0318-830376 info@docco.nl

Er is al enorm veel geschreven over AVG en waarschijnlijk kom je al op zo’n punt dat je ‘AVG-moe’ aan het worden bent en dat is te begrijpen. Je begint ook te beseffen dat het veel verder rijkt dan alleen een verwerkersovereenkomst met je softwareleverancier of het per abuis versturen van een e-mail naar de verkeerde ontvanger. Zelfs multifunctional leveranciers pretenderen ‘AVG-ready’ te zijn… Huh? AVG-ready, een kopieerapparaat? Je vraagt je af of het niet doorslaat…

Voor softwarelevanciers is de uitdaging groot: hoe wis je data uit een database als hier nog allerlei verwijzingen naar zijn? Denk bijvoorbeeld aan een klant met onboarding workflow of geboekte uren, facturen, noem maar op. Gelukkig worden er vandaag de dag al heel wat hulpmiddelen geboden om een groot deel goed op orde te krijgen. Kijkend naar AFAS ben ik heel blij dat hierin grote stappen zijn gezet en dat dit open gecommuniceerd wordt. Daarin neemt AFAS zichtbaar het voortouw. Van het verwijderen van cliënten tot het afschermen van (bijzondere) persoonsgegevens en het bieden van inzicht in het gebruik van velden in AFAS.

Ik merk het aan de vragen die bijna dagelijks gesteld worden dat kantoren nu vooral bezig zijn in het in beeld brengen van de data: welke gegevens verwerk ik nu eigenlijk, wat staat waar opgeslagen en mag ik die data wel bewaren? Ondertussen wordt er ook nagedacht over: hoe borg ik nu alles? Brancheverenigingen bieden goede handvatten, maar je hebt ook uitstekende tools in huis om processen mee te registreren. Ik deel een aantal suggesties…

Verwerkersovereenkomst digitaal verstrekken

Je bent als accountants- of administratiekantoor in veel gevallen verwerker van persoonsgegevens. Hierdoor zullen cliënten steeds vaker om een verwerkersovereenkomst vragen, of deze aan jou aanbieden ter ondertekening. Begrijpelijk dat zij willen weten hoe er met hun persoonsgegevens wordt omgegaan, maar nog beter als je ze vóór bent! Zo laat je zien dat je hun privacy serieus neemt en hiervoor maatregelen hebt getroffen.

TIP: maak in AFAS een Profit Document als sjabloon aan en genereer voor al je cliëntondernemers in een keer een samengevoegde brief. Deze wordt per cliënt in het dossier geplaatst en wanneer je een portaal gebruikt, automatisch aangeboden aan de cliënt voor akkoord. Omdat het om een bindende afspraken gaat zal deze door beide partijen (kantoor en cliënt) idealiter ondertekend moeten worden. Je kunt hiervoor uitstekend de AFAS Signing Service gebruiken. Let er dan wel op dat je naast het e-mailadres van de cliënt ook het mobiele nummer hebt vastgelegd van de tekeningbevoegde voor de uitgebreide authenticatie. Alternatief kan zijn om de cliënt te laten accorderen middels een workflowactie. In de historie vind je de uitgevoerde actie dan altijd terug.

TIP 2: besteed ook aandacht aan het bericht wat je uitstuurt naar cliënten om de overeenkomst te ondertekenen. Vermeld hierin waarom je dat doet, welke maatregelen je op hoofdlijnen hebt getroffen en hoe eenvoudig de ondertekening digitaal kan plaatsvinden. Dan zien de cliënten hier ook de toegevoegde waarde van in!

Melding datalek

Belangrijk onderdeel van de AVG is de uitbreiding in de registratie van datalekken. Élk datalek zal vastgelegd moeten worden in een register. Hiervoor zijn modellen in omloop, maar waarom niet eenvoudig registreren als workflow via AFAS InSite? Je zult zeer waarschijnlijk al een kantoorpagina hebben met (hopelijk) de kantoorvisie, laatste nieuwtjes en belangrijkste handboeken. Een prima plek om hier een knop toe te voegen: Meld datalek intern. Dan worden de juiste personen binnen de workflow op de hoogte gesteld en handel je de meldingen gestructureerd af.

AFAS levert binnenkort overigens ook een workflow uit voor de registratie van datalekken. Handig om deze te gebruiken! Al zal je natuurlijk wel goed moeten kijken of de workflowstappen aansluiten op jouw kantoororganisatie.

Voorbij met de e-mail

De aandacht voor privacy maakt mensen ook meer en meer bewust van het gebruik van e-mail. Vertrouwelijk of niet, alles kwam via de mail binnen. Inmiddels is dat wel anders! Althans, zou jij je paspoort nog naar iemand durven mailen? Of verzend jij als kantoor nog de loonstroken zonder extra beveiliging naar je medewerkers (of die van cliënten)?

Mocht je toch in de categorie vallen waarbij vertrouwelijke gegevens nog gemaild worden, zorg er dan in elk geval voor dat de bijlagen voorzien zijn van een wachtwoord. Voor jaaropgaven en loonstroken is dit via AFAS Payroll eenvoudig in te stellen of via een import collectief in te lezen (vergeet het importbestand niet te verwijderen 😊). Helaas biedt AFAS op het moment van schrijven nog geen ESS voor medewerkers van cliënten (nog even geduld!), maar voor een veilige communicatie met je klanten kun je natuurlijk wel goed gebruik maken van Payroll Cloud.

Voor de uitwisseling en accordering van documenten kennen we natuurlijk al lange tijd het klantportaal van AFAS: OutSite. Ik merk de laatste tijd dat steeds meer kantoren dit gaan gebruiken. Enerzijds voor een efficiënt proces: de aangiften en publicatiestukken worden digitaal goedgekeurd, waardoor akkoordverklaringen en allerhande overzichten niet meer nodig zijn én er direct aan Digipoort wordt aangeleverd. Anderzijds vindt er steeds meer uitwisseling van bestanden plaats – voornamelijk IB-gerelateerde documenten – doordat het nu mogelijk is meerdere bijlagen in een keer op te slaan binnen één dossieritem.

De documenten komen intern bij de verantwoordelijke terecht in de takenlijst. Omdat de bestanden direct zijn opgeslagen bij de cliënt, is het filen van de bestanden overbodig geworden. Win-win!

Nog een voordeel is dat als een cliënt een verzoek op verwijdering zou indienen, je niet meer je mailbox hoeft door te worstelen om zaken te wissen, maar enkel het dossier in AFAS hoeft te checken.

Vertrouwelijke gegevens

Heb jij inmiddels goed in beeld wat in AFAS is opgeslagen als bijzonder persoonsgegeven? Dat is nog wel eens de moeilijkheid van ERP: je kunt alle gegevens opslaan die je maar wilt, maar wat is er allemaal zichtbaar voor medewerkers? Voor de gegevensvelden die AFAS standaard meelevert en een vertrouwelijk karakter hebben, is inmiddels een overzicht beschikbaar om inzicht te bieden welke gegevens waar gebruikt worden. Erg nuttig om eens kritisch naar te kijken!

Ongetwijfeld heb je vrije velden aangemaakt die niet in dit overzicht voor komen. Controleer welke velden dit zijn en geef hierop aan of dit een bijzonder persoonsgegeven betreft en waarom. Realiseer je dat je wel een uitzondering moet hebben om deze gegevens uberhaupt te mogen verwerken, dat mag niet zondermeer. Denk eventueel aan vrije velden met het BSN. Alhoewel het geen bijzonder persoonsgegevens al zodanig is, dien je het wel als zodanig te behandelen.

Een iets lastigere klus is de autorisatie van dossieritems. Bovenstaand overzicht laat dat namelijk niet zien, maar is natuurlijk wel minstens zo belangrijk: wie kan bij welke documenten? Als je een kopie ID opslaat voor de WWFT (wat op zichzelf onder de AVG al voldoende gespreksstof geeft) is het wel van belang dat dit gebeurt in een dossiertype waarop ook de vertrouwelijkheid is ingesteld. Deze documenten worden dan niet getoond in het overzicht van alle dossieritems, maar alleen als je ook toegang hebt tot de bestemming.

Hierbij zijn een aantal punten cruciaal:

  1. Gebruikt iedereen de juiste dossiertypes voor het opslaan van vertrouwelijke documenten?
  2. Zijn de documenten voldoende afgeschermd via het autorisatiefilter? Of kan iedereen ‘overal bij’?

Het hoeft natuurlijk geen probleem te zijn dat medewerkers de identiteitsbewijzen kan inzien, maar als het niet nodig is, dan wil je dit uitschakelen. En documenteer dit ook direct, zodat je kunt aantonen dat je op dit punt maatregelen hebt getroffen.

Handig hulpmiddel: zet het in!

De veelzijdigheid en flexibiliteit van AFAS, maakt dat je AFAS prima kunt inzetten om het te laten meewerken in de voorbereidingen naar AVG-compliancy. Kom je er niet aan toe om hier zelf mee aan de slag te gaan? Met de kennis en kunde van zowel AFAS, de accountancybranche én de AVG help ik je graag vooruit!

Jorrit Vermeulen. Adviseur IT & Verandermanagement bij DOCCO

Update 1-5-2018:
Yes! Ik lees net tijdens het plaatsen van de blog dat AFAS de twee-stapsauthenticatie gaat uitrollen. Zijn je klantgegevens mooi extra beschermd!

Share This