Skip to the content

Hoe omgaan met autorisaties in Dynamics NAV i.c.m. de AVG eisen?

Dit is voor veel gebruikers van Dynamics NAV een vraag. De oplossing is simpeler dan je denkt.

AVG gap analyse

Het AVG compliant maken van de autorisaties binnen Dynamics NAV begint met het inventariseren van de persoonsgegevens die in Dynamics NAV worden vastgelegd. Per (categorie van) persoonsgegeven dienen de verwerkersverantwoordelijke en verwerker te worden vastgesteld. Vanuit het Dynamics NAV-oogpunt bepaal je dus de gebruikers die de (categorieën van) persoonsgegevens mogen lezen, invoegen, wijzigen of verwijderen.

Vervolgens dien je vast te stellen welke medewerkers in de huidige situatie zijn geautoriseerd tot deze gegevens. Voorheen was de focus hier met name gericht op het beoordelen wie deze gegevens kon muteren, maar nu dient ook te worden vastgesteld wie deze gegevens kunnen lezen.

Let op dat je bij het bepalen van leesrechten niet alleen kijkt naar leesrechten op tabellen. Aangezien de autorisaties vaak op tabelniveau zijn ingericht en op tabelniveau alle gebruikers vaak alle leesrechten hebben, dient bij het vaststellen van de leesrechten ook te worden gekeken naar de schermen en rapporten die toegang gegeven tot deze gegevens.

Weet nu niet het object-id van de pagina die of het rapport dat toegang verleend? Open dan in Dynamics NAV de pagina of het rapport en ga dan naar “over deze page”. Hier staat het object-id.

Op basis van bovenstaande heb je vastgesteld waar de autorisaties moeten worden aangepast om AVG compliant te zijn.

Leesrechten tot persoonsgegevens

Op basis van de resultaten van de gap analyse dien je de autorisaties aan te passen. Hierbij focussen wij ons in dit geval op het inrichten van de leesrechten. Dit is eenvoudiger dan velen denken. De leesrechten heb je al inricht met onderstaande 2 stappen:

  1. Geef alle gebruikers, zoals nu al meestal gebeurd, leesrechten tot alle tabellen (table data).
  2. Beperk daarna de uitvoeringsrechten voor gebruikers tot de pagina’s en rapporten die toegang geven tot persoonsgegevens, waarvoor zij niet bevoegd zijn.

Stap 2 is op te zetten door een machtigingenset te maken met uitvoeringsrechten tot alle pagina’s en rapporten, met uitzondering van de voor AVG kritieke pagina’s en rapporten. Ken deze machtigingenset toe aan alle gebruikers. Plaats de kritieke pagina’s en rapporten in specifiek daarvoor aangemaakte machtigingensets en ken deze toe aan de onderkende verantwoordelijken voor betreffende persoonsgegevens.

Leesrechten tot delen van tabellen

Soms wil je echter niet de leesrechten tot een hele tabel afschermen. Voorbeeld is een tabel leveranciers, waarin ook personeelsleden zijn opgevoerd als crediteur. Meestal hebben deze leveranciers een eigen boekingsgroep. Als dit het geval is kan de leesrechten worden ingericht met onze add-on Veld- en datasetbeveiliging.

Richt hiervoor een datasetbeveiliging in op de tabel leveranciers met bijvoorbeeld onderstaande filters:

  • Boekingsgroep <> “PERSONEEL”
  • Boekingsgroep = “PERSONEEL”

Door de juiste machtingensets te koppelen aan beide regels is de leesrechten tot delen van de tabel beperkt. Meestal hoeft hiervoor geen aanpassing in de code te worden gedaan. Mocht deze filter echter toch niet werken, neem dan contact op met uw Microsoft partner. Het vergt een eenvoudige aanpassing om dit wel werkend te maken.

Leesrechten tot velden

Daarnaast kan het zijn dat gebruikers een deel van de velden van een pagina wel mogen lezen en een deel niet. Dynamics NAV biedt twee oplossingen hiervoor.

De eerste oplossing in met de standaard functionaliteit voor het inrichten van profielen. Ga naar het profiel (rol centrum) van de gebruiker en pas in configuratiemodus de pagina aan. Deactiveer dan ook de mogelijkheid om te personaliseren om te voorkomen dat de gebruiker de “verborgen velden” weer zichtbaar maakt.

De tweede oplossing biedt iets meer flexibiliteit. Dit is met dezelfde add-on Veld- en datasetbeveiliging. Hierin kunnen ook velden op zichtbaarheid worden ingericht. Deze instelling is echter pas actief als een standaard coderegel op de betreffende pagina’s wordt toegevoegd. Voordeel van deze methode is dat de inrichting centraal kan worden beheerd. Nadeel is dat maatwerk op de pagina’s dient te worden opgenomen. Neem hierover contact op met uw Microsoft partner.

Autorisatie monitoring Dynamics NAV

De AVG vereist dat je technische en organisatorische maatregelen dient te kunnen aantonen. Met onze add-on Autorisatiemonitoring kun je hiervoor normen inrichten, die controleren op de leesrechten. Deze normen worden dan in de periodieke controles automatisch meegenomen, waardoor je aantoonbaar AVG compliant bent.

Extra aandachtspunten

In een volgende blog gaan we verder in op een aantal uitzonderingen en extra aandachtspunten, maar met bovenstaande kom je heel ver met het AVG compliant maken van de autorisaties. Grootste deel kan worden opgelost met de standaard autorisatie-mogelijkheden van Dynamics NAV. Met de add-on’s van 2-Control kan de inrichting worden verfijnt en kan de kwaliteit beter worden bewaakt en zichtbaar worden gemaakt.

Uw Dynamics NAV omgeving AVG compliant maken? Vraag hier het AVG Dynamics pakket aan!

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
T: +31 (0) 76 50 194 70
info @ 2-control.nl

Contact

Vragen over IT beveiliging, privacy, AVG, autorisaties in Dynamics NAV of iets anders? Wij helpen u graag.