Privacy en AFAS: Grip op data in een veranderende wereld
Waarom privacybewustzijn nu aandacht en actie vraagt
De drie pijlers van verantwoordelijkheid
In het webinar werd benadrukt dat privacy een gedeelde verantwoordelijkheid is, verdeeld over drie rollen:
- De verwerkersverantwoordelijke (de klant):
Jij bepaalt welk doel de data heeft en hoe deze wordt ingezet. De klant blijft eigenaar van de data en is verantwoordelijk voor meldingen bij de AP. - De verwerker (AFAS):
AFAS voert opdrachten uit voor de klant en is verantwoordelijk voor de beveiliging en beschikbaarheid van het platform. - De subverwerker (bijv. Leaseweb):
De partij die de fysieke hosting verzorgt onder strikte contractuele afspraken met AFAS.
Actualiteit: AI, de Omnibus-voorstellen en de VS
De wetgeving staat niet stil. De nieuwe Omnibus-voorstellen kunnen in de toekomst zorgen voor wijzigingen in de meldtermijn van datalekken en strengere regels voor cookies. Daarnaast zorgt de AI Act voor kaders rondom hoog-risico toepassingen van AI, zoals profilering en emotieherkenning op de werkvloer.
Een ander urgent punt is de geopolitieke afhankelijkheid van de VS. Omdat Amerikaanse wetgeving plotseling kan veranderen, kiest AFAS er bewust voor om data van Jonas (de AI-functionaliteit) en de reguliere data binnen de Europese Unie te hosten.
Software als bondgenoot
Privacy moet praktisch werkbaar zijn. AFAS ondersteunt je op de volgende manieren hierbij:
- Management Tool:
Het specifiek kenmerken van privacygevoelige velden zodat je grip houdt op wie welke data ziet. - Bewaartermijnen en Verwijdersets:
Het geautomatiseerd klaarzetten van gegevens (zoals sollicitanten of oud-medewerkers) die verwijderd moeten worden conform de wet. - Mutatie-logging:
Inzicht houden in wie, wanneer en waarom gegevens heeft gewijzigd.
Tips voor concrete actie
Hoewel de techniek veel regelt, blijft de menselijke factor het grootste risico. De volgende stappen zijn essentieel:
- Beperk interne autorisaties:
Geef medewerkers alleen toegang tot gegevens die strikt noodzakelijk zijn voor hun functie. - Vermijd gratis AI-tools:
Gebruik geen gratis varianten van tools zoals ChatGPT voor werkdoeleinden; deze gebruiken jouw data om hun modellen te trainen. - Zorg voor herhaling:
Privacy-awareness is geen eenmalige actie. Blijf het onderwerp bespreken op de werkvloer via trainingen en dialoog. - Gebruik een gepseudonimiseerde testomgeving:
Maak in Profit (vanaf Profit 8) gebruik van de mogelijkheid om omgevingen automatisch te anonimiseren voor testdoeleinden.
Privacy is een proces van de lange adem waarbij de organisatie zelf aan het roer staat, ondersteund door de juiste techniek en scherpe afspraken.
3 tips van Privacy Officer Viktor na het webinar:
|
Meer weten?
Kijk het hele webinar terug
Privacy en AFAS: hoe ga je om met autorisatierollen, AI en tools tegen actuele risico's op datalekken?