cross module documentatie
AVG/Privacy Compliance in WATCH
WATCH verwerkt persoonsgegevens van medewerkers, klanten en contactpersonen. De AVG (Algemene Verordening Gegevensbescherming / GDPR) stelt eisen aan hoe u daarmee omgaat. Dit artikel beschrijft de beveiligingslagen in WATCH, geeft concrete configuratiestappen en behandelt de verwerkersovereenkomst met MUSTHAVE.
Elke organisatie moet zelf inschatten wat de consequenties van de AVG zijn. De gevolgen zijn afhankelijk van het type persoonsgegevens dat u vastlegt en de wijze van verwerking. Alleen naam en geslacht voor een factuur is heel wat anders dan medische gegevens van cliënten.
De 4 AVG-lagen in WATCH
Laag 1: Inlogbeveiliging
Doel: Alleen geautoriseerde gebruikers hebben toegang tot het systeem.
De WATCH inlogschermen zijn uitgebreid getest middels een penetratietest op het buitenhouden van ongewenste indringers. Daarnaast zijn de volgende maatregelen beschikbaar:
| Maatregel | Waar te configureren | Aanbeveling |
|---|---|---|
| Medewerkers sluiten | Beheer > Medewerkers | Zet status op gesloten zodra iemand uit dienst is, of gebruik het “datum uit dienst”-veld |
| Wachtwoordeisen | Systeeminstellingen > Basis | Minimaal 8 tekens, hoofdletter + kleine letter + cijfer + speciaal teken. Forceer regelmatige wijziging |
| Wachtwoorden laten verlopen | Systeeminstellingen > Basis | Stel in na hoeveel dagen een wachtwoord verloopt (bijv. 90 dagen). Gebruiker wordt geforceerd een nieuw wachtwoord te kiezen |
| Inlogpogingen beperken | Systeeminstellingen > Basis | Maximaal 5 pogingen, daarna blokkering |
| Twee-factor authenticatie (2FA) | Systeeminstellingen > tab Beveiliging | TOTP-gebaseerd: Google Authenticator, hardware token, of browser plug-in |
| SSL/HTTPS | Serverinstellingen | Verplicht voor alle verbindingen |
Let op: Wachtwoorden die bij ingebruikname zijn uitgedeeld (denk aan
WELKOM123) blijken vaak bij grote aantallen medewerkers nog steeds in gebruik. Controleer dit!
Laag 2: Autorisatie
Doel: Gebruikers zien alleen gegevens die relevant zijn voor hun rol.
| Maatregel | Waar te configureren | Aanbeveling |
|---|---|---|
| Groepen en schermtoegang | Beheer > Autorisatiegroepen | Minimale rechten per rol (principle of least privilege) |
| Relatiebeheer-rechten | Relatiebeheer > Instellingen > Rechten | A-recht voor basistoegang, C alleen voor beheerders |
| Projectleiderfilter | Systeeminstellingen | Aan — projectleider ziet alleen eigen projecten |
| Managerfilter | Systeeminstellingen | Aan — manager ziet alleen eigen afdeling |
Zie ook: Autorisatie overzicht voor een compleet overzicht van alle autorisatieniveaus.
Laag 3: Logging & Audittrail
Doel: Registreren wie wanneer welke gegevens heeft ingezien of gewijzigd.
| Logtype | Wat het registreert | Wanneer inzetten |
|---|---|---|
| Inlog-log | Wie logt in, wanneer, IP-adres | Altijd (beveiligingsmonitoring) |
| Inzien-log | Wie heeft welke persoonsgegevens bekeken | Verplicht bij AVG-gevoelige data |
| Wijzigingen-log | Wie heeft wat wanneer gewijzigd (complete wijzigingshistorie van alle basisgegevens) | Altijd (audittrail) |
| Time Travel | Historische snapshots — ga terug naar elk moment in het verleden | Controle en compliance |
Configuratie: Beheer > Systeeminstellingen > Log-instellingen
Inzien-log niveaus:
- Uit — niets loggen
- Laatste keer per medewerkertype — compact overzicht
- Per dag — dagelijkse registratie
- Alle momenten — volledige registratie (aanbevolen voor AVG)
Extra: HISTORIE-tab — In beheerschermen voor klanten, contactpersonen en medewerkers verschijnt een HISTORIE-tab met subtabs WIJZIGINGEN (wie/wanneer/wat) en INZAGES (wie/wanneer/hoe ingezien).
Laag 4: Gegevensverwijdering
Doel: Persoonsgegevens verwijderen wanneer ze niet meer nodig zijn.
- Archiveren van projecten verwijdert individuele uurrecords (totalen per resource blijven bewaard)
- Contactpersonen kunnen worden verwijderd of geanonimiseerd
- Time Travel bewaart historische snapshots — houd rekening met bewaartermijnen
Configuratiechecklist
Standaard organisatie
| Maatregel | Instelling |
|---|---|
| Wachtwoordeisen | Minimaal 8 tekens |
| Wachtwoord verlopen | Aanbevolen (bijv. 90 dagen) |
| Inlogpogingen | Maximaal 5 |
| Groepsautorisatie | Minimale rechten per rol |
| Inlog-log | AAN |
| Wijzigingen-log | AAN |
| 2FA | Aanbevolen |
| Inzien-log | Optioneel |
Zorgsector / Overheid (extra AVG-gevoelig)
| Maatregel | Instelling |
|---|---|
| Wachtwoordeisen | Minimaal 12 tekens |
| Wachtwoord verlopen | Verplicht (bijv. 60 dagen) |
| 2FA | Verplicht |
| Inzien-log | HOOG (alle inzien-momenten) |
| Wijzigingen-log | AAN |
| Projectleiderfilter + managerfilter | AAN |
| Relatiebeheer-rechten | A voor medewerkers (alleen lezen) |
| Periodieke review | Wie heeft welke rechten? |
Verwerkersovereenkomst
MUSTHAVE webapplicaties verwerkt als verwerker persoonsgegevens in opdracht van de klant (verwerkingsverantwoordelijke). Conform de AVG is hiervoor een verwerkersovereenkomst vereist. MUSTHAVE heeft deze opgenomen in de Algemene Voorwaarden.
Kernpunten verwerkersovereenkomst
| Onderwerp | Afspraak |
|---|---|
| Verwerking | MUSTHAVE voegt geen gegevens toe, past niets aan en verwijdert niets zonder specifieke instructie van de klant |
| Geheimhouding | Medewerkers gaan verantwoord om met klantgegevens, tijdens en na dienstverband |
| Beveiliging | Passende technische en organisatorische maatregelen. Klant mag onafhankelijke audit aanvragen (op eigen kosten) |
| Datacenters | Verwerking via Mihosnet B.V. datacenters, uitsluitend in Almere (Nederland), onder Nederlandse en Europese wetgeving, minimaal ISO 27001 gecertificeerd |
| Subverwerkers | Klant ontvangt bericht vóór inschakeling nieuwe subverwerkers en kan bezwaar maken of opzeggen |
| Privacy rechten | MUSTHAVE deelt geen gegevens met derden zonder noodzaak, expliciete toestemming of wettelijke verplichting |
| Betrokkenen | Verzoeken van betrokkenen worden doorverwezen naar de klant; MUSTHAVE ondersteunt binnen de mogelijkheden van de applicatie |
| Datalekken | MUSTHAVE meldt beveiligingsincidenten binnen 48 uur aan de contactpersoon. Klant heeft 72 uur om te beoordelen of melding bij de Autoriteit Persoonsgegevens nodig is |
| Gegevens verwijderen | Na beëindiging overeenkomst worden alle klantgegevens verwijderd. Eerdere verwijdering op verzoek |
AVG-contactpersoon en overeenkomst downloaden
In de WATCH Support-omgeving vindt u het AVG-scherm (Support > Beheer > AVG). Hier kunt u:
- Een AVG-contactpersoon aanwijzen binnen uw organisatie
- De verwerkersovereenkomst (GDPR) selecteren en als ondertekend PDF-document laten genereren en per e-mail ontvangen
De volledige tekst van de verwerkersovereenkomst is te lezen op: Algemene Voorwaarden — Verwerkersovereenkomst
Veelgestelde vragen
V: Moet ik een verwerkingsregister bijhouden?
A: Ja, als u meer dan 250 medewerkers hebt of structureel persoonsgegevens verwerkt. WATCH kan helpen met de inzien-log en wijzigingen-log als onderdeel van dat register.
V: Hoe lang moet ik loggegevens bewaren?
A: De AVG schrijft geen specifieke termijn voor, maar de fiscale bewaarplicht is 7 jaar. Stem af met uw juridisch adviseur.
V: Kan een medewerker zijn eigen gegevens inzien?
A: Ja. Medewerkers kunnen hun eigen uren en projecten altijd inzien. Voor een volledig inzageverzoek (AVG art. 15) kan de beheerder de relevante gegevens exporteren.
V: Waar vind ik de verwerkersovereenkomst?
A: De verwerkersovereenkomst is opgenomen in de Algemene Voorwaarden. U kunt een ondertekend PDF-exemplaar downloaden via de Support-omgeving (Support > Beheer > AVG).