GDPR
En forkortelse, som har givet rigtig mange panderynker, og en hulens masse konsulent timer, siden indførelsen i 2018.
Som leverandør af ERP-hotellet har vi indset, at det er vigtigt at forholde os til GDPR, samt forklare hvilke muligheder I som kunder har med Business Central.
Fordi tilbage i 2018 indarbejdede Microsoft nogle GDPR-værktøjer i Business Central, som skal hjælpe deres kunder/brugere med at forvalte deres dataansvar på en ordentlig måde.
Dataansvar i Private Cloud regi:
Der er nemlig ikke det helt store spørgsmålstegn ved ansvarsfordelingen. I den nuværende konstruktion af ERP-hotellet er vores kunder nemlig Dataansvarlige. I den forbindelse bliver vi, Ecodel, databehandler, og Microsoft bliver underdatabehandler. Det er kæden som den ser ud lige nu.
Dataansvar i Microsoft Cloud (Public):
Når ERP-hotellet går fuldt i skyen med Microsoft, så skifter dataansvaret således, at Microsoft bliver databehandler til hver kunde, og Ecodel er sidestillet databehandler, som skal have adgang til Dataansvarliges data.
Der er ikke behov for at lave nye særskilte aftaler i forbindelse med en overflytning, da Microsoft har indlemmet deres Databehandleraftale i deres ”Terms of use”. Så i realiteten er det eneste som skifter, at Dataansvarlige selv får den aftale. Hvor den for nuværende aftale er indgået mellem Ecodel og Microsoft.
Så vidt så langt med selve den ansvarsmæssige del af GDPR. Nu videre til den del, hvor der faktisk er noget praktisk at gøre.
GDPR-funktioner i Business Central
For at kunne benytte GDPR-funktionerne optimalt, bør man starte med at skifte til den rolle som hedder ”Administration af bruger, brugergrupper og rettigheder”.
Denne rolle giver adgang til ”Beskyttelse af Personlige oplysninger” som indeholder funktionalitet relateret til GDPR.
I denne menu er der 3 undermenuer:
Dataklassificering
Dette punkt giver dig adgang til at klassificere alle de felter, som er oprettet i dit Business Central. Her kan du, hvis du eksempelvis gemmer CPR-nummer på en kontaktperson, klassificere dette felt, som:
- Følsomme data
- Personlige data
- Normale data
- Virksomhedsfortrolige data
- Ikke klassificerede
Microsoft har som udgangspunkt klassificeret alle data som ”ikke klassificerede”.
Klassificering af data kan gøres på forskellig vis:
Du kan bruge den assisterede opsætning til at få fremvist to af mulighederne Eksport/Import Excel, og Klassificering gennem guiden:
1) Hvis du vælger at eksporterer data får du et Excel dokument, som ser således ud:
Det kan godt virke lidt uoverskueligt, og der er ikke noget hjælp at hente i selve arket omkring den præcise ordlyd på klassificeringen. (Her kunne man selvfølgelig have sat nogle eksempel felter, så de er der med den rigtige ordlyd). Når I er færdige med at klassificere felterne, så kan de importeres tilbage i Business Central med den samme assisterede opsætning.
2) Hvis du derimod vælger at bruge guiden (klassificer data manuelt), så kommer der lidt ekstra hjælp:
Det første billede vil gerne klassificerer Finansposterne. Her er det vigtigt at huske på at vi snakker om PERSONDATA, hvilket vil sige at der ikke rigtig er nogle af finansposterne, som er følsomme eller personlige. De kan derimod sagtens være Virksomhedsfortrolige – Det er en klassificering, som er lidt et mellemlag, men i et audit vil vise, at I har taget stilling til jeres data, hvilket giver et godt billede i forhold til sådanne.
Når I har klikket næste, så bliver I spurgt på hvilke tabeller I ønsker at ligge disse klassificeringer.
Hvis I vælger sådan, så bliver alting sat til Personlige oplysninger, hvilket betyder, at I skal rette i næste vindue – Men set fra et forsigtighedsprincip, så er det næsten altid bedre at have for mange felter sat til Personlige end for få.
Når I klikker næste, så får I et overblik over de forskellige tabeller, samt hvilke, som skal gennemgås for at være helt sikker:
Den gennemsete på dette billede er den nemmeste at overskue, da der ikke er så mange felter. Her har jeg været inde og markere de felter, som IKKE er personlige, og sat deres klassificering til ”Normal”, hvilket betyder, at den data ikke er noget specielt. Der kan vælges flere felter ved at holde CTRL inde mens I klikker:
Når I så vil klassificere dem som ”Normal”, så skal I klikke således:
Her kan I også vælge de andre, hvis I mener de er Personlige, Følsomme eller Virksomhedsfortrolige. I kan også sætte felter til ”Ikke-klassificerede” – Dette skal i tilfælde af audit også beskrives hvorfor I har valgt således.
Herefter kommer der øvelsen igen, hvor du skal gennemse Varelinjer, Købs- og Købshovedlinjer og Salg- og Salgshovedlinjer. Der er nogle af felterne sat fra dine tidligere valg, men du er stadig nødt til at gå igennem for at sikre dig det hele er rigtigt.
Når du er færdig, så kommer du tilbage på hovedsiden, hvor dine valg kan ses:
Som I kan se, så vises der HVEM, som har ændret i klassificeringen, samt hvornår det er gjort.
Dataemner
Det næste interessante menupunkt er ”Dataemner”, her kan I eksportere data, hvis I skulle få en anmodning om udlevering af data.
Herinde er der en undermenu som hedder ”Værktøj til beskyttelse af personlige oplysninger”:
Når du klikker på denne, bliver du først mødt af en side hvor du kan læse mere om beskyttelse af oplysninger. Ellers klik ”næste”:
Her får du to muligheder:
I normale tilfælde vil man ”bare” skulle bruge ”Eksportere et dataemnes data”, da casen i dette tilfælde vil være en anmodning om udlevering af data.
Hvis du klikker næste på denne, så kommer du over til et billede hvor du kan finde den person, som du ønsker, i dette tilfælde vil det som oftest være en ”Kontakt”. Herefter skal du finde kontakten i databasen, dette gøres ved at klikke på de tre vandrette prikker, og så kan du søge som sædvanligt.
Til sidst skal du vælge hvilken data følsomhed du ønsker at hente ud.
Når du klikket ”næste” her, så er du færdig med guiden, og du kan finde filen ude på rollecenteret/forsiden:
Husk at det er vigtigt lige at tjekke filen igennem, da den tager alle informationer i alle tabeller angående denne person.
Så hvis der er nogle virksomhedsfortrolige informationer, så kan disse med god samvittighed fjernes inden de udleveres til slutbrugeren.
Ændringslogposter
Det sidste af de spændende menupunkter er Ændringslogposter. I GDPR er det vigtigt at kunne følge rettelser til personoplysninger, samt hvem der har lavet rettelserne. Dette kan I finde under menuen ”Ændringslogposter” – Her beskrives alle ændringerne i diverse felter.
Vigtig Info: Ændringslogposter skal aktiveres for de enkelte tabeller man ønsker skal trackes. Dette tager en del Performance, så inden det aktiveres, er I nødt til at snakke med os. |
Opsætning af Ændringslogposter:
Igen – Det er vigtigt at have det her kommunikeret med os inden I starter, da det kan have performancemæssig betydning for jer.
For at starte logging af jeres felter, skal I søge efter ”Opsætning af ændringslog”.
Når I kommer ind på det første billede, kan I se at ændringsloggen ikke er aktiveret. I kan aktivere den og gå ind og vælge hvilke felter i hvilke tabeller I vil overvåge. I kan også aktivere den når I er færdige.
Når I klikke ind på tabeller, så får I en oversigt over alle tabeller i Business Central. Det kan med fordel bruges søgefunktionen, da der er rigtig mange tabeller at scrolle igennem.
Når I så har fundet den tabel I gerne vil kigge på, så kan I vælge hvilken af (eller alle) 3 typer af ændringer I vil logføre.
Her anbefaler vi klart, at I kun overvåger de felter I tidligere, har identificeret, som værende enten virksomhedskritiske eller persondata. Hvis man tager alle felterne, så dræber vi serverne for fart.
Kommentarer
0 kommentarer
Log ind for at kommentere.