AVG wetgeving & Salesforce

AVG wetgeving (GDPR)
14 maart 2018
Evenementen administratie klantcase
17 oktober 2018

AVG wetgeving & Salesforce

Nog niet heel erg bekend met de nieuwe GDPR / AVG wetgeving? Klik hier om te lezen wat de GDPR / AVG inhoudt.

Binnen de GDPR wordt er onderscheidt gemaakt tussen de verwerkingsverantwoordelijke en de verwerker.

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Voldoet uw Salesforce inrichting al aan de nieuwe AVG wetgeving?

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Verwerking is een zeer ruim begrip. Van verwerking is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist.

Wanneer u gebruik maakt van Salesforce dan is Salesforce volgens de wet een verwerker. Als verwerkingsverantwoordelijke dient u zich ervan te verzekeren dat de verwerker conform de wettelijke richtlijnen met de persoonlijke gegevens om gaat. Maar hoe doet u dat? Uw eigen ICT infrastructuur en organisatie kunt u relatief eenvoudig laten auditen, bij cloudoplossingen kunt u dat niet zomaar. Immers u heeft geen toegang tot de achterliggende technische infrastructuur, interne procedures of personeelsbeleid.

Providers van clouddiensten hebben er alle belang bij dat hun diensten veilig en betrouwbaar zijn. Één goede misser op dat vlak en de reputatie schade kan zo groot zijn dat het bedrijf zijn activiteiten wel kan staken. Niet verwonderlijk dat Salesforce de bescherming van gegevens en privacy zeer serieus neemt, of zoals ze het zelf zeggen: “Trust is our #1 value”. Zie ook Trust.Salesforce.com .

GDPR/AVG Wetgeving

Salesforce was het eerste top-10 softwarebedrijf in de wereld met Binding Corporate Rules voor bewerkers die zijn goedgekeurd door de Europese authoriteiten. Salesforce was tevens één van de eerste bedrijven in de wereld die zich certificeerde voor het EU-US Privacy Shield.

Via de Salesforce websites zijn veel resources te vinden die inzage in de compliance van Salesforce. Belangrijk is het hierbij wel te beseffen dat niet voor alle Salesforce producten dezelfde mate van compliance geldt. Deze link biedt een overzicht van alle certificeringen per product. Hierin is te zien dat Salesforce voor de Salesforce Services (Sales Cloud, Service Cloud, Community Cloud Chatter, Force.com, Site.com en Database.com) ISO 27001, ISO 27018, BCR en Privacy Shield gecertificeerd is.

Salesforce beschikt dus over een behoorlijk aantal certificeringen die aantonen dat ze de informatiebeveiliging goed op orde hebben en dat ze kunnen voldoen aan de Europese regels voor internationaal dataverkeer. Een officiële certificering voor GDPR compliance bestaat echter niet. Er is geen ISO norm voor.

Om het voor bedrijven mogelijk te maken dat zij aantoonbaar goede afspraken met Salesforce hebben gemaakt, biedt Salesforce een verwerkersovereenkomst in de vorm van een Data Processing Addendum.

Let wel dit addendum wordt genoemd in de standaard overeenkomst, maar is pas bindend wanneer beide partijen dit getekend hebben. Salesforce heeft op voorhand al getekend, maar u doet er goed aan de procedure tot activatie volledig te doorlopen.

Dat Salesforce de GDPR serieus neemt blijkt ook uit het feit dat ze hun klanten actief willen helpen GDPR compliant te worden. Via de Salesforce site vindt u onder andere een link naar een GDPR module in de online leeromgeving van Salesforce.

Gegevensbeveiliging binnen Salesforce

Met alleen een aantoonbaar compliant verwerker voldoet u nog niet automatisch aan de GDPR. Het Salesforce platform mag dan veilig zijn en de Salesforce organisatie betrouwbaar, dit zegt nog niets over hoe u de beveiliging binnen Salesforce zelf heeft ingericht.

Het Salesforce platform kent een zeer uitgebreid beveiligingsmodel. Een samenspel tussen profielen, permission sets, company wide sharing settings, hiërarchische rollen en sharing rules, maakt het mogelijk rechten heel precies uit te delen.

Binnen Salesforce kunnen rechten op object, veld en record niveau worden ingesteld. Het idee is daarbij de rechten tot objecten en velden op profiel niveau zoveel mogelijk beperkt te houden en de toegang tot gegevens verder te verruimen door het toewijzen van permissiesets, de role hiërarchie en sharing rules. Het is echter nog steeds mogelijk om ook al op profiel niveau gebruikers direct toegang te geven tot alle records binnen een object door de object permissions “View All” en/of “Modify All” te selecteren. Dit hoeft geen probleem te zijn mits de gegevens binnen dit object daadwerkelijk voor alle gebruikers toegankelijk mogen zijn. Voor objecten waarin persoonlijke gegevens staan is dit echter zeer af te raden.

Binnen de GDPR geld privacy by design als uitgangspunt. Het is belangrijk aantoonbaar niet meer gegevens te verzamelen dan strikt noodzakelijk is voor het doeleinde waartoe deze gegevens verzameld worden. Er gelden echter ook regels voor data toegankelijkheid. Persoonlijke gegevens mogen alleen aan een gebruiker getoond worden als daar een gegronde reden voor is. Recordsharing op basis van de rol hiërarchie, groepslidmaatschappen of record specifieke waarden bieden hier uitkomst.

Contact