Overzicht

Nieuwe privacywetten en beste praktijken met Odoo

Sinds 25 mei 2018, is de Algemene Verordening Gegevensbescherming (AVG) van kracht, waarmee voor iedereen een nieuw tijdperk van gegevensbescherming en privacy is aangebroken. Hoewel je zeker veel gehoord en gelezen hebt over de AVG, kan het moeilijk zijn om te begrijpen wat het precies betekent voor je bedrijf, in de praktijk, en wat je moet doen om te voldoen aan de nieuwe regels.

Bij Odoo zetten we ons in om de beste praktijken te volgen op het gebied van veiligheid en privacy. Wij streven ernaar alle gebruikers en klanten hetzelfde beschermingsniveau te bieden, zonder onderscheid te maken naar locatie of nationaliteit. En we passen die beste praktijken toe op alle gegevens, niet alleen op persoonsgegevens.

Odoo SA en haar dochterondernemingen voldoen dus aan de AVG.

Wat je moet weten over de AVG

Tip
De beste manier om de AVG te begrijpen is de officiële tekst te lezen.
De tekst is redelijk lang (99 artikelen op 88 pagina's), maar vrij leesbaar voor niet-deskundigen.

Het is een Europese Verordening, die tot doel heeft de bestaande privacywetgeving te harmoniseren en te moderniseren, zoals de Europese Richtlijn inzake gegevensbescherming waarvoor het in de plaats komt. Hierbij worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens binnen Europa.

Het is een Verordening, geen Richtlijn, en dus onmiddellijk toepasbaar in alle Lidstaten van de EU, zonder dat omzetting in de nationale wetgeving van elk land nodig is. De EU-landen hebben een beperkte interpretatiemarge voor de details, maar de fundamentele regels zijn gelijk voor iedereen, overal in de EU.

De AVG brengt de wetgeving ook naar het volgende millennium, en houdt rekening met sociale media, cloud computing, cybercriminaliteit en de grote uitdagingen die zij betekenen op het gebied van bescherming van persoonsgegevens en veiligheid.

In het kort: Geen paniek!

De AVG is geen wereldschokkend nieuwe wetgeving en is in wezen een goede zaak voor burgers en bedrijven.

Het is positief!

We willen benadrukken dat de AVG geweldig kan zijn voor jouw en je klanten. Voldoen aan de AVG kan aanvankelijk veel werk betekenen, maar de nieuwe regels hebben ook voordelen:

  • Meer vertrouwen van je klanten en gebruikers
  • Vereenvoudiging: dezelfde regels worden toegepast in alle landen van de EU
  • Rationalisatie en centralisatie van je organisatorische processen

Het doel van de AVG is om personen meer zicht te geven op hun persoonsgegevens. Als je bedrijf de juiste strategieën en systemen invoert, zal het de komende jaren gemakkelijker te beheren, veiliger en zekerder zijn.

Wat zijn de risico's als je je niet aan regels houdt?

De maximale geldboete voor de niet-naleving is een administratieve geldboete van 20 miljoen euro, of 4% van je totale wereldwijde jaaromzet, indien dit cijfer hoger is. Voor kleinere inbreuken geldt een lager maximum van 10 miljoen euro of 2% van je totale wereldwijde jaaromzet.

Deze maxima zijn bedoeld om bedrijven van elke omvang af te schrikken, maar de AVG vereist ook dat de boetes evenredig blijven.

De toezichthoudende autoriteiten (ook bekend als Gegevensbeschermingsautoriteiten: GBA) moeten rekening houden met de omstandigheden van elk individueel geval, met inbegrip van de aard, de ernst en de duur van de inbreuk. Deze GBA's hebben ook de bevoegdheid om een onderzoek in te stellen en corrigerende maatregelen op te leggen, waaronder de beperking van de inbreukmakende activiteiten, zonder noodzakelijk een boete op te leggen.

Een ander risico als je je niet aan de regels houdt, is het verlies van vertrouwen van je klanten en prospects, die belang hechten aan de manier waarop je hun gegevens verwerkt!

Tot slot hebben veel GBA's laten doorschemeren dat ze in 2018 nog geen boetes zullen opleggen, maar dat ze verwachten dat bedrijven aantonen dat ze werken aan naleving.

Kernbeginselen van de AVG

Toepassingsgebied

De Verordening is van toepassing op de verwerking van persoonsgegevens door eender welke organisatie:

  1. Indien de verwerkingsverantwoordelijke of verwerker in de EU is gevestigd
  2. Indien de onderneming niet in de EU is gevestigd, maar de verwerking betrekking heeft op persoonsgegevens van in de EU gevestigde betrokkenen en verband houdt met commerciële aanbiedingen of het controleren van het gedrag.

Het toepassingsgebied omvat dus bedrijven die niet in de EU gevestigd zijn, wat bij de oudere wetgeving niet het geval was.

Rollen

De Verordening onderscheidt twee hoofdentiteiten:

  • Verwerkingsverantwoordelijke: elke entiteit die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als algemene regel geldt dat elke organisatie verantwoordelijk is voor de verwerking van haar eigen gegevens.
  • Verwerker: elke entiteit die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Bijvoorbeeld, als je bedrijf eigenaar is van een database die wordt gehost op de Odoo Cloud, ben je de verwerkingsverantwoordelijke voor die database, en Odoo SA is slechts een verwerker. Als je in de plaats daarvan Odoo on premise gebruikt, ben je zowel verwerkingsverantwoordelijke en verwerker van de gegevens.

Persoonsgegevens

De AVG geeft een ruime definitie van persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van hun namen, e-mailadressen, telefoonnummers, biometrische informatie, locatiegegevens, financiële gegevens, enz. Online-identificatoren (IP adressen, apparaturen,...) vallen ook onder het toepassingsgebied.

Dit geldt ook in zakelijke contexten: info@odoo.com wordt niet als persoonelijk beschouwd, maar john.smith@odoo.com wel, omdat het kan worden gebruikt om een natuurlijk persoon binnen een bedrijf te identificeren.

De AVG vereist ook een betere bescherming voor gevoelige gegevens, die specifieke categorieën van persoonsgegevens omvatten, zoals gegevens over gezondheid, genetische gegevens, gegevens over ras of godsdienst.

Beginselen voor gegevensverwerking

Om aan de AVG te voldoen moeten de verwerkingsactiviteiten de volgende regels naleven:
(zoals vermeld in artikel 5 van de AVG)

  1. Rechtmatigheid, behoorlijkheid en transparantie: om gegevens te verzamelen, moet je een rechtsgrond en een duidelijk doel hebben, en moet je de betrokkene daarover inlichten.

    • Een duidelijk en eenvoudig Privacybeleid hebben en ernaar verwijzen overal waar je gegevens verzamelt
    • De rechtsgrond voor elk van je gegevensverwerkingsactiviteiten controleren
  2. Doelbinding: als de gegevens eens voor een bepaald doel verzameld zijn, moet je toestemming vragen als je ze voor een ander doel wilt gebruiken.

    bv. - Je kan niet besluiten je klantgegevens te verkopen als ze niet voor dat doel zijn verzameld.

  3. Minimale gegevensverwerking: je mag alleen de gegevens verzamelen die noodzakelijk zijn voor je doel.

  4. Juistheid: redelijke maatregelen moeten worden genomen om de persoonsgegevens te actualiseren, in verband met het doeleinde.

    bv. - Zorg ervoor dat niet afgeleverd mails behandeld worden, en de adressen verbeterd of verwijderd worden.

  5. Opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan nodig is voor het primaire doel ervan.

    Bepaal termijnen voor het wissen of herzien van de persoonsgegevens die je verwerkt, afhankelijk van het doel ervan.

  6. Integriteit en Vertrouwelijkheid: gegevensverwerkers moeten passende maatregelen inzake toegangscontrole, veiligheid en voorkoming van gegevensverlies nemen, in overeenstemming met de soorten gegevens die worden verwerkt en de omvang daarvan.

    bv. - Zorg ervoor dat je back-upsysteem werkt, zorg voor goede veiligheidscontroles, gebruik versleuteling om gevoelige gegevens zals wachtwoorden te beschermen, ...

  7. Verantwoordingsplicht: de verwerkingsverantwoordelijken zijn verantwoordelijk voor en moeten aantonen dat zij alle bovenstaande verwerkingsbeginselen naleven.

    • Het opstellen en bijhouden van een referentie voor het in kaart brengen van de gegevens voor je organisatie, waarin de naleving van je verwerkingsactiviteiten wordt beschreven
    • Informeer je klanten via een duidelijk privacybeleid
Rechtsgrond

Om rechtmatig te zijn onder de AVG (eerste beginsel), moet de verwerking van persoonsgegevens gebaseerd zijn op één van de zes mogelijke rechtsgronden, zoals opgesomd in artikel 6 (1):

  1. Toestemming. Geldig wanneer de betrokkene uitdrukkelijk en uit vrije wil toestemming heeft gegeven na behoorlijk te zijn geïnformeerd, met inbegrip van een duidelijk omschreven en specifiek doel. De bewijslast voor dit alles ligt bij de verwerkingsverantwoordelijke.
  2. Noodzakelijk om een contract uit te voeren, of om de verzoeken van betrokkenen te voldoen, in voorbereiding van een contract.
  3. Voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
  4. Vitale belangen beschermen. Als de verwerking nodig is om een leven te redden.
  5. Algemeen belang of openbaar gezag.
  6. Gerechtvaardigde belangen. Van toepassing wanneer de verwerkingsverantwoordelijke een gerechtvaardigd belang heeft dat niet ondergeschikt is aan de belangen en fundamentele vrijheden van de betrokkene.

Een belangrijke verandering die de AVG met zich meebrengt ten opzichte van een eerdere regelgeving inzake gegevensbescherming, zijn de strengere eisen voor het verkrijgen van geldige toestemming.

De rechten van de betrokkenen

De bestaande privacyrechten voor personen worden door de AVG verder uitgebreid. Organisaties moeten bereid zijn verzoeken van betrokkenen tijdig (binnen 1 maand) en kosteloos te behandelen:

  1. Recht van inzage - Personen hebben het recht te weten wat en hoe hun persoonsgegevens worden verwerkt, in volledige transparantie;
  2. Recht op rectificatie - Personen hebben het recht om hun persoonsgegevens te laten verbeteren of vervolledigen;
  3. Recht op gegevenswissing - Personen hebben het recht om hun persoonsgegevens om legitieme redenen te laten verwijderen (intrekking van toestemming, niet langer noodzakelijk voor de doeleinden, enz.);
  4. Recht op beperking - Personen kunnen de verwerkingsverantwoordelijke verzoeken de verwerking van hun persoonsgegevens stop te zetten, indien zij geen volledige verwijdering wensen of kunnen vragen;
  5. Recht van bezwaar - Personen hebben het recht om te allen tijde bezwaar te maken tegen bepaalde verwerkingen van hun persoonsgegevens, bijvoorbeeld voor direct marketing-doeleinden;
  6. Overdraagbaarheid - Personen hebben het recht te verzoeken dat de persoonsgegevens die in handen zijn van een verwerkingsverantwoordelijke te verkrijgen, of aan een andere verwerkingsverantwoordelijke worden overgedragen.

Hoe kan men zich voorbereiden op de AVG

Disclaimer
Wij kunnen geen juridisch advies geven, dit gedeelte is alleen bedoeld ter informatie. Neem contact op met je juridisch adviseur om precies te bepalen hoe de AVG je bedrijf beïnvloedt.

Dit zijn de belangrijkste stappen die wij voorstellen op weg naar AVG compliance:

  1. Breng de gegevensverwerkingsactiviteiten van je organisatie in kaart om een duidelijk beeld te krijgen van de situatie. Gegevensbeschermingsautoriteiten stellen vaak spreadsheetsjablonen ter beschikking om hierbij te helpen. Documenteer voor elk proces het soort persoonsgegevens en hoe deze zijn verzameld; het doel, de rechtsgrond en het gegevenswissingsbeleid van de verwerking; de technische en organisatorische veiligheidsmaatregelen die zijn getroffen en de betrokken onderaannemers (verwerkers).

    Je moet deze datamapping regelmatig onderhouden, naarmate je processen evolueren.
  2. Kies op basis van stap 1 een Herstelstrategie voor elke verwerking waarvoor je geen rechtsgrond hebt (bv. ontbrekende toestemming) of waarvoor je geen passende veiligheidsmaatregelen hebt getroffen. Pas je processen, je interne procedures, je regels voor toegangscontrole, back-ups, monitoring, enz. aan.
  3. Actualiseer en publiceer een duidelijk Privacybeleid op je website. Leg uit welke persoonsgegevens je verwerkt, hoe je dat doet en wat de rechten van personen zijn met betrekking tot hun gegevens.
  4. Herzie je contracten met een juridisch adviseur en pas ze aan de AVG aan.
  5. Bepaal hoe je de verschillende soorten verzoeken van betrokkenen zal beantwoorden.
  6. Bereid je Incident Response Plan voor indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden.

Afhankelijk van je situatie, kunnen andere elementen aan de lijst worden toegevoegd, zoals de aanstelling van een functionaris voor gegevensbescherming. Raadpleeg je interne verwerkingsdeskundigen en je juridische adviseurs om eventuele andere relevante maatregelen vast te stellen.

Denk eraan!
Door je processen duidelijk in kaart te brengen wordt alles gemakkelijker op weg naar compliance!

Hoe voldoet Odoo aan de AVG

Bij Odoo is het implementeren van beste praktijken inzake privacy en veiligheid niet nieuw. Als Cloud hostingbedrijf herzien en verbeteren we voortdurend onze systemen, tools en processen, om een geweldig en veilig platform te behouden.

Onze AVG rollen

Onze verantwoordelijkheden op het gebied van de bescherming van persoonsgegevens hangt af van onze verschillende gegevensverwerkingsactiviteiten:

Onze rollen Gegevensverwerking Soort gegevens
Verwerkingsverantwoordelijke & Verwerker Op Odoo.com Persoonsgegevens die ons worden verstrekt door klanten en prospects, onze partners en alle directe gebruikers van Odoo.com (namen, e-mails, adressen, wachtwoorden...)
Verwerker Op Odoo Cloud
(Odoo Online, Odoo.sh en andere Odoo Enterprise diensten)
Alle persoonsgegevens die zijn opgeslagen in de databases van onze klanten, gehost in de Odoo Cloud of aan ons overgedragen met het oog op het gebruik van één van onze diensten. De eigenaar van de database is de verwerkingsverantwoordelijke.
Geen rol On-Premise Alle gegevens opgeslagen in Odoo databases die on-premise worden gehost of die niet door ons worden beheerd.

Onze AVG documenten

Als verwerkingsverantwoordelijke, worden onze activiteiten behandeld in ons Privacybeleid, die is bijgewerkt om te voldoen aan de AVG. Dit beleid legt zo duidelijk mogelijk uit welke gegevens we verwerken, waarom we ze verwerken, en hoe we dat doen. Nauw verwant hieraan is ons Veiligheidsbeleid waarin we de beste praktijken inzake veiligheid uitleggen die we bij Odoo hebben geïmplementeerd op alle niveaus (technisch en organisatorisch) om te garanderen dat alle gegevens op een veilige manier worden verwerkt.

Bovenop deze beleidsplannen zijn onze activiteiten als gegevensverwerker onderworpen aan de aanvaarding van ons Odoo Enterprise Abonnementsovereenkomst. Deze overeenkomst is bijgewerkt om de noodzakelijke gegevensbeschermingsclausules (vaak aangeduid als een "Gegevensverwerkingsovereenkomst") toe te passen, zoals vereist door de AVG.
Als klant van Odoo S.A. hoef je niets te doen om deze wijzigingen te aanvaarden, je geniet al van de nieuwe garanties, en we gaan ervan uit dat je akkoord gaat als we niets van je horen!

Naast deze documenten hebben we eveneens onze website bijgewerkt om op alle relevante plaatsen privacyverklaringen op te nemen, zodat onze gebruikers te allen tijde op de hoogte zijn.

Hoe helpt Odoo je om beste praktijken inzake AVG uit te voeren

Odoo gebruiken om je bedrijf te beherenkan niet voldoende zijn om compliant te zijn met de AVG, omdat de verordening van toepassing is op je hele organisatie. Maar omdat Odoo je gegevens centraliseert, de redundantie van gegevens vermindert en granulaire toegangsrechten en veiligheidscontroles implementeert, kan het een grote hulp zijn om aan de AVG te voldoen.

Hier zijn enkele manieren waarop wij denken dat Odoo je kan helpen in het kader van de AVG, voor zowel on-premise als in de cloud gehoste Odoo databases.

Disclaimer: raadpleeg zoals altijd je juridisch adviseur om te bepalen hoe je moet voldoen aan de AVG en de verzoeken van betrokkenen. Houd er te allen tijde ook rekening mee dat je mogelijk ook buiten Odoo persoonsgegevens verwerkt.

Recht van inzage (Art. 15) en Recht op overdraagbaarheid van gegevens (Art. 20)

  • Odoo biedt enkele tools voor de betrokkenen om zelf hun persoonlijke informatie te raadplegen en bij te werken:
    • Het klantenportaal laat gebruikers toe om contractuele documenten te bekijken: adres en contacten, facturen, offertes, orders, taken, helpdesk tickets, inkopen, abonnementen, leveringsbonnen, betalingen, evenals alle communicatie rond deze documenten.
    • De mailinglijstpagina laat gebruikers toe om hun abonnementen te bekijken en te beheren (bv. voor odoo.com: https://www.odoo.com/groups)
    • Het forumprofiel geeft je forumgebruikers de mogelijkheid om in één oogopslag al hun activiteiten te bekijken.
  • Als je alle gegevens moet exporteren of privégegevens doorgeven die niet toegankelijk zijn via het portaal, zijn enkele handmatige stappen nodig.
    Meestal kan je alle relevantie documenten rechtstreeks bereiken via de bovenste balk op het contactformulier van de gebruikers, waar ze gelinkt zijn. Je kan vervolgens alle informatie exporteren met de functie “Afdrukken als PDF” van je brower of via het menu Actie>Exporteren, vanuit de lijst van contactpersonen of de lijst van hun documenten.
    Beide opties bieden elektronische formaten die voldoen aan de AVG-normen.
  • Daarnaast kan je beschikken over informatie die niet aan het contactformulier is gekoppeld en die de betrokkene in een andere context heeft verstrekt. Je zou deze ook moeten nazien, bijvoorbeeld door te zoeken op naam of e-mailadres, bv.
    • Inschrijvingen voor evenementen
    • Leads & Verkoopkansen in je CRM

Denk eraan: Naast de mogelijkheid om te exporteren als PDF via je browser, biedt Odoo ook een tool om elk record of lijst van records te exporteren in een CSV of Excel-bestand, evenals de gerelateerde documenten gekoppeld aan dit record. Om het te gebruiken, ga naar de lijstweergave van een willekeurig scherm, selecteer de record(s) en klik op Actie > Exporteren en kies dan "Alle gegevens exporteren". Vervolgens kan je de velden kiezen die je wilt exporteren.

Recht op vergetelheid (Art. 17)

De AVG geeft betrokkenen het recht om te vragen dat hun persoonsgegevens worden gewist, onder specifieke voorwaarden, zoals:

  • De gegevens zijn niet langer nodig voor dedoeleinden;
  • Ze trekken de toestemming in voor een verwerking die enkel op toestemming berust;
  • De verwerking is anderszinsonrechtmatig.

Als je vaststelt dat het verzoek gerechtvaardigd is en je de identiteit van de betrokkene kan bevestigen, kan je proberen het betreffende contact in Odoo te verwijderen. Dit is veilig: het systeem zal de operatie blokkeren als een zakelijk document nog steeds verwijst naar het contact (factuur, contact, leveringsbon, forumbericht, enz.). In dat geval moet je beslissen of je andere verplichtingen hebt om deze documenten te bewaren en moet je het verzoek tot wissen afwijzen.

Als je geen wettelijke reden hebt om de persoonlijke informatie te bewaren, maar een document of een contact niet kan of wilt verwijderen, kan je overwegen deze te anonimiseren. Je kan het contact hernoemen en de herkenbare gegevens (e-mail, adres, enz.) wijzigen, of je kan documenten opnieuw toewijzen aan een algemeen anoniem contact. Eenmaal geanonimiseerd, zullen deze gegevens geen persoonsgegevens meer zijn.

Beperking van de verwerking (Art. 18) en Intrekking van de toestemming (Art. 7)

Gebruikers zullen vaak vragen om uitgeschreven te worden uit commerciële e-mails. Als je mailings via Odoo zijn verstuurd, kunnen gebruikers dat zelf doen via de afmeldlink in de voettekst. Maar je kan ook handmatig het veld "opt-out" aanvinken bij een contact of lead/verkoopkans. Records die gemarkeerd zijn met "opt-out" worden automatisch uitgesloten van mass-mailing campagnes, maar kunnen nog wel directe berichten van gebruikers ontvangen (bv. offertes, facturen).

Recht op rectificatie (Art. 16) en Gegevensjuistheid (Art. 5 (1) d)

Ongeldige/veranderende e-mailadressen zijn een veel voorkomende bron van gegevensfouten. Wanneer de e-mailintegratie goed is geconfigureerd (bv. standaard op Odoo Cloud), behandelt Odoo niet afgeleverde e-mails in je mass-mailings en verhoogt het een Bounce veld met het aantal verworpen berichten. Je kan je contacten of prospecten regelmatig bekijken met een aangepaste zoekopdracht op "Bounce groter dan 0" en ze opschonen/verwijderen.

Volgers van Odoo Chat-kanalen worden automatisch uitgeschreven na 10 bounces.

Wat de rectificatie betreft, kunnen gebruikers en klanten ook hun eigen persoonsgegevens bijwerken (naam, e-mail, adres), via het Odoo portaal.

Toestemming (Art. 7)

Wanneer je persoonsgegevens verzamelt via de standaardmechanismes van Odoo (bv. contactformulier, inschrijving op mailinglijsten, inschrijvingen voor een evenement), moet je een doel en een rechtsgrond voor de verwerking instellen. Dit hangt sterk af van de manier waarop je de gegevens zal gebruiken.

Als het doel specifiek en duidelijk is (bv. ingeschreven deelnemers voor een evenement bijhouden om hen te informeren over het evenement; iemand inschrijven op de mailinglijst die hij heeft gekozen), moet je geen uitdrukkelijke toestemming vragen (de persoonsgegevens zijn noodzakelijk voor de uitvoering van een contract - Art. 6 (1) b). Je moet echter nog steeds het doel duidelijk maken aan de gebruiker en verwijzen naar je Privacybeleid waar je meer informatie geeft. Je kan Odoo's websitebouwer gebruiker om de formulieren bij te werken en de vereiste vermeldingen toe te voegen.

Als je echter van plan bent om de verzamelde gegevens voor andere doeleinden te gebruiken, moet je de uitdrukkelijke toestemming van de gebruiker verkrijgen voor elk doeleinde. De aanbevolen manier is om checkboxen toe te voegen aan je formulier om de toestemming te krijgen voor elk specifiek doel (bv. "Gelieve me de kortingen en promoties op soortgelijke producten via e-mail te versturen"). Om dit te doen met Odoo, kan je:

  1. Odoo Studio gebruiken om een checkbox (boolean) veld toe te voegen aan een document dat persoonsgegevens verzamelt (bv. Leads/Verkoopkansen), om toestemming voor dit doeleinde weer te geven
  2. de checkbox in je website-formulier toevoegen via Odoo's websitebouwer
  3. dit veld gebruiken wanneer je gegevens verwerkt voor dit doeleinde, bijvoorbeeld in je filters voor marketingscampagnes

Privacy by Design (Art. 25)

Security by Design is de kern van onze R&D-activiteiten bij Odoo en we passen de beste praktijken op het gebied van veiligheid toe om onze software veilig, degelijk en weerbaar te maken voor iedereen.

Toegangscontrole - Met het standaard groepsgebaseerde toegangscontrolemechanisme van Odoo, kan je de toegang tot persoonsgegevens beperken volgens de rol en behoeften van elke gebruiker (bv. een projectmanager heeft misschien geen toegang nodig tot de sollicitaties). Als je de toewijzingen van gebruikersgroepen herziet en ze goed onderhoudt wanneer rollen in je organisatie veranderen, heb je een sterke privacy basis. Je kan makkelijk gebruikersgroepen toevoegen of wijzigen om ze aan te passen aan je organisatie.

Recordregels - Om de toegang tot persoonsgegevens te verfijnen, kan je het concept van Recordregels gebruiken, waarmee je de toegang tot documenten kan beperken volgens een willekeurig criterium op basis van veldwaarden. Recordregels kunnen lees- en/of schrijfbewerkingen blokkeren en werken per document. Voor meer informatie, zie onze documentatie.

Wachtwoorden - Odoo slaat gebruikerswachtwoorden op met industriestandaard veilige hashing. Het is ook mogelijk om externe authentificatiesystemen te gebruiken zoals OAuth 2.0 of LDAP, om het opslaan van gebruikerswachtwoorden helemaal te verwijderen.

Werknemersgegevens - Een gebied waar Odoo databases waarschijnlijk gevoelige persoonsgegevens bevatten is het tabblad Privé informatie van het werknemersformulier en hun contracten. Dit deel van het personeelsbestand is enkel zichtbaar voor HR personeel (groep "HR Officer"), die het nodig hebben voor hun werk. Deze bescherming is uitgebreid naar het privé-adres van de werknemers: van Odoo 12 tot Odoo 17, wordt het opgeslagen als Contacten van het type "Privé" die enkel zichtbaar zijn voor het HR personeel. Vanaf de versie 17, wordt het enkel opgeslagen op het werknemersrecord.

Beveiliging van de verwerking (Art. 25 & 32)

Als je Odoo Online of Odoo.sh diensten gebruikt, implementeren wij beste praktijken inzake veiligheid en privacy op alle niveaus. Je kan hier meer over lezen in ons Veiligheidsbeleid.
Als je Odoo on-premise gebruikt, ben je verantwoordelijk voor het volgen van beste praktijken inzake veiligheid. Je kan beginnen met de veiligheidsaanbevelingen van onze implementatiedocumentatie.