GDPR: een nachtmerrie voor elke ondernemer?

De nieuwe wet General Data Protection Regulation – GDPR – is één van de grootste wijzigingen van de afgelopen jaren in de wetgeving van de Europese Unie op het gebied van privacy. Het is voor bedrijven niet makkelijk om er aan te voldoen en de boetes zijn immens! Voor ondernemers die de wet lastig begrijpen, maar er toch verantwoordelijk voor worden gehouden, is deze nieuwe wet een daadwerkelijke nachtmerrie. GDPR, op zijn Nederlands Algemene Verordening Gegevensbescherming – AVG, is iets wat u niet kunt negeren: u moet zich er in verdiepen.

De nieuwe wet GDPR vervangt een oude wet uit 1995 en geeft ondernemers tot 25 mei 2018 de tijd om aan de wet te voldoen. Op deze datum treedt de wet in werking en zal ieder persoon over het recht beschikken om elke organisatie aan te spreken op de richtlijnen van GDPR. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

De 7 principes van GDPR

1. Transparantie: De persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven én kent zijn rechten.
2. Doelbeperking: De persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden.
3. Gegevensbeperking: Enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld.
4. Juistheid: De persoonsgegevens moeten correct zijn en blijven.
5. Bewaarbeperking: De persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
6. Integriteit en vertrouwelijkheid: De persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
7. Verantwoording: De verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Nu we weten waar het over gaat, klinkt het al beter. Maar wat betekent het echter voor uw organisatie? Waar legt u persoonsgegevens in vast: uw oude telefoonboek, uw adressenlijst, in uw – altijd-up-to-date – of mogelijk in een sterk verouderd software pakket? Had u die goede administrateur in dienst? Of de verkoper die alle informatie van de afgelopen 20 jaar over uw klanten en hun medewerkers heeft vastgelegd – inclusief verjaardagen van vrouw en kinderen? Hoe snel wordt oude data uit uw systeem verwijderd? En hoe zorgt u er voor dat het up-to-date blijft?

In deze blog leest u meer over GDPR en helpen wij u een handje met de omgang van deze nieuwe wet. Boltrics is gedreven om nieuwe Microsoft technologie bruikbaar te maken voor logistieke dienstverleners. Voor Microsoft is het top prioriteit geweest om in zeer korte tijd helder te krijgen wat er gedaan moet worden aan de software, aan de procedures én aan de beveiliging. Dankzij deze focus zijn de nieuwe producten voorzien van alle benodigde technologie om te voldoen aan deze wetgeving. Waarmee transparantie, beveiliging en privacy gewaarborgd kunnen worden. Dankzij Boltrics’ altijd-up-to-date filosofie bent u in het afgelopen kwartaal van de laatste update voorzien. Hierdoor bent u al helemaal bij met uw software, waardoor uw – mogelijk belangrijkste – softwarepakket voor de logistiek geen grote aanpassing vereist.

De nieuwe GDPR wetgeving vereist ook een aantal nieuwe regels voor organisaties die goederen en diensten aanbieden aan personen binnen de EU. Het gaat ook over bedrijven die informatie verzamelen voor analyses, ook als ze niet in de EU gevestigd zijn. Hier een aantal extra regels:

• Verbeterde persoon privacy rechten: Op aanvraag moeten individuen kunnen zien welke data verzameld is door een bedrijf, om fouten te corrigeren of delen te verwijderen.
• Verhoogde beveiliging: Met name bij persoonlijke informatie moet duidelijk zijn wie waarom toegang heeft.
• Verplichte melding van inbraken: Bedrijven zijn verplicht om zo snel mogelijk, maar uiterlijk binnen 72 uur na het ontdekken van een hack dit te rapporteren aan de overheid.
• Zeer hoge boetes: Als men niet voldoet aan GDPR wetgeving.

Om deze wetgeving goed te begrijpen, is het belangrijk om na te gaan waarover deze wet gaat. Persoonlijke- en gevoelige informatie gaat natuurlijk over naam, adres en e-mailgegevens. Echter gaat GDPR verder: IP-gegevens en mobile device ID-gegevens tellen ook mee. Zelfs locatiedata valt onder deze wet. Om gemakkelijker aan de wet te voldoen kan data anoniem worden gemaakt, maar dan wordt de data onbruikbaar. Het is beter om data zo te coderen dat er op veel plekken enkel verwezen wordt naar een ‘token’ of kenmerk. Dat kan bijvoorbeeld een anoniem contactnummer zijn zonder naam. Overal waar persoonsgegevens niet nuttig zijn, staat enkel het contactnummer. Via dit nummer kan een geautoriseerd persoon dan altijd achterhalen over welk contact het gaat – inclusief naam en adres. Dit kan nog verder gaan door een encryptiesleutel te gebruiken.

Binnen uw software

Ook in uw logistieke applicatie is er data te vinden over personen. Als we dan naar GDPR kijken en de software Nekovri Dynamics en 3PL Dynamics, is de applicatie functionaliteit de verantwoording van de software bouwer. Microsoft levert alle tools om hier goed mee overweg te gaan. De data zelf, het gebruik én zichtbaarheid hiervan binnen uw organisatie, is de verantwoordelijkheid van u als organisatie. Belangrijke onderdelen om te bekijken zijn:

• Klant, Leverancier en contact data: Dit is data die vastgelegd wordt in enkele van de meest gebruikte tabellen binnen Microsoft Dynamics. Deze tabellen kunnen data bevatten die onder de GDPR wetgeving valt.
• Gebruikers-/inloggegevens: Voor het gebruik van de applicatie en scanapplicaties, evenals voor mobile devices worden er inloggegevens vastgelegd.
• Betalingsgegevens: Afhankelijk van waar u in de logistieke keten zit, kan het zijn dat u ook creditcard gegevens van klanten opslaat. Zodra dit kan worden gelinkt aan een persoon – in plaats van aan een bedrijf – valt dit onder de GDPR wetgeving.

Om ervoor te zorgen dat u kunt voldoen aan GDPR, adviseert Microsoft een bepaald stappenplan te doorlopen:

1. Onderzoek: Bepaal welke persoonlijke data u waar vastlegt.
2. Beheren: Bepaal wat u daarvan nodig heeft en wie toegang heeft.
3. Beveiligen: Zorg voor juiste beveiliging, zodat niet iedereen er toegang toe heeft.
4. Rapporteren: Leg vast wat u doet als iemand toegang vraagt om zijn eigen data te zien, hoe u eventuele lekken rapporteert, en welke documentatie u nodig heeft.

Boltrics kan u helpen

Kortom: er is genoeg te doen! Boltrics kan u helpen bij de volgende belangrijke zaken:

• De software up-to-date houden zodat u alle mogelijkheden hebt binnen de software om te voldoen aan de juiste wetgeving.
• Wij kunnen informatie van Microsoft met u delen. Microsoft steekt veel tijd en energie in kennis en onderzoek om data te beschermen. Daarmee komt er veel handige informatie beschikbaar.
• Instellen van rollen en rechten en hoe u hiermee gegevens kunt afschermen voor een deel van uw organisatie.
• Het opschonen van historische informatie. Het is belangrijk om oude data wat onder GDPR valt op tijd te verwijderen of anoniem te maken. Boltrics kan u helpen bij analyse, opschoning én het anoniem maken van data. Historische overzichten die u gebruikt binnen Power BI hoeven hiervan niet ten koste te gaan.
• Op aanvraag kunnen we trainingen verzorgen en inzicht geven in allerlei details van Microsoft.

Kortom: de GDPR deadline van 25 mei 2018 nadert, dus het is tijd voor actie! Samen met Microsoft is Boltrics zeer gedreven u te helpen en om te vertellen wat deze wetgeving voor u betekent en hoe u eraan kunt voldoen.

Check bijvoorbeeld hier of uw Microsoft Dynamics-omgeving voldoet aan de eisen met de GDPR assessment.

Meer weten?

Wilt u graag meer informatie over hoe Boltrics u kan bijstaan bij deze nieuwe wetgeving? Stuur dan een e-mail naar info@boltrics.nl.