AVG en werknemer/inhuur privacy vs administratiesoftware

Nu de AVG wetgeving steeds strenger en strenger wordt vanuit de EU, merk ik dat ik als producent van ERP systemen, voor wat lastige vraagstukken kom te staan.
Mijn klanten geven eigenlijk geen worst om de AVG wetgeving en vinden het alles maar moeilijker maken (omdat ik veel tussenstappen in de software moet maken) maar dat zij er niets om geven, betekent niet dat ik er zonder problemen vanaf zou komen om me er niet aan te houden.

Nu is mijn vraag, wat denken jullie dat opweegt tegen wat?

Om maar enkele voorbeelden te geven;

1 ) Je hebt een ecosysteem tussen 500 bedrijven. Deze wisselen medewerkers uit in diensten om de werkladingen te dekken. Ze sturen de werknemer met al hun certificaten (met pers. info), woonplaats (i.v.m. werknemers dichtste bij de locatie zoeken) door naar elkaar. Nu staat deze info bij b.v. 50 bedrijven.

2 ) Je hebt een contactpersonenboekje. Hierbij heb je foto's, telefoonnummers en e-mailadressen van contactpersonen die je graag makkelijk terugvindt. Deze deel je (net als eerste punt) met andere bedrijven, werknemers op de vloer, etc.

3 ) Je huurt een hele berg ZZP-ers in, je wil natuurlijk de informatie zo compleet mogelijk hebben om redenen in bovenstaande voorbeelden.


----

In theorie (nog nooit gebeurd in de praktijk bij mijn software) kan een ZZP-er of ex-medewerker natuurlijk eisen dat alle persoonlijke informatie uit het systeem wordt verwijderd.

Het vraagstuk is dus, in hoeverre dit opweegt tegenover de administratieve doeleinden van de bedrijven en wat je er dan exact mee moet doen?

Wat zouden jullie zelf doen?"

Iemand zei bijvoorbeeld tegen mij dat ik dan de data moest anonimiseren. Dan denk ik "Prima", maar die data is toch écht gerelateerd aan de administratie en facturatie van de bedrijven welke de administratie doen.
Moest administratie niet sowieso nog 7 jaar worden bewaard vanuit Nederlandse wetgeving/belastingdienst?

Als een adres van een ZZP-er hetzelfde is als zijn thuisadres, en zijn bedrijfsnaam hetzelfde als zijn persoonlijke naam, is dit dan wel persoonlijke informatie? Je kunt er natuurlijk wel de persoon uit traceren.
Zijn bankgegevens persoonlijke informatie, zelfs als het m.b.t. facturatie/betaling is opgeslagen?

Hoe ver moeten we hierin gaan? Waar houdt het op?
Zit het vanzelf goed als je voor iedere informatiedeling een opt-in / akkoord afwacht? Of ben je dan weer de sjaak als ze zich bedenken?

Wat zijn jullie gedachten hierover? Is de AVG wetgeving überhaupt realistisch met dit soort administratieve software?

Ter verduidelijking
Ik doel dus vooral op de situatie waarin iemand dus inderdaad wil dat hun gegevens worden verwijderd.
Mijn vraagstelling is vooral in hoeverre je hierin kunt gaan zonder overlap met de wetgeving van bewaring.

Mijn product voldoet (tot nu toe) prima aan de AVG wetgeving en daar maak ik mij ook geen zorgen over. Ik vraag me af hoe anderen erover denken en er mee omgaan. Ook wil ik wat beter voorbereid zijn voor de mogelijkheid dat iemand dus inderdaad hun persoonlijke gegevens wil verwijderen (Wat zich nog niet heeft voorgedaan) en in hoeverre dit dus botst met administratieve doeleinden. Ik heb wel AVG "experts" in gebruik, maar dat voelt allemaal wat standaard en hier en daar botsende met de realiteit.

[ Voor 12% gewijzigd door NoobishPro op 19-07-2023 20:29 . Reden: Verduidelijking ]

fopjurist schreef op woensdag 19 juli 2023 @ 19:13:
De AVG is al ruim vijf jaar van kracht en in de tussentijd niet gewijzigd. Je hoort op dit moment de verwerking en documentatie op orde te hebben. Hoe groot is jouw rol als producent?

Mijn rol als producent is dat ik het brein achter de hele operatie en het product ben. Ik ben als het ware de architect. Ook ben ik de lead-developer.

De AVG is inderdaad al een tijd van kracht en mijn product is pas na de ingang van de AVG wetgeving gebouwd --- en voldoet ook aan alle huidige eisen. De EU is echter van wat ik begrijp nogal bezig om zaken aan te scherpen en controle te versterken. Ik ben een zekere voor het onzekere type en ben dit soort zaken liever voor. Het is wel zo dat mijn product op dit moment aan data-exchanging veranderingen onderhevig is (op internationaal niveau), waardoor dit soort zaken net wat dringender worden. De experts adviseren mij, maar ik hoor gewoon ook graag meningen van andere developers en mensen met directe ervaring. Tenslotte ben ik degene die de zaken uiteindelijk waar moet maken en moet besluiten welke oplossing waar van toepassing is.

Ik heb experts bij de hand welke actief helpen en advies geven; ik wilde gewoon andere meningen. Daarom is dit ook een discussie topic en geen vraag/antwoord topic =). Mocht ik een idee opdoen vanuit deze tweakers-discussie, ga ik dat uiteraard eerst voorleggen bij said experts.

Tenslotte zijn veel van deze experts zelf geen developers en zijn ze al helemaal niet gewend om te adviseren op producten welke leunen op de samenwerking van de EU, op EU-niveau, welke all-in-one zijn. (van sollicitaties tot directeurs en van tenders en veilingen tot aannames, budgettering, salaris en contracten). In mijn ogen is er niet bepaald zoiets als "genoeg informatie", dus ik hoor graag anderen hun perspectieven.

Ik vind jouw antwoord overigens wel enorm sterk en ben erg dankbaar voor je linkje! Ik heb nu al spijt dat ik erop geklikt heb

fopjurist schreef op woensdag 19 juli 2023 @ 22:47:
[...]

Ik zou het niet als dreiging maar juist als kans zien. Als het met jouw software makkelijk is om aan de AVG te voldoen, is dat goede marketing. Als er voor het eerst data wordt overgestuurd, vraag je bijvoorbeeld wat de grondslag is (zowel bij de verzender als de ontvanger), en log je die. Als de grondslag vervalt, maak je het makkelijk om gegevens te verwijderen.

Dat is in mijn markt he-le-maal geen goede marketing haha.
Mijn gemiddelde gebruiker is een lasser, schoonmaker of bouwvakker. Die geven er allemaal helemaal geen hol om.

De marketing van mijn product, is dat werkelijk alles wat ze nodig hebben binnen 3 clicks/taps gevonden is en ze zich verder vrijwel nergens zorgen over hoeven te maken.

Het hele product is specifiek ingericht om zo min mogelijk informatie op je scherm te hebben (maar toch alles wat nodig is), zo min mogelijk knoppen/acties/afleidingen te hebben, alles gigantisch groot te hebben en nooit te hoeven wachten op het product.

Dankzij de AVG wetgeving hebben we al héél veel extra clicks, acties en uiteraard; instellingen.
Een dikke 98% van onze gebruikers weet niet eens dat er een instellingenpagina bestaat. Een dikke 20% bezit niet eens een smartphone.

We hebben concurrentie ten onder zien gaan, juist omdat ze de AVG wetgeving als marketing gebruikten. Niet zozeer door de marketing zelf (Dat vonden ze nog best interessant, tot op zekere hoogte) maar omdat ze zó veel beveiligingsmaatregelen hadden getroffen, dat er meer communicatie was over hoe mensen de nodige informatie konden krijgen/vinden, dan dat er communicatie was over het werk zelf. Hierdoor zijn ze teruggegaan naar excel en sheets in een chainmail gooien. Dát is mijn doelgroep. De AVG kan ze de pot op.

MatHack schreef op donderdag 20 juli 2023 @ 09:49:
[...]

Zoals de anderen ook al aangeven zijn er verschillende redenen om gegevens te verwerken. Ik heb bijvoorbeeld aan een systeem (met particuliere klanten) gewerkt waarbij persoonsgegevens in dossiers relatief snel verwijderd moest worden, maar (grotendeels) dezelfde gegevens op facturen 7 jaar bewaard bleven.
Daarnaast waren er ook verschillende rollen binnen het systeem welke de beschikbaarheid van de gegevens eerder/later beperkten afhankelijk van je rol (bijv. een uitvoerende medewerker had eerder geen toegang meer tot persoonsgegevens dan een financieel administratief medewerker).
Uiteindelijk zijn dit soort keuzes gemaakt in overleg met de jurische afdeling van de betreffende klant.

Geen idee of bovenstaande ook voor jullie software opgaat, maar ik kan me voorstellen dat een tijdelijke inhuur minder (persoons)gegevens mag/hoeft te zien dan de ondernemer/eigenaar.

Yes, dat klopt. Er zit inderdaad een rolverdeling in en waar wanneer precies wie wat kan zien wordt aardig gemanaged. Voornamelijk persoonsgegevens (adresgegevens, geboortedatums enz) zijn vrijwel nooit inzichtelijk voor de lagere niveaus. Wanneer ze nodig zijn voor verificatie, proberen wij systemen aan te houden waarin het een one-sided check is en de informatie niet leesbaar in beeld hoeft bij mensen. We hebben natuurlijk niet alleen bescherming ivm de AVG maar ook ivm datalekken, wat vanzelfsprekend is.


Je zegt wel heel makkelijk vindt betere experts oid, maar veel zitten zelf nog met veel vraagstukken omtrent de AVG. De AVG is gewoon niet de meest duidelijke wetgeving ooit. Het is dan ook nog relatief jong.
Zoals ik al aangaf begrijpen deze mensen vaak wel wat je moet doen om 100% zeker weten aan de AVG te voldoen, maar hoe realistisch dit is in de praktijk, is wisselvallig.

Ik zit momenteel opzich wel goed met de AVG zaken zoals ik al aangaf, maar wil gewoon anderen hun ervaringen en meningen horen. Daar leer ik gewoon veel van bij =)