W H I T E P A P E R AVG en inkoopfactuurverwerking: wat moet je weten? FEBRUARI 2018 whitevision.nl
Inmiddels heb je vast wel gehoord van de Algemene Verordening Gegevensbescherming (AVG) ook wel bekend als de General Data Protection Regulation (GDPR) die vanaf 25 mei 2018 van kracht zal zijn. Wat je misschien niet weet is dat deze nieuwe wet óók van toepassing is op inkoopfactuurverwerking en het routeren van inkomende documenten. Denk maar eens aan de persoonsgegevens die zijn opgenomen in leasefacturen, reisdeclaraties en urenbriefjes. Hierop kunnen bijvoorbeeld kentekennummers, creditcardgegevens en locatiegebonden persoonsinformatie staan: gevoelige zaken die relevant zijn in het kader van de AVG. Hoe ga je hiermee om? AVG: prangende vragen, heldere antwoorden In dit whitepaper leggen we stapsgewijs uit wat het verband is tussen de AVG en inkoopfactuurverwerking. Na het lezen ervan weet je wat persoonsgegevens zijn, wat het verwerken van persoonsgegevens inhoudt, wie er verantwoordelijk is en wie de verwerker is. Ook leggen we uit hoe gegevensverwerking er voor WhiteVision en zijn klanten uit komt te zien vanaf mei 2018. AVG: het wat en waarom In de afgelopen jaren is privacy een zeer heikel euvel geworden. In het tijdperk van big data zijn mensen steeds banger dat organisaties met hun informatie aan de haal gaan. De AVG is in het leven geroepen om ervoor te zorgen dat persoonlijke en gevoelige gegevens van mensen niet zomaar worden gebruikt in processen waarvan zij niet op de hoogte zijn. Deze Europese wet is al in 2016 in werking getreden, maar vanaf 25 mei 2018 zal hij ook worden gehandhaafd. Als je persoonsgegevens verzamelt, zal je vanaf die datum dus moeten voldoen aan de regels van de AVG. Het is raadzaam om hier voldoende aandacht aan te besteden. Doe je dit niet, dan kun je namelijk boetes krijgen die oplopen tot vier procent van de jaaromzet! Wat zijn de meest ingrijpende veranderingen? Wat zijn de grootste wijzigingen waarmee je als bedrijf rekening moet houden vanaf 25 mei 2018? We zetten ze voor je op een rij: 1. Personen hebben het recht om te worden vergeten. Wanneer iemand je vraagt om zijn of haar persoonsgegevens te wissen en jij kunt geen geldig tegenargument geven, moet je dit verzoek kunnen inwilligen. 2. Je dient burgers transparantie te bieden door hen op een begrijpelijke manier te informeren over de manier waarop jouw bedrijf data verzamelt en verwerkt. 3. Als je onverhoopt te maken krijgt met een datalek, ben je verplicht om dit binnen 72 uur te melden. Je bent alleen van deze meldplicht ontheven als je kunt aantonen dat het lek géén gevaar vormt voor de verzamelde persoonsgegevens. 4. Personen hebben het recht om hun gegevens te laten verwijderen of corrigeren. Daarnaast moeten zij kennis van zaken hebben, zodat ze specifieke, ondubbelzinnige en vrij bepaalde toestemming kunnen geven. Dit betekent dat je altijd precies dient uit te leggen wat er met de verstrekte persoonsgegevens zal gebeuren.
5. Verwerkende organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen om gegevens te verwerken. En het moet voor burgers net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. De AVG en inkoopfactuurverwerking: een stapsgewijze uitleg Hoe relevant is de AVG voor onze organisatie? Het is de hamvraag binnen menig bedrijf. Het antwoord is simpel: werk je met persoonsgegevens, dan moet je rekening houden met de nieuwe wet. Hieronder leggen we je stap voor stap uit wat de impact van de AVG is op inkoopfactuurverwerking en hoe je hiermee om kunt gaan. Wat zijn persoonsgegevens? In de basis kun je spreken over persoonsgegevens enerzijds en generieke gegevens anderzijds. Uit de AVG komt naar voren dat persoonsgegevens a) informatie bevatten over een natuurlijke persoon die b) identificeerbaar is. Punt a omvat voor de hand liggende gegevens, zoals iemands naam, geboortedatum, adres en geslacht, maar ook zaken waar je misschien minder snel aan denkt het IQ of opleidingsniveau van een persoon, bijvoorbeeld. Informatie van een onderneming kan eveneens persoonsgegevens bevatten: gefilterde winstgegevens en informatie over de waarde van een auto kunnen iets zeggen over het inkomen van de ondernemer. Punt b is complexer dan je misschien denkt. Als je de naam van een persoon weglaat, kun je niet zomaar stellen dat hij of zij niet-identificeerbaar is. Je zal de persoonsgegevens bijvoorbeeld ook moeten versleutelen. Een persoon is namelijk al identificeerbaar zodra zijn of haar identiteit redelijkerwijs en zonder onevenredige inspanning kan worden vastgesteld. Of een persoon al dan niet identificeerbaar is, hangt geheel af van de specifieke omstandigheden. Verwerken van persoonsgegevens: wanneer is dit relevant? Er is al sprake van de verwerking van persoonsgegevens zodra je, al dan niet door een computersysteem te gebruiken, feitelijke macht of invloed kunt uitoefenen over de betreffende gegevens. Of je dit wel of niet doet, maakt dus niet uit en het is niet voldoende om een verklaring op te stellen waarin staat dat je geen invloed zult uitoefenen over de gegevens. Vraag je je af wat het verwerken van persoonsgegevens precies inhoudt? De AVG geeft enkele voorbeelden. Zo verwerk je persoonsgegevens als je deze: + Verzamelt, vastlegt en ordent; + Bewaart, bijwerkt en wijzigt; + Opvraagt, raadpleegt en gebruikt; + Verstrekt middels doorzending; + Verspreidt of op enige andere manier ter beschikking stelt; + Samenbrengt of met elkaar in verband brengt; + Afschermt, uitwist of vernietigt.
Let op: dit zijn slechts enkele voorbeelden. Ook andere handelingen kunnen onder de verwerking van persoonsgegevens vallen! Uiteindelijk moet het feitelijke handelen worden getoetst aan de hierboven gegeven omschrijving van verwerking. Je zou kunnen stellen dat je bij het gebruik van een oplossing voor inkoopfactuurverwerking gegevens verwerkt door middel van doorzending, aangezien een persoonsgegeven door de software wordt gehaald om vervolgens naar de klant te worden doorgezonden. Wie is er verantwoordelijk? De verantwoordelijke is degene die het doel en de middelen van verwerking vastlegt vanuit een formeeljuridische bevoegdheid. Hoewel er wordt gesproken van een persoon, hoeft dit niet altijd degene te zijn die feitelijk de beslissingen neemt. De verantwoordelijke kan net zo goed een rechtspersoon of bestuursorgaan zijn. Is het niet vast te stellen wie de formeel-juridische bevoegdheid draagt, dan gaat het tweede criterium op: de verantwoordelijke is dan de persoon aan wie je de verwerking moet toerekenen naar de maatstaven die in het maatschappelijke verkeer gelden. In het geval van WhiteVision zal onze klant van rechtswege doorgaans worden beschouwd als verantwoordelijke, omdat deze de eigenaar van de gegevens is. Wij bieden onze oplossing aan, maar leveren de gegevens zelf niet in. Doordat klanten onze oplossing gebruiken, krijgen wij weliswaar toegang tot persoonsgegevens, maar wij verkrijgen daarmee niet het eigendom hiervan. Wie is de verwerker? Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, is de verwerker. Deze persoon staat niet onder rechtstreeks gezag van de verantwoordelijke. Waar de klant van WhiteVision als verantwoordelijke wordt beschouwd, zal WhiteVision dus worden gezien als de verwerker. Wij verwerken immers de gegevens voor onze klanten, maar staan niet onder hun gezag. Gegevensverwerking: WhiteVision en zijn klanten Gelet op alle hierboven uitgelegde zaken hebben wij ervoor gezorgd dat onze gegevensverwerking per 25 mei 2018 volledig aan de AVG zal voldoen. Daarnaast houden we er rekening mee dat de AVG steeds wordt aangescherpt en aangevuld. Indien nodig laten we contracten daarom periodiek toetsen op de meest recente eisen die de AVG stelt.
Gebruik je de oplossing van WhiteVision, dan zal het proces er vanaf mei 2018 als volgt uitzien: Wij ontvangen een document van jou, waarin persoonsgegevens staan van jouw werknemers of klanten. Dit betekent dat jij de verantwoordelijke bent en dat je dus toestemming moet hebben van de betreffende werknemers of klanten om hun persoonsgegevens te verwerken. Afhankelijk van de specifieke situatie kán dit overigens evident zijn aan het type relatie tussen jou en je klanten of werknemers. Dit wil zeggen dat gegevensverwerking die nodig is om aan een wettelijke plicht te voldoen zoals het (laten) opstellen van een salarisstrook is toegestaan zónder expliciete toestemming te hebben verkregen. Wij bewerken de gegevens die je aan ons verstrekt vervolgens uit hoofde van een verwerkersovereenkomst en mogen alleen generieke of geanonimiseerde gegevens verstrekken aan derden. In deze verwerkersovereenkomst tussen WhiteVision en jou, onze klant, zal aandacht worden besteed aan het doel waarmee wij de persoonsgegevens bewerken. Wij digitaliseren de aangeleverde documenten bijvoorbeeld zonder deze inhoudelijk te bewerken. De verwerkersovereenkomst bestaat náást de huidige contracten die we al met je hebben gesloten en zal dus een apart document zijn. Blijven profiteren van jouw oplossing voor inkoopfactuurverwerking? Zoals je in dit whitepaper hebt kunnen lezen, is de AVG een stuk veelomvattender dan veel mensen denken. Werk je met een oplossing voor inkoopfactuurverwerking ten behoeve van efficiëntieverhoging en tijdbesparing, dan is het belangrijk dat je werkt met een partij die zich grondig heeft verdiept in de nieuwe regelgeving. Zo kom je goed beslagen ten ijs en kun je blijven profiteren van alle voordelen die een dergelijke oplossing met zich meebrengt! Heb je vragen naar aanleiding van dit whitepaper? Dan kun je natuurlijk altijd even contact met ons opnemen. We beantwoorden je vragen graag. Disclaimer Wij hebben dit whitepaper gepubliceerd voor informatieve doeleinden. Je kunt geen rechten ontlenen aan de informatie die we in dit whitepaper hebben verstrekt. Evenmin kun je ons aansprakelijk stellen indien er, ondanks ons zorgvuldige (voor)onderzoek, onjuiste en/of onvolledige informatie voorkomt in dit document. WhiteVision WhiteVision helpt organisaties makkelijker én prettiger te werken met oplossingen waarmee inkomende documenten snel en eenvoudig digitaal worden verwerkt. WhiteVision biedt zowel lokale als cloud-oplossingen voor alle branches en bedrijfsgroottes. Telefoon 076 560 78 20 Mail info@whitevision.nl Website www.whitevision.nl Volg ons