In het webinar werd benadrukt dat privacy een gedeelde verantwoordelijkheid is, verdeeld over drie rollen:
- De verwerkersverantwoordelijke (de klant):
Jij bepaalt welk doel de data heeft en hoe deze wordt ingezet. De klant blijft eigenaar van de data en is verantwoordelijk voor meldingen bij de AP. - De verwerker (AFAS):
AFAS voert opdrachten uit voor de klant en is verantwoordelijk voor de beveiliging en beschikbaarheid van het platform. - De subverwerker (bijv. Leaseweb):
De partij die de fysieke hosting verzorgt onder strikte contractuele afspraken met AFAS.
De wetgeving staat niet stil. De nieuwe Omnibus-voorstellen kunnen in de toekomst zorgen voor wijzigingen in de meldtermijn van datalekken en strengere regels voor cookies. Daarnaast zorgt de AI Act voor kaders rondom hoog-risico toepassingen van AI, zoals profilering en emotieherkenning op de werkvloer.
Een ander urgent punt is de geopolitieke afhankelijkheid van de VS. Omdat Amerikaanse wetgeving plotseling kan veranderen, kiest AFAS er bewust voor om data van Jonas (de AI-functionaliteit) en de reguliere data binnen de Europese Unie te hosten.
Privacy moet praktisch werkbaar zijn. AFAS ondersteunt je op de volgende manieren hierbij:
- Management Tool:
Het specifiek kenmerken van privacygevoelige velden zodat je grip houdt op wie welke data ziet. - Bewaartermijnen en Verwijdersets:
Het geautomatiseerd klaarzetten van gegevens (zoals sollicitanten of oud-medewerkers) die verwijderd moeten worden conform de wet. - Mutatie-logging:
Inzicht houden in wie, wanneer en waarom gegevens heeft gewijzigd.
Hoewel de techniek veel regelt, blijft de menselijke factor het grootste risico. De volgende stappen zijn essentieel:
- Beperk interne autorisaties:
Geef medewerkers alleen toegang tot gegevens die strikt noodzakelijk zijn voor hun functie. - Vermijd gratis AI-tools:
Gebruik geen gratis varianten van tools zoals ChatGPT voor werkdoeleinden; deze gebruiken jouw data om hun modellen te trainen. - Zorg voor herhaling:
Privacy-awareness is geen eenmalige actie. Blijf het onderwerp bespreken op de werkvloer via trainingen en dialoog. - Gebruik een gepseudonimiseerde testomgeving:
Maak in Profit (vanaf Profit 8) gebruik van de mogelijkheid om omgevingen automatisch te anonimiseren voor testdoeleinden.
Privacy is een proces van de lange adem waarbij de organisatie zelf aan het roer staat, ondersteund door de juiste techniek en scherpe afspraken.
- Alles valt of staat met autorisaties.
Dit is echt de kern van je privacyhuishouding. Verbergen is niet hetzelfde als autoriseren. URL’s kunnen worden geraden; als je autorisaties niet goed staan, kan informatie alsnog zichtbaar zijn. - Gebruik workflows voor datalekken.
Workflows zijn een krachtige manier om het juiste proces af te dwingen, juist op momenten dat je wil kunnen leunen op procedure. Met een workflow voor je datalekproces zorg je dat de juiste mensen op het juiste moment met de juiste informatie kunnen schakelen. Zo blijf je in control in de hectiek van een datalek. Bovendien bouw je automatisch een audittrail op waarmee je kunt aantonen dat de juiste stappen tijdig zijn uitgevoerd. - Gebruik Beheersmaatregelen (Control Framework) om je privacywerkzaamheden te structureren.
Tijdens het webinar noemden we functies zoals verwijderen via de verwijderset en bewaartermijnen. Dit zijn acties die je handmatig moet starten. Zet daarom repeterende taken via Beheersmaatregelen in, zodat de juiste medewerker periodiek een taak krijgt en vastlegging wordt afgedwongen. Met de combinatie van Beheersmaatregelen en Bestemming bij dossier kun je bovendien eenvoudig een register opbouwen voor datalekken, privacyvragen en andere relevante onderwerpen (zoals risico’s). Koppel de juiste beheersmaatregelen aan je workflows voor duidelijk inzicht en overzicht per onderdeel van je privacyframework.
|
Kijk het hele webinar terug