In ERP-systemen van Nederlandse bedrijven worden dagelijks grote hoeveelheden data verwerkt. De bescherming van deze deels gevoelige informatie zou dan ook het uitgangspunt moeten zijn. Hieronder gaan we daarom in op gegevensbeschermingskwesties met betrekking tot ERP-software: risico's, AVG-vereisten, gegevensbeschermingsmaatregelen en cloudbeveiliging.
De term gegevensbescherming is in de tweede helft van de 20e eeuw bedacht en wordt soms anders geïnterpreteerd en gedefinieerd. Gegevensbescherming kan onder meer betrekking hebben op de volgende zaken:
In het tijdperk van digitalisering speelt gegevensbescherming een grotere rol dan ooit. Het gaat ontwikkelingen als de ‘transparante mens’, het volledig screenen van mensen en hun gedrag en is bedoeld om iedereen het recht te geven om zelf te bepalen wie welke persoonsgegevens wanneer toegankelijk maakt. Hiermee wordt niet alleen de medemens bedoeld, maar vooral ook in relatie tot instellingen en organisaties of de overheid.
Bedrijven geven ook om gegevensbescherming. Enerzijds gaat de bescherming van bedrijfsgegevens over het beschermen van vertrouwelijke informatie en handelsgeheimen van bijvoorbeeld concurrenten. Aan de andere kant moeten bedrijven ervoor zorgen dat de persoonlijke klantgegevens die ze verzamelen en meestal opslaan in CRM-systemen, veilig worden bewaard.
Binnen de Europese Unie definieert de Algemene Verordening Gegevensbescherming (AVG) uniforme regels voor de verwerking van persoonsgegevens. Het doel van de AVG is enerzijds het beschermen van persoonsgegevens binnen de EU. Anderzijds is de Algemene Verordening Gegevensbescherming ook bedoeld om vrij dataverkeer op de interne markt van de EU te garanderen.
De Algemene Verordening Gegevensbescherming is om verschillende redenen belangrijk voor Duitse bedrijven. Enerzijds moeten ze ervoor zorgen dat de AVG ook intern wordt nageleefd. Tot op zekere hoogte kan dit in eerste instantie extra inspanning met zich meebrengen, hoewel dit door het juiste softwareframework aanzienlijk kan worden verminderd. Aan de andere kant helpen de voorschriften voor gegevensbescherming bedrijven ook om hun eigen gegevens veilig te houden en dus te beschermen.
De Algemene Verordening Gegevensbescherming spreekt van ‘technische en organisatorische maatregelen’ (TOM) waarmee de gedefinieerde principes moeten worden geïmplementeerd.
Technische maatregelen omvatten beschermingspogingen, die ‘fysiek’ in de breedste zin van het woord of via hardware of software kunnen worden uitgevoerd.
Organisatorische maatregelen omvatten beschermingspogingen, die worden uitgevoerd via procedures of instructies.
Zo valt het toekennen van toegangsrechten binnen de eigen ERP-software van het bedrijf onder deze TOM. De meeste ERP-systemen op de markt maken op rollen gebaseerde toewijzing van rechten binnen de gebruikersinterface mogelijk. Beheerders hebben bijvoorbeeld andere rechten om gegevens in te zien en te wijzigen dan eenvoudige gebruikers of gasten.
De zogenaamde "revisiebestendige opslag" of "revisiebestendige archivering" is waarschijnlijk een van de meest genoemde vereisten met betrekking tot gegevensbescherming. In wezen gaat revisiebeveiliging over het beschermen van documenten die het waard zijn om bewaard te worden of die bewaard moeten worden tegen latere wijzigingen en zo manipulatie van de gegevens in het archief te voorkomen. Auditbestendige archivering is vaak een belangrijk onderdeel van het eisenprofiel van een bedrijf voor geschikte DMS-software.
Back-ups behoren tot de meest elementaire gegevensbeschermingsmaatregelen die een bedrijf kan nemen. Het gaat daarbij minder om het beschermen van de gegevens tegen toegang door derden en meer om je eigen herverzekering in geval van nood. Bij verlies van gegevens, bijvoorbeeld door hardwareschade in een lokaal systeem, kunnen de gegevens vanaf een ander medium worden hersteld, mits vooraf een back-up is gemaakt. De back-upgegevens kunnen zich bijvoorbeeld in de cloud bevinden.
Zorgen over gegevensbescherming worden vaak geuit in verband met cloudoplossingen. Dit komt enerzijds door de infrastructuur van de cloud. Kortom, de gegevens die door bedrijven in de cloud worden opgeslagen, staan op internet. Dit betekent echter niet dat ze ook vrij toegankelijk zijn. Aan de andere kant dragen mediaberichten over hackeraanvallen in grote datacenters ook bij aan het feit dat sommige bedrijven zich nog niet in de cloud hebben gewaagd vanwege zorgen over gegevensbescherming. In werkelijkheid blijven verwoestende datalekken en hackeraanvallen met ernstige gevolgen echter zeldzaam, gezien het aantal gebruikers dat hun gegevens in de cloud opslaat.
Het is eerder de media-aandacht die bijdraagt aan de scepsis over de cloud. Grote cloudoperators hebben zowel de expertise als de financiële middelen om hun eigen dataprotectieconcepten up-to-date te houden. Uiteindelijk is het ook in hun belang om zorgvuldig om te gaan met klantgegevens en schandalen te voorkomen. Ze zijn aantrekkelijkere doelwitten voor hackeraanvallen dan een klein, middelgroot bedrijf dat on-premises ERP-software gebruikt.
Een schending van de gegevensbescherming hoeft niet altijd de vorm aan te nemen van een grote hackeraanval, maar kan ook onbedoeld plaatsvinden. In principe is er een verplichting om inbreuken op de gegevensbescherming te melden aan de toezichthoudende autoriteit voor gegevensbescherming in overeenstemming met artikel 33 AVG. Dit geldt niet als het onwaarschijnlijk is dat de schending een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Een inbreuk op de gegevensbescherming kan voor bedrijven erg duur zijn. Afhankelijk van de aard van de boete, moeten bedrijven een boete verwachten van maximaal 10.000.000 euro (of 2 procent van de totale omzet van het voorgaande jaar, indien hoger) of tot 20.000.000 euro (of 4 procent van de totale omzet van het vorige jaar, indien hoger)
Alleen al om deze reden is het de moeite waard om de juiste TOM te nemen en ERP-software en geschikte softwarematige automatisering te gebruiken om de gegevensbescherming in uw eigen bedrijf te beschermen. U kunt gebruikers er bijvoorbeeld aan herinneren om persoonlijke gegevens te verwijderen als een klant gebruik maakt van het "recht om te worden vergeten". ERP-systemen helpen ook om de verzamelde gegevens te allen tijde correct en up-to-date te houden.
Bedrijven die op zoek zijn naar een veilig ERP-systeem kunnen bij het selecteren van een ERP op verschillende criteria letten. De focus kan bijvoorbeeld worden gelegd op cloudproviders waarvan het datacenter zich binnen de Europese Unie bevindt en dus binnen de reikwijdte van de AVG. Specifieke eisen kunnen ook nader worden onderzocht in persoonlijk contact met potentiële leveranciers.