Reageren op verzoeken van betrokkenen in het kader van de AVG voor Power Automate
Dit artikel bereidt u en uw organisatie voor op de AVG (Algemene Verordening Gegevensbescherming) van de Europese Unie. In dit artikel wordt niet alleen beschreven wat Microsoft doet als voorbereiding op de AVG, maar laten we ook voorbeelden zien van de stappen die u vandaag al kunt nemen om AVG-compliance te ondersteunen bij het gebruik van Power Apps, Power Automate en Microsoft Dataverse.
Vereisten
Gebruikers en beheerders kunnen de in dit artikel beschreven acties uitvoeren.
Gebruikers
Een gebruiker moet een actief Azure Active Directory-account hebben met een Power Automate-licentie. Gebruikers die niet aan deze vereiste voldoen, moeten een beheerder vragen deze acties uit te voeren.
Beheerders
U kunt de bewerkingen waarvoor beheerdersbevoegdheden zijn vereist (zoals beschreven in dit artikel), uitvoeren als u zich aanmeldt bij het Power Platform-beheercentrum of bij Power Apps Admin PowerShell met een account met deze beide machtigingen:
Een betaalde licentie of en proeflicentie voor Power Apps-abonnement 2.
Een proeflicentie verloopt na 30 dagen.
Office 365 globale beheerder of Azure Active Directory globale beheerder.
Onbeheerde tenants
Als u lid bent van een onbeheerde tenant, wat betekent dat uw Azure AD-tenant geen algemene beheerder heeft, kunt u nog steeds de in dit artikel beschreven stappen uitvoeren voor het exporteren en verwijderen van uw eigen persoonsgegevens.
Reageren op AGV-verzoeken voor Power Automate-klantgegevens
De AVG verleent rechten aan personen (in de AVG aangeduid als betrokkenen) voor het beheren van de persoonsgegevens die zijn verzameld door een werkgever of ander type bureau of organisatie (bekend als de verwerkingsverantwoordelijke, of gewoon, verantwoordelijke). Persoonsgegevens worden in de AVG zeer ruim gedefinieerd als 'iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. De AVG verleent betrokkenen specifieke rechten voor hun persoonsgegevens. Tot deze rechten behoren kopieën van persoonsgegevens verkrijgen, het aanvragen van correcties daarvan, het beperken van de verwerking ervan, het verwijderen ervan of het ontvangen van persoonsgegevens in digitale vorm, zodat deze aan een andere verantwoordelijke kunnen worden doorgegeven. Een formeel verzoek door een betrokkene aan een verantwoordelijke om actie te ondernemen op de persoonsgegevens van de betrokkene wordt een verzoek van betrokkene genoemd.
In dit artikel wordt beschreven hoe u Microsoft-producten, -services en -beheerprogramma's gebruikt om verantwoordelijken te helpen bij het zoeken naar en verwerken van persoonsgegevens als reactie op een verzoek van een betrokkene. Dit artikel laat met name zien hoe persoonsgegevens die zich in de cloud van Microsoft bevinden, kunnen worden gevonden, geopend en verwerkt. Hier volgt een kort overzicht van de processen die in deze handleiding worden beschreven:
Ontdekken: gebruik zoek- en detectieprogramma's om gemakkelijker te zoeken naar klantgegevens die het onderwerp van een verzoek van een betrokkene kunnen zijn. Zodra mogelijk responsieve documenten zijn verzameld, kunt u op de aanvraag reageren door een of meer DSR-acties uit te voeren die worden beschreven in de volgende stappen. U kunt ook besluiten dat de aanvraag niet voldoet aan de richtlijnen van uw organisatie voor reacties op DSR-aanvragen. Power Automate-detectiedocumentatie voor verzoeken van betrokkenen
Openen: haal persoonsgegevens op die zich in de Microsoft-cloud bevinden en, als daarom wordt verzocht, maakt u er een kopie van die beschikbaar kan worden gesteld aan betrokkene.
Corrigeren: breng wijzigingen aan of voer andere gevraagde acties uit op de persoonsgegevens, indien van toepassing.
Als een betrokkene u vraagt om rectificatie van diens persoonsgegevens die zich in uw organisatie bevinden, moeten u en uw organisatie bepalen of aan dat verzoek kan worden voldaan. Rectificatie van de gegevens kan betrekking hebben op het uitvoeren van acties zoals bewerken, redigeren of verwijderen van persoonlijke gegevens.
Met Azure Active Directory kunt u de identiteit van Power Automate-gebruikers beheren. Enterprise-klanten kunnen inzageverzoeken voor rectificatie beheren, met inbegrip van beperkte bewerkingsfuncties, naar gelang de aard van een bepaalde Microsoft-service. Als gegevensverwerker biedt Microsoft niet de mogelijkheid om door het systeem gegenereerde logboeken te corrigeren, omdat deze logboeken feitelijke activiteiten weerspiegelen en de historie van alle gebeurtenissen binnen Microsoft-services vormen. Meer informatie over verzoeken van betrokkenen.
Beperken: beperk de verwerking van persoonsgegevens door licenties voor verschillende online services te verwijderen of de gewenste services waar mogelijk uit te schakelen. U kunt ook gegevens uit de Microsoft-cloud verwijderen en deze op locatie of op een andere locatie bewaren.
Betrokkenen kunnen u verzoeken de verwerking van hun persoonlijke gegevens te beperken. Microsoft biedt Application Programming Interfaces (API's) en gebruikersinterfaces (UI's) voor dit doel. Met deze interfaces kan de tenantbeheerder van de Enterprise-klant dergelijke inzageverzoeken beheren door het exporteren en verwijderen van gegevens te combineren. Een klant kan (1) een digitale kopie van de persoonsgegevens van de gebruiker exporteren, inclusief account(s), door het systeem gegenereerde logboeken en bijbehorende logboeken, gevolgd door (2) de verwijdering van het account en de bijbehorende gegevens die zich binnen de Microsoft-systemen bevinden.
Verwijderen: verwijder definitief persoonsgegevens in de Microsoft-cloud. Meer informatie over het verwijderen van persoonsgegevens.
Exporteren: verstrek een elektronisch exemplaar (in een indeling die door machines kan worden gelezen) van de persoonsgegevens aan de betrokkene. Elke sectie in dit artikel bevat een overzicht van de technische procedures die een organisatie als verwerkingsverantwoordelijke kan uitvoeren om te reageren op een verzoek van een betrokkene voor persoonsgegevens in de Microsoft-cloud. Meer informatie over het exporteren van persoonsgegevens.
Door het systeem gegenereerde logboeken
Raadpleeg deze handleiding voor meer informatie over door het systeem gegenereerde logboeken voor Power Automate.
Zie ook
Voor meer informatie over de toewijding van Microsoft aan vertrouwen, beveiliging en compliance, gaat u naar de Service Trust Portal.