterde interne procedures: De bescherming van je cloud-inloggegevens is aangescherpt.

  • Aangepast opslagbeleid: BL heeft nieuwe richtlijnen opgesteld voor hoe lang klantbestanden bewaard mogen worden tijdens support, foutopsporing of gegevensconversie.

  • Actieve kwetsbaarheidsscans: BL controleert cloud-databases regelmatig met speciale tools op bekende kwetsbaarheden.

  • Versterkte back-upprocedures: De bestaande back-uproutines zijn geëvalueerd en op enkele punten verbeterd.


Gids met label: AVG Persoonsgegevens Gevoelige persoonsgegevens GDPR

Heb je gevonden wat je zocht?

warning Created with Sketch.