GDPR/AVG: Hoe persoonsgegevens in Unit4 Financials anonimiseren?
Over de nieuwe regelgeving GDPR AVG is al heel veel gecommuniceerd. En toch is nog lang niet alles even duidelijk wat er moet, kan en mag. In deze blog ga ik dieper in op de mogelijkheid om oude persoonsgegevens te anonimiseren in Unit4Financials.
Voor meer informatie over GDPR/AVG verwijs ik naar mijn vorige blog: “Impact van GDPR / AVG op Unit4 Financials (Coda)”. Volgens de GDPR/AVG moeten persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren en mag deze informatie niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij wordt verwerkt.
Oude persoonsgegevens verwijderen
Na een bepaalde periode ontstaat dus de wettelijke verplichting om oude persoonsgegevens te verwijderen uit uw financiële systeem. Vanaf versie 14 release 4 biedt Unit4 hiervoor een voorziening. Extract uit de releasenotes 4 “Element Anonymisation:
- This will remove records of personal data from any Audit Trail records.
- This will remove records of personal data from an element's history record
This is to meet General Data Protection Regulation (GDPR) requirements”.
Extern archiveren
In oudere versies van Unit4 financials wordt deze mogelijkheid niet geboden. Persoonsgegevens van klanten, medewerkers en leveranciers worden meestal bijgehouden op een element. AVG betreft natuurlijke personen, maar bij leveranciers kunnen bijvoorbeeld ook contactpersonen opgeslagen zijn.
Het is mogelijk dat persoonsgegevens bijgehouden worden bij transacties, bijvoorbeeld in commentaarvelden. In dit geval raden wij aan om deze informatie extern te archiveren via de gebruikelijke archiveringsfunctie in Unit4 Financials. U kunt dan bijvoorbeeld kiezen voor alle documenten die niet ouder zijn dan 7 jaar en die betrekking hebben op nog niet afgesloten jaren.
Eenmaal extern gearchiveerd kunnen oude klant-, leveranciers- en medewerkers-elementen verwijderd worden als er geen boekingen meer uitgevoerd zijn of nog te verwachten zijn??. Sommige bedrijven willen beslist niet extern archiveren. Een oplossing kan dan zijn om persoonsgegevens op het element te anonimiseren als er aan bepaalde voorwaarden is voldaan. Voorwaarden kunnen zijn:
- Geen open posten meer op de klant
- Laatste 5 jaar geen transacties meer op het element
- …
Anonimiseren in testomgeving
Deze criteria moeten duidelijk bepaald worden. Op basis van deze criteria kan een script geschreven worden zodat de persoonsgegevens geanonimiseerd worden. Denk hierbij aan naam-, adres-, bank- en mandaatgegevens. Voor debiteurcode D12345 wordt de naam dan bijvoorbeeld geanonimiseerd in “Naam_D12345”, etc.
Het anonimiseren van alle persoonsgegevens kan ook gebruikt worden voor de testomgeving. Bij bepaalde bedrijven wenst men persoonsinformatie te verbergen in de testomgeving omdat dan medewerkers testen die normaal geen toegang hebben tot de gegevens van klanten. Bepaalde vertrouwelijke gegevens zodanig anonimiseren dat alles toch goed getest kan worden (bijv. een geldig bankrekeningnr.), kan door een soortgelijk script te schrijven.
Miek Willemsen
14 jaar bij Solmate en ik werk hier nog steeds even graag dankzij de familiale sfeer, teamgeest en gemotiveerde hardwerkende collega's. Ik haal veel voldoening als ik voor een klant weer een succesvolle oplossing heb ingericht.