Het zal u niet ontgaan zijn dat sinds 25 mei jongstleden een nieuwe verordening is ingevoerd omtrent gegevensbescherming. De Algemene Verordening Gegevensbescherming (AVG) geldt voor alle Nederlandse bedrijven. In dit artikel leggen we per thema uit hoe QicsMilestones omgaat met de AVG en hoe QicsMilestones per gebruiker persoons- en of bedrijfsgegevens vastlegt.
1. Het vastleggen van persoonsgegevens.
Welke persoonsgegevens (kunnen) worden vastgelegd in QicsMilestones? Dat verschilt per gebruiker. Hieronder vindt u beknopt beschreven wat per gebruiker vastgelegd wordt.
Gebruikers
Om een persoon toegang te geven tot QicsMilestones maakt u een gebruiker aan. Deze gebruiker wordt geïdentificeerd met zijn e-mailadres en krijgt daarnaast een wachtwoord.
Autorisatie gebruikers
Wanneer u een extern systeem aan QicsMilestones koppelt (zoals bijvoorbeeld Exact Online), geeft u QicsMilestones toegang tot uw profiel bij dat externe systeem. Wij slaan van dit profiel alleen het e-mailadres of de gebruikersnaam op en het autorisatietoken waarmee wij namens de gebruiker in kunnen loggen op de externe service. Zie het kopje ‘synchronisatie’ verderop in dit document voor een uitleg van de gegevens die wij synchroniseren.
Medewerkers
U kunt een gebruiker koppelen aan een medewerker. Een medewerker is een persoon met een bepaalde rol binnen uw organisatie. Van een medewerker kunnen meer gegevens worden vastgelegd, zowel direct op de medewerkerskaart als indirect via de planning of de urenregistratie.
• Naam van de medewerker
• Gegevens met betrekking tot de dienstbetrekking en functie (manager, afdeling, functie, kostenplaats, aantal uren per week, budget, start- en einde dienstverband en competenties)
• Financiële gegevens (commercieel uurtarief en kostprijs per uur, maar ook de gewerkte uren)
• Gegevens met betrekking tot verlof en ziekte (er kan afgeleid worden wanneer iemand ziek is geweest, of wanneer iemand verlof heeft opgenomen)
• Locatiegegevens (uit de urenregistratie kan de locatie van de medewerker worden afgeleid)
Relaties
Binnen QicsMilestones kunnen ook relaties worden vastgelegd. Dit zijn de relaties waarvoor u projecten uitvoert en aan wie u de projecten factureert.
Niet alle ‘relaties’ gegevens zijn noodzakelijkerwijs ook persoonsgegevens, maar als uw klanten eenmansbedrijven, ZZP’ers of particulieren zijn, zijn de gegevens van deze relaties wel aan te merken als persoonsgegevens. Van relaties kunnen de volgende gegevens worden vastgelegd:
• Bedrijfsnaam
• Naam contactpersoon
• Fysiek adres, postadres, e-mail, telefoonnummer
• Bedrijfsidentificatie (KvK nummer, BTW nummer)
• Financiële gegevens (tarieven, facturen)
Opmerkingen en extra velden
Binnen QicsMilestones kunt u op diverse plekken een opmerkingenveld gebruiken. Zo kunt u bijvoorbeeld opmerkingen plaatsen bij het boeken van uren. In theorie is het daarom ook mogelijk in dit veld persoonlijke informatie te verwerken over de relatie of de medewerker.
Daarnaast biedt QicsMilestones de mogelijkheid extra velden toe te voegen aan diverse stambestanden, waaronder de medewerkers en de relaties. Ook met deze velden is het mogelijk om persoonsgegevens vast te leggen (u kunt bijvoorbeeld zelf een veld ‘BSN nummer’ definiëren bij de medewerker).
Vanuit Qics raden wij af om persoonsgegevens op te nemen in de opmerkingenvelden of in extra velden. Doet u dit toch, dan dient u als verantwoordelijke van deze gegevens ook de nodige maatregelen te nemen om deze gegevens af te schermen van ongeautoriseerde toegang en om de rechten van betrokkenen te waarborgen.
2. Het verzoek om inzage en data portabiliteit. Medewerker/relatie
Wat zijn uw rechten op de data die QicsMilestones beheert en hoe komt u hierbij? U kunt een verzoek om inzage van een persoon als volgt afhandelen binnen QicsMilestones. (De instructies zijn gebaseerd op de HTML interface van QicsMilestones)
Medewerker (basisgegevens)
• Ga naar ‘organisatie / medewerkers’
• Zoek de betreffende medewerker en selecteer deze
• Klik nu op export boven in de werkbalk
• U ontvangt een Excel bestand met de basisgegevens van de medewerker
Medewerker (tarieven)
• Ga naar ‘organisatie / medewerkers’
• Zoek de betreffende medewerker en selecteer deze
• Open de medewerker
• Klik op de tabbladen ‘tarief’, ‘kostprijs tarief’ en ‘tarieven per artikel’ en maak van elk scherm een schermafdruk
Medewerker (uren)
• Ga naar ‘rapporten’
• Open het rapport ‘uren per week per medewerker’
• Selecteer de juiste medewerker
• Zet bij ‘vanaf’ een datum in het verleden (bv. 1-1-2000)
• Klik op ‘openen’
• QicsMilestones genereert een pdf bestand met alle ingevoerde uren en onkosten
Relatie (basisgegevens)
• Ga naar ‘organisatie / relaties’
• Zoek de betreffende relatie en selecteer deze
• Klik nu op ‘export’ boven in de werkbalk
• U ontvangt een Excel bestand met de basisgegevens van de relatie
Relatie (facturen)
• Ga naar ‘facturen’
• Filter de relatie (in het veld ‘ factuurdebiteur’)
• Filter de status op ‘verwerkt’
• Zorg dat de overige filters leeg zijn
• Klik nu op ‘download gegevens’ boven in de werkbalk
• U ontvangt een ZIP bestand met de XML gegevens van elke factuur
Verzoek om correctie
Medewerker (basisgegevens)
• Ga naar ‘organisatie / medewerkers’
• Dubbelklik op de betreffende medewerker
• Bewerk de gegevens van de medewerker en sla deze op
Medewerker (uren)
• Een medewerker kan zijn eigen uren corrigeren zolang deze uren nog niet zijn goedgekeurd.
• Wanneer de uren zijn goedgekeurd kan deze goedkeuring ongedaan gemaakt worden zolang de uren nog niet zijn gefactureerd (o.a. via het scherm ‘ goedkeuren weekstaat’)
• Wanneer de uren reeds zijn gefactureerd is het aanpassen van de uren van een medewerker mogelijk via correctieboekingen of door de factuur eerst terug te draaien of te crediteren
Relatie (basisgegevens)
• Ga naar ‘organisatie / relaties
• Dubbelklik op de betreffende relatie
• Bewerk de gegevens van de relatie en sla deze op
Relatie (facturen)
• Facturen kunnen worden aangepast zolang ze nog niet zijn verstuurd
• Na versturen kunt u een creditnota en een nieuwe debet factuur aanmaken
Verzoek tot verwijderen
Medewerker (basisgegevens)
• U kunt een medewerker alleen verwijderen als deze medewerker nog niet gebruikt wordt in het systeem (bv. in planning, uren of facturen)
• Wanneer de medewerker al wel wordt gebruikt kunt u hem/haar pas verwijderen nadat alle gerelateerde records ook zijn verwijderd. Als u QicsMilestones gebruikt voor de facturatie is dit waarschijnlijk niet mogelijk. De wettelijke bewaartermijn voor facturen is 7 of 10 jaar. Als een medewerker niet verwijderd kan worden, kunt u de gegevens van een medewerker wel anonimiseren (zie kopje Anonimiseren)
Medewerker (uren)
• U kunt via het ‘productie’ scherm alle uren van een medewerker selecteren en verwijderen. Dit zal alleen lukken als de uren niet gefactureerd zijn. Uw enige optie is dan wederom om de medewerker te anonimiseren.
Relatie (basisgegevens)
• Ga naar ‘organisatie / relaties
• Selecteer de relatie en verwijder deze
• Analoog aan de beschrijving van de medewerker is het niet mogelijk een relatie te verwijderen als deze al gebruikt wordt in bijvoorbeeld de uren of facturen.
Relatie (facturen)
• Facturen verwijderen gaat alleen via een aantal stappen. Denkt u daarbij ook aan de wettelijke bewaarplicht van 7 of 10 jaar op facturen.
• Selecteer alle facturen die u wilt verwijderen
• Maak de verwerking van deze facturen ongedaan
• Verwijder de facturen
Anonimiseren
Medewerker (basisgegevens)
• Ga naar ‘organisatie / medewerkers’
• Dubbelklik op de betreffende medewerker
• Anonimiseer de gegevens van de medewerker en sla deze op
Relatie (basisgegevens)
• Ga naar ‘organisatie / relaties
• Dubbelklik op de betreffende relatie
• Anonimiseer de gegevens van de relatie en sla deze op
Beveiligen
Om uw QicsMilestones omgeving te beveiligen raden wij u aan de volgende maatregelen te nemen bij het gebruik van QicsMilestones:
- Zorg voor sterke wachtwoorden. QicsMilestones stelt minimum eisen aan een wachtwoord, maar u kunt wachtwoorden altijd nog sterker maken. Vraag medewerkers ook unieke wachtwoorden te gebruiken en hetzelfde wachtwoord niet voor meerdere accounts te gebruiken.
- Zorg er verder voor dat wachtwoorden persoonlijk zijn en blijven. Vraag uw medewerkers om hun wachtwoorden niet met anderen te delen, maar maak bijvoorbeeld gebruik van de functies voor delegeren binnen QicsMilestones.
- Geef medewerkers alleen rechten op de gegevens die noodzakelijk zijn vanuit hun functie.
- Maak zo mogelijk gebruik van 2 factor authenticatie. Deze functie wordt binnenkort beschikbaar binnen QicsMilestones en biedt een extra beveiligingslaag bovenop uw naam en wachtwoordcombinatie.
Meldplicht datalekken
U kunt binnen QicsMilestones uw functionaris gegevensbeveiliging vastleggen. In het geval van een datalek of een aanval op uw gegevens zullen wij deze persoon als eerste informeren.
• Ga naar ‘organisatie / bedrijven'
• Klik op het tabblad 'Gegevensbescherming'
• Selecteer de medewerker die binnen uw organisatie geïnformeerd moet worden
3. Het synchroniseren van gegevens. (medewerker/relatie)
Wanneer uw gegevens in QicsMilestones worden gesynchroniseerd vanuit externe systemen zoals Exact Online of Twinfield, dan worden deze gegevens gesynchroniseerd onder een gebruikersaccount dat u heeft bij het externe systeem. U heeft bij het inregelen van de koppeling toestemming gegeven tot het gebruik van uw gegevens.
U blijft zelf verantwoordelijk voor de gegevens die u synchroniseert. U dient daarom ook bij het externe systeem na te gaan of uw beleid ten aanzien van de persoonsgegevens gewaarborgd is. In de praktijk heeft u dus ook een verwerkersovereenkomst met de externe partij. Zodra de gegevens zich in QicsMilestones bevinden geldt de verwerkersovereenkomst die u met Qics heeft en vallen de gegevens onder ons privacy- en informatie beveiligingsbeleid.
Meer informatie
Privacy beleid Qics
https://www.qics.nl/privacy/
Vragen?
Stuur een e-mail naar support@qics.nl
Wilt u meer weten over de AVG in het algemeen?
Raadpleeg dan als belangrijkste bron de site van de autoriteit persoonsgegevens https://autoriteitpersoonsgegevens.nl/nl. Daarnaast is op internet veel te vinden over de (gevolgen van) de AVG.
Opmerkingen