Wat zijn de gevolgen van GDPR/AVG voor inkoop?

Posted by John on 7-3-18 13:20

GDPR Banner.jpg

Vanaf 25 mei zijn organisaties wettelijk verplicht om strenge technische en organisatorische maatregelen te treffen zodat persoonlijke gegevens goed beschermd zijn. Wie dit niet op orde heeft kan te maken krijgen met zeer hoge boetes. Het betreft sowieso alle Europese organisaties, maar ook organisaties gevestigd buiten de EU die met de EU zaken doen en gegevens van EU burgers vastleggen.

Het zal u niet zijn ontgaan dat het Europees Parlement voor haar burgers de GDPR (voluit: General Data Protection Regulation) wetgeving heeft aangenomen. In Nederland noemt men deze wetgeving AVG (Algemene Verordening Gegevensbescherming en is de vervanger van Wbp).

De wetten zijn gericht op het beter beschermen van privacygevoelige informatie en geeft de burgers rechten omtrent zijn of haar gegevens en wie die persoonlijke gegevens mag gebruiken. In het kort gaat het om:

- Recht op inzage

  • Wat wordt er van mij vastgelegd?
  • Hoe komt de organisatie hieraan?
  • Met wie worden mijn gegevens gedeeld?
  • Waarom worden deze gegevens vastgelegd, wat is het doel?

- Recht op correctie/verwijdering

- Recht op verplaatsing (het overdragen naar een andere organisatie)

Dit betekent dat u, als organisatie, treffende maatregelen neemt om deze rechten te kunnen faciliteren en waarborgen. Een eerste stap is het realiseren en inventariseren welke persoonlijke gegevens van wie u heeft vastgelegd in welke systemen. Dit betreft al die gegevens die betrekking hebben op ‘persoon herleidbare informatie’. Dit gaat onder meer over genetische, mentale, culturele, economische of sociale gegevens. Maar ook het plaatsen van cookies en het vastleggen van IP-adressen vallen onder de wetgeving.  

Ik benadruk dat het niet gaat om bedrijven, maar om natuurlijke personen. Als voorbeeld heb ik in het volgende plaatje een aantal personen benoemd, die een relatie hebben met deze organisatie en waarvan waarschijnlijk persoonlijke gegevens zijn vastgelegd:

GDPR Personen Belangen.pngVoor het merendeel van de organisaties zal de focus liggen op de persoonsgegevens van klanten (individuele consumenten) en medewerkers. Dit is de reden dat met name de afdelingen Personeelszaken, IT en Verkoop druk zijn met het in kaart brengen van de AVG consequenties.

Vergeet echter het inkoopproces niet!

Voor de afdelingen Finance en Inkoop is het ook belangrijk om zich in de AVG te verdiepen. Het is belangrijk om met andere afdelingen af te stemmen welke persoonlijke informatie waar is vastgelegd.

Het inkoop team en administratie kunnen zich focussen om de medewerkers, inhuurkrachten en toeleverancier en de volgende aspecten hierin mee te nemen:

  1. Benoem alle processen en breng in kaart welke persoonlijke gegevens waar worden vastgelegd en wie deze gegevens kunnen benaderen.
  2. Identificeer binnen de organisatie de ontvangers van persoonlijke gegevens en waar deze gegevens worden verwerkt en vastgelegd. Dit kan heel divers zijn, denk daarbij bijvoorbeeld aan: inhuur van uitzendkrachten, onkostendeclaraties en gebruikers stamgegevens in systemen.
  3. Controleer en identificeer bestaande leverancierscontracten die betrekking hebben op de verwerking van persoonsgegevens en bekijk de bepalingen inzake gegevensbescherming.
  4. Controleer in systemen in hoeverre privacy gevoelige informatie is vastgelegd, bijvoorbeeld vertrouwelijke onkostendeclaraties van medewerkers en bestaande verzekeringspolissen die eventueel betrekking hebben op gegevensbescherming.
  5. Controleer systemen om er zeker van te zijn dat de processen zodanig zijn ingericht dat kan worden voldaan aan de meldingsverplichting datalekken.
  6. Overweeg de risico’s voor de organisatie in bestaande en nieuwe contracten in het kader van de AVG. De financiële en reputatierisico's die de regelgeving met zich meebrengt kunnen het risicoprofiel van contracten wijzigen.
  7. Controleer de AVG-conformiteit bij nieuwe leveranciers. Dwing harde garanties af met betrekking tot de maatregelen die uw leveranciers hebben getroffen.

Ik krijg de laatste tijd vaker de vraag: "Hoe kan dit worden geregeld in Coupa, het Cloud platform voor inkoop en declaraties?"

Hoewel Coupa een van oorsprong Amerikaans bedrijf is, heeft men steeds meer Europese klanten. Coupa neemt de GDPR wetgeving heel serieus en zet hun GDPR compliance aanpak op hun webpagina (https://www.coupa.com/gdpr/) uiteen.

Solmate is de ideale gesprekspartner om uw inrichting van Coupa te beoordelen en te bepalen welke aanpassingen nodig zijn om aan de AVG wetgeving te voldoen.

Benieuwd wat Coupa voor uw organisatie kan betekenen?

Neem dan gerust contact met ons op!

Topics: Coupa, Spend Management

Abonneer voor blog e-mail updates

12 Ways te Measure Spend Management Succes

Onderwerpen

see all

Recente Blogs

Over ons

Solmate is een innovatieve en sterk resultaatgerichte ICT business partner die middelgrote en grote organisaties in uiteenlopende branches helpt bij het optimaliseren van hun financiële processen en resultaten. Als geen ander beschikt Solmate over de hiervoor benodigde kennis, ervaring en snel inzetbare specialisten. Lees meer 

NL: +31 88-122 23 45 
BE: +32 3-685 30 61 
E: info@solmategroup.com

OPLOSSINGEN

Unit4 (CODA) Financials
Unit4 ERP (UBW)
Business Intelligence
Support

MEER INFO

Blogs
Over Ons
Contact

© Copyright Solmate 2023 | algemene voorwaarden | privacy disclaimer | support