In twee vorige blogs over de GDPR zijn we eerst ingegaan op wat de nieuwe Europese privacywet (in Nederland de Algemene Verordening Gegevensbescherming genoemd en afgekort tot AVG) nu eigenlijk is. In de tweede blog zijn we ingegaan op de praktijk; hoe ga je nu concreet aan de slag met het zorgen dat uw bedrijf voldoet aan de AVG/GDPR. We hebben daarbij het onderstaande stappenplan toegelicht dat door Microsoft is ontwikkeld.
Samenvattend komt het erop neer dat u begint (stap 1) met het in kaart brengen welke persoonsgegevens in uw bedrijf aanwezig zijn. Wanneer binnen uw bedrijf geen persoonsgegevens worden verwerkt, is de GDPR niet van toepassing en ben je snel klaar. Nu zal ieder bedrijf in de praktijk wel persoonsgegevens verwerken; neem bijvoorbeeld alleen al de gegevens van de eigen medewerkers en van de contactpersonen van klanten.
In stap 2 gaat u kijken hoe de aanwezige persoonsgegevens moeten worden beheerd; dus wie toegang tot welke persoonsgegevens heeft, hoe lang persoonsgegevens worden bewaard, etc. Hier hoort ook een risicoanalyse bij; een bedrijf dat medische gegevens van personen bewerkt heeft een hoger risico dan een bedrijf dat alleen NAW-gegevens van de eigen medewerkers bewerkt. De maatregelen die beide bedrijven nemen voor het beheer van deze gegevens, zullen daardoor waarschijnlijk heel verschillend zijn.
Stap 3 draait om het nemen van gepaste veiligheidsmaatregelen. Gepast wil zeggen: passend bij de gevoeligheid en risico’s van de aanwezige persoonsgegevens. Ook zorgt u in stap 3 voor maatregelen en beleid om met datalekken om te gaan.
Tenslotte stap 4; hierin bepaalt u uw beleid hoe om te gaan met verzoeken om inzage of aanpassing van persoonsgegevens, voor controlerapportages of uw processen op orde zijn, etc.
Hoe helpt Microsoft Dynamics NAV mij te voldoen aan de GDPR?
Microsoft heeft in de zogenoemde Cumulative Update (CU) van maart 2018 een aantal mogelijkheden aan Dynamics NAV 2015, 2016, 2017 en 2018 toegevoegd om bedrijven die gebruik maken van Dynamics NAV te helpen voldoen aan de GDPR. Deze nieuwe mogelijkheden kunnen van pas komen bij alle vier de stappen uit het stappenplan.
Microsoft heeft een whitepaper uitgebracht waarin hier uitgebreid op wordt ingegaan.
Deze kunt u hier gratis downloaden (PDF).
In deze blog geven we een samenvatting van de nieuwe mogelijkheden in NAV en geven we aan wanneer u kunt beschikken over deze nieuwe functionaliteit.
Ontdekken en classificeren van persoonsgegevens
Met de CU van maart 2018 is er een “Data Classification” optie beschikbaar in NAV 2015 en hoger. Hiermee kan ieder veld in de NAV database worden geclassificeerd. Zo kan bijvoorbeeld van een veld worden aangegeven dat het klantgegevens bevat, leveranciersgegevens of persoonsgegevens.
Om een voorbeeld te geven: in uw NAV-systeem zou een tabel X aanwezig kunnen zijn met drie velden; Klantnaam, Betaaltermijn en Laatst Gewijzigd door. De eerste twee velden kunnen worden aangemerkt als “klantgegevens”, het derde veld als “persoonsgegevens”.
Met behulp van deze classificatiegegevens is het eenvoudig om een compleet overzicht te krijgen welke tabellen en velden in uw NAV-omgeving persoonsgegevens bevatten.
Als gebruiker van Dynamics NAV kunt u de dataclassificatie aanpassen en verder verfijnen door de gevoeligheid, de “Data Sensitivity”, in te stellen op bijvoorbeeld Bijzonder, Persoonlijk, Vertrouwelijk of Normaal.
Met behulp van de Data Classification en Data Sensitivity instellingen per veld kunt u snel door uw gehele NAV database zoeken, sorteren en filteren om alle persoonsgegevens te vinden; zowel in standaard als in maatwerk tabellen (stap 1 uit het stappenplan). Op basis hiervan kunt u dan bepalen hoe u deze gegevens moet beheren (stap 2) en beschermen (stap 3) en rapporteren (stap 4).
Inrichting van rollen en rechten
Om de gegevens in uw NAV-systeem, inclusief persoonsgegevens, goed te beschermen, is het noodzakelijk gebruikers te laten inloggen met een gebruikersnaam en wachtwoord zodat alleen geautoriseerde gebruikers toegang tot Dynamics NAV hebben. Aan een gebruiker dient een rol te worden gekoppeld die bepaalt welke gegevens de gebruiker kan zien, wijzigen, toevoegen of verwijderen.
De functionaliteit om gebruikers in Dynamics NAV met een wachtwoord te laten inloggen en rollen toe te wijzen is in alle versies van Dynamics NAV aanwezig. Wat u moet doen om te voldoen aan de GDPR is uiteraard het bovenstaande goed inrichten. Maar u zult daarnaast ook een toegangsbeleid moeten opstellen en daarin beschrijven welke rollen binnen uw organisatie zijn, wat iedere rol mag doen en hoe de rollen aan gebruikers worden toegekend (en weer worden afgenomen als dat nodig is). Hierbij hoort ook dat wordt beschreven hoe wordt gecontroleerd dat alle medewerkers de juiste rollen en rechten hebben en wat je doet als dit niet zo blijkt te zijn.
Beschikbaarheid van de dataclassificatie functionaliteit
Hoe krijgt u nu de beschreven dataclassificatie functionaliteit ook beschikbaar in uw Dynamics NAV-omgeving? Voor klanten van WSB Solutions gaat dat als volgt:
Zoals gezegd heeft Microsoft voor NAV 2015 en hoger de genoemde dataclassificatie functionaliteit beschikbaar gemaakt in de CU van maart 2018.
Ieder kwartaal rolt WSB Solutions de laatste updates (CU’s) van Microsoft uit in de Masteromgeving van de twee meest recente door WSB ondersteunde Dynamics NAV versies. Dit zijn nu NAV 2016 en NAV 2018 (NAV 2015 en lager worden dus niet meer door WSB Solutions ondersteund). Minimaal tweemaal per jaar wordt vanuit deze Masteromgeving de Dynamics NAV omgeving van iedere klant geüpdatet. Deze werkzaamheden vallen binnen uw onderhoudscontract.
De planning voor het updaten van alle klantomgevingen met de laatste CU’s, inclusief de dataclassificatie functionaliteit, is de volgende:
• Klanten met een NAV 2018 omgeving: april 2018
• Klanten met een NAV 2016 omgeving: mei 2018
Voor klanten met een NAV 2015 of oudere omgeving geldt dat eerst een upgrade naar NAV 2018 nodig is om de dataclassificatie functionaliteit uit te kunnen leveren.
Wanneer de upgrade is uitgevoerd, is de dataclassificatie functionaliteit beschikbaar in uw NAV-omgeving en kunt u beginnen met het classificeren van alle velden. Hierbij hoeft u slechts een klein deel zelf te doen:
• De classificatie van de standaard NAV-velden wordt door Microsoft gedaan.
• De classificatie van de velden van de WSB Base modules wordt door WSB Solutions gedaan.
• De classificatie van uw eigen klantspecifieke (maatwerk) velden dient u zelf te doen. WSB Solutions zal hiervoor een gebruikersvriendelijke tool ter beschikking stellen.
