Financial Controllers Series - Houd je data veilig met uitgavenbeheersoftware: een checklist voor Financial Controllers

Oké, het ene bedrijf zal vaker met dreigingen te maken krijgen dan de ander, maar toch zal databeveiliging voor ieder bedrijf aan de top van het prioriteitenlijstje moeten staan.

En als je het zelf niet doet, dan doet de overheid wel voor je. Met een aantal belangrijke wetten en regels dwingt de overheid je als bedrijf tot het beveiligen van de persoonsgegevens van medewerkers, leveranciers en klanten. De belangrijkste en meest bekende hiervan is de Algemene Verordening Gegevensbescherming (AVG), die betrekking heeft op de verwerking van de persoonsgegevens van iedere EU-burger.

Door de steeds strenger wordende wet- en regelgeving moet je als bedrijf steeds scherper zijn op hoe met data wordt omgegaan. Ook krijg je hier als financial controller steeds vaker mee te maken, omdat de scheidingslijn tussen IT en finance ieder jaar vager wordt. Omdat je analytisch sterk bent en processen snel doorgrond, word je waarschijnlijk snel aangekeken als het gaat om het in kaart brengen en verder beveiligen van datastromen. Omdat het best lastig kan zijn om je door dit landschap op een comfortabele manier te bewegen, willen we je hierbij graag helpen. Daarom hebben we een checklist opgesteld met alles waar je rekening mee moet houden als jij als financial controller met jouw bedrijf aan een gedegen gegevensbeveiliging wilt voldoen.

Naast alles wat je zelf kan doen is er ook allerlei software beschikbaar die jou hierbij kan helpen. De uitgavenbeheersoftware van Payhawk biedt jou de mogelijkheid om dit eenvoudig te regelen, door met één druk op de knop te beheren wie welke data mag zien, je van een gedegen audit trail te voorzien, en de manier waarop de software van Payhawk beveiligd is. In deze checklist zullen we deze en andere toepassingen verder toelichten, zodat jij precies weet op welke manier jij hulp kunt inschakelen bij het beveiligen van de data in jouw bedrijf.

Wat is de AVG?

Allereerst is het natuurlijk goed om te weten wat de AVG precies inhoudt, om vervolgens in te gaan op hoe je het beste met deze wet- en regelgeving kunt omgaan. De AVG is de Nederlandse interpretatie van de General Data Protection Regulation (GDPR) van de Europese Unie. Dit betekent dus dat je deze AVG checklist ook kan zien als een GDPR checklist, toegespitst op de Nederlandse situatie.

De AVG is zo ontworpen dat het de rechten omtrent privacy van iedere EU-burger vastlegt en zijn of haar positie steeds verder probeert te beschermen. Als jij EU-burgers mag rekenen tot jouw collega’s of medewerkers, leveranciers en/of klanten, dan zou je dus op zijn minst moeten weten hoe je hier het beste mee kunt omgaan. Als je je als organisatie niet aan de AVG houdt, en je krijgt een controle van de privacywaakhond, dan kun je hiervoor een aanzienlijke boete krijgen. Ook moet je kunnen aantonen dat je je aan de AVG-principes houdt, als je hierom gevraagd wordt. Alle reden dus om goed op de hoogte te zijn van wat je kunt doen om hier mee om te gaan.

De AVG checklist: alles wat je moet weten om persoonsgegevens te beveiligen

1 - Verwerk enkel gegevens die noodzakelijk zijn voor de bedrijfsvoering

Nog voordat je gegevens gaat verwerken en opslaan, is het goed om je te bedenken waarom. De AVG vertelt namelijk dat je enkel gegevens mag opslaan waar een duidelijk doel voor is. Als we dit betrekken op finance & control, kun je denken aan de volgende situaties:

• Voor de accountantscontrole heb je natuurlijk van iedere transactie een onderbouwing nodig, dus dit is een goede reden om een factuur of bon te archiveren.
• Of wil je als bedrijf een betaalkaart uitgeven die op naam van een medewerker staat, dan zal je hiervoor de volledige naam van de medewerker moeten opslaan.
• Door de Belastingdienst ben je verplicht om onderbouwing van bepaalde financiële transacties te kunnen aanleveren. Hieronder valt ook het uitbetalen van het salaris. Om een volledige onderbouwing hiervan te kunnen geven moet je kunnen aantonen waarom je iemand een bepaald salaris hebt uitbetaald, waarmee je een geldige reden hebt om persoonsgegevens op te slaan.

Allemaal goede redenen om persoonsgegevens op te slaan. Ook is er software beschikbaar die jou kan helpen de afweging te maken. De software van Payhawk vraagt daarom enkel om gegevens die absoluut noodzakelijk zijn om een transactie compleet te kunnen maken. Zo zal een betaalkaart altijd op naam worden uitgegeven, en daarom word je door de software verplicht deze op te geven. De software zal je echter nooit naar een huisadres, gehuwde status of privé-situatie van iemand vragen, omdat deze gegevens misschien wel handig, maar niet noodzakelijk zijn voor het uitgeven van een zakelijke betaalkaart.

2 - Wees transparant over welke gegevens worden opgeslagen

Naast dat je je bedenkt of er een goede reden is om gegevens op te slaan, moet je ook aan de betrokkene in kwestie kunnen laten zien waarvoor de gegevens gebruikt gaan worden. Je kunt hiermee beginnen door een heldere privacyverklaring te plaatsen op je website. Even een voorbeeld: die van ons, Payhawk, kun je hier vinden. Omdat de website voor iedereen toegankelijk is, kan iedereen die zaken met je wil doen simpelweg de privacyverklaring op de website lezen. Hiermee informeer je iedereen die daar behoefte aan heeft over wat er met zijn of haar gegevens gebeurt, en kan niemand voor verrassingen komen te staan.

Hierbij is het ook goed om op te merken dat je bij veranderingen in dit beleid iedereen die hiermee te maken gaat krijgen tijdig en duidelijk geïnformeerd moet worden. Als jij proactief handelt kan niemand je later verwijten dat je niets gecommuniceerd hebt, waarmee je er ook voor zorgt dat alle stakeholders precies weten wat er met hun data gebeurt.

In de software van Payhawk zit een geïntegreerde privacyverklaring, die je hier kunt vinden. Er zijn verschillende systemen beschikbaar die je helpen door geautomatiseerde communicatie naar gebruikers te sturen, zodat ze altijd op de hoogte zijn van wat er met hun gegevens gebeurt.

3 - Zorg dat je passende technische maatregelen treft om gegevens te schermen

Je bent verplicht om als bedrijf passende technische maatregelen te treffen om gegevens te beschermen. We snappen allemaal dat je niet een lijst met namen, adressen en het salaris van medewerkers wilt bijhouden in een Excelletje op een laptop die niet beveiligd is met een wachtwoord, maar wat zijn dan wel passende maatregelen?

Allereerst is het belangrijk om gebruik te maken van een encryptie (zoals de TLS 1.2 en industrie-standaard AES-256 die het platform van Payhawk gebruikt), beveiligde netwerken en regelmatig back-ups te maken van gegevens. Door daarnaast ook enkel toegang te geven tot gegevens aan personen waarvoor dit noodzakelijk is, zorg je ervoor dat er geen mensen aan de haal gaan met gegevens die dit voor de bedrijfsvoering van jouw organisatie helemaal niet nodig hebben. Door regelmatig beveiligingsaudits uit te voeren om de naleving hiervan te checken en eventuele lekken op te sporen en te dichten, zorg je ervoor dat jouw organisatie up-to-date blijft wat betreft een goede, veilige datahuishouding.

Ook kan een goede uitgavenbeheeroplossing je helpen met het voldoen aan deze beveiligingseisen. Met de ingebouwde beveiliging in het platform van Payhawk, kun je vrij gemakkelijk aantonen dat je een gedegen gegevensbeveiliging hebt. Daarnaast krijg je met Payhawk de mogelijkheid om gebruikers specifieke rollen toe te wijzen, waarmee je in de hand hebt wie welke gegevens in kan zien. Hiermee kun je borgen dat alleen de personen die écht toegang nodig hebben bij de gegevens kunnen.

Ook is het belangrijk om dit regelmatig intern te controleren. Doormiddel van een interne controle kun jij jouw eigen bedrijf op de proef stellen, en nagaan of gegevens nauwkeurig, betrouwbaar en veilig zijn. Ook kun je op deze manier controles van buitenaf voor blijven. Zo is ook Leon Steenbrink, CFO van Mercell Nederland, erg te spreken over net die extra beveiliging die Payhawk biedt: “Een samenvatting van de voordelen van Payhawk is eigenlijk een combinatie van efficiëntie en extra controle, en ik ben blij met beide, want dat is wat we nodig hebben in de financiële wereld.”

4 - Wees je bewust van de rechten van de betrokkenen

Er zijn een aantal grondrechten vastgelegd in de AVG waar je beslist rekening mee moet houden. Zo is er het recht op inzage en rectificatie, wat inhoudt dat individuen het recht hebben om te weten welke gegevens een organisatie over hen heeft, en ook het recht hebben een correctie van incorrecte gegevens aan te vragen. Daarnaast bestaat er het recht op gegevenswissing, oftewel het recht om vergeten te worden. Mensen kunnen vragen om hun persoonlijke gegevens te laten verwijderen, wat natuurlijk best een reële vraag is als zij op geen enkele manier meer verbonden zijn met jouw organisatie. Het laatste recht wat voor jou relevant is, is het recht op gegevensoverdraagbaarheid. Dit recht verteldt dat individuen het recht hebben hun gegevens op te vragen in een standaard format, waarmee ze deze kunnen overdragen naar een andere dienstverlener.

Nu je weet welke rechten er zijn vastgelegd in de AVG snap je vast dat je je data op een gestructureerde manier wil opslaan. Stel, iemand vraagt je om alle gegevens die je van hem of haar hebt, of iemand vraagt om ‘vergeten te worden’? Dan wil je natuurlijk wel zonder al te veel moeite alle gegevens van iemand boven water kunnen halen. Hierom wil je alles op een goede en gestructureerde manier opslaan. Anders is het zoeken naar een speld in een hooiberg…

5 - Zorg voor een goede documentatie van het proces rondom de verwerking van gegevens

Een van de belangrijkste principes die is vastgelegd in de AVG is de verantwoordingsplicht. Als organisatie moet je niet alleen voldoen aan de AVG, je moet dit ook kunnen verantwoorden. Allereerst is het daarom goed om vast te leggen hoe jouw organisatie omgaat met de verwerking van gegevens. Welke afdeling mag nieuwe leveranciers opvoeren? Hoe wordt er omgegaan met persoonsgegevens bij het onboarden van een nieuwe collega? En waar worden gegevens opgeslagen als er een nieuwe klant binnenkomt via jullie website?

Door alle stappen die hierbij komen kijken, duidelijk vast te leggen in een procesbeschrijving kun je eenvoudig aantonen hoe er is nagedacht over het verwerken van gegevens. Ongetwijfeld dat alle data die je verzamelt van klanten, medewerkers en leverancier digitaal wordt opgeslagen. Daarna moet je ook kunnen aantonen dat je je daadwerkelijk aan dit proces houdt. Het belangrijkste hulpmiddel hiervoor is het bijhouden van een audit trail. Door het systeem zo in te richten dat je altijd kan zien wie zich wanneer met een transactie beroerd heeft, kun je altijd aantonen wat er precies met bepaalde gegevens gebeurd is.

Om je hierbij te helpen kun je gebruik maken van een uitgavenbeheertool zoals Payhawk. Met Payhawk kan je vrij eenvoudig de volledige reis van een transactie volgen in de vorm van een audit trail. Bij iedere stap staat de tijd en de naam van de gebruiker die de data beroerd heeft. Als je vervolgens ook de juiste integratie kiest met je ERP-pakket, kan je al deze data ook inzichtelijk krijgen in je ERP-pakket. Zo houd je de volledige audit trail ten allen tijde compleet, en kun je aantonen dat je je houdt aan het proces en daarmee de AVG.

Ben jij onderdeel van een groeiend bedrijf en twijfelen jullie nog over welke ERP integratie voor jullie geschikt is? Dan helpen we je graag op weg met dit ebook (klik hierboven). In dit ebook vind je alles wat je nodig hebt om als bedrijf de juiste keuze te maken wat betreft jullie software-landschap. Per type bedrijf en fase van groei zal dit verschillen, en daarom is het als organisatie verstandig om hier goed over na te denken.

Blijf in gesprek

Zoals je in dit artikel hebt kunnen lezen is het enorm belangrijk om je bewust te zijn van de AVG. Omdat je in de finance veel met data werkt, is het voor jou als financial controller goed om op de hoogte te zijn van de wetten en regels die de AVG voorschrijft. In dit artikel hebben we je de belangrijkste manieren verteld waarop jij ervoor kunt zorgen dat jouw organisatie voldoet aan de eisen omtrent het beveiligen van data.

Het beste wat je kunt doen is het gesprek blijven voeren. Zowel met je klanten, leveranciers als je medewerkers, om hen op de hoogte te houden van de gegevens die je bewaart en hoe hiermee wordt omgegaan. Maar ook het blijven spreken met je collega’s is natuurlijk enorm belangrijk. Door het gesprek aan te gaan kunnen jullie als organisatie beslissen of de gegevens essentieel zijn voor de bedrijfsvoering, waarmee jij kunt voldoen aan de AVG. Verder hebben we ook verteld hoe je als organisatie kunt voldoen aan eventuele verzoeken van werknemers, klanten of leveranciers zoals het opvragen van hun gegevens, het vergeten van hun gegevens of het aanvragen van een correctie van incorrecte gegevens..

Zo kan Payhawk jou helpen met het voldoen aan wet- en regelgeving

Om op een efficiënte manier gehoor te kunnen geven aan de verzoeken van klanten, leveranciers en medewerkers met betrekking tot hun persoonsgegevens wil je ervoor zorgen dat deze persoonsgegevens op een veilige en gestructureerde manier worden opgeslagen. En dit is waar de uitgavenbeheersoftware van Payhawk goed in is. Ook helpt Payhawk je met het bijhouden van een uitgebreide audit trail, waarmee je altijd kunt aantonen dat je je aan het vastgestelde proces, en daarmee ook de AVG, houdt. Door daarna ook te kiezen voor de juiste ERP-integratie kun je voldoen aan de databehoeften van jouw organisatie, en ervoor zorgen dat jouw bedrijf klaar is voor groei. Wil jij meer weten over hoe Payhawk jou kan helpen met het voldoen aan alle wetten en regels die worden voorgelegd door de AVG? Boek dan een demo, waarin we je graag hierin meenemen.