Reageren op AVG-verzoeken (verzoeken in het kader van de Algemene Verordening Gegevensbescherming) betreffende klantgegevens in Power Apps

Inleiding tot AVG-aanvragen

De Algemene verordening gegevensbescherming (AVG) van de Europese Unie (EU) geeft individuen belangrijke rechten met betrekking tot hun gegevens. Verwijs naar het Microsoft Learn Overzicht Algemene verordening gegevensbescherming voor een overzicht van de AVG, inclusief terminologie, een actieplan en gereedheidschecklists om u te helpen voldoen aan uw verplichtingen onder de AVG bij het gebruik van Microsoft-producten en -services.

U kunt meer te weten komen over AVG en hoe Microsoft helpt bij het ondersteunen ervan en van onze klanten die ermee te maken hebben.

  • Het Vertrouwenscentrum van Microsoft biedt algemene informatie, beste practices op het gebied van naleving en documentatie die nuttig is voor de AVG-aansprakelijkheid, zoals DPIA's (Data Protection Impact Assessment), verzoeken van betrokkenen en melding van inbreuken op gegevens.
  • De Service Trust Portal biedt informatie over hoe Microsoft-services de naleving van de AVG helpen ondersteunen.

In dit artikel vindt u voorbeelden van stappen die u kunt nemen ter ondersteuning van de naleving van de privacy bij het gebruik van Power Apps, Power Automate en Microsoft Dataverse. U leert hoe u producten, services en beheertools van Microsoft kunt gebruiken om klanten die verantwoordelijk zijn voor de verwerking van gegevens te helpen bij het zoeken, benaderen en verwerken van persoonsgegevens in de Microsoft-cloud in reactie op AVG-verzoeken.

De volgende acties worden in dit artikel behandeld:

  • Detecteren - Gebruik zoek- en detectiehulpprogramma's om gemakkelijker klantgegevens te vinden die het onderwerp kunnen zijn van een AVG-verzoek. Nadat de documenten die mogelijk betrekking hebben op het verzoek, zijn verzameld, kunt u een of meer van de volgende AVG-acties uitvoeren om op het verzoek te reageren. U kunt ook vaststellen dat het verzoek niet voldoet aan de richtlijnen van uw organisatie voor het reageren op AVG-verzoeken.

  • Toegang krijgen - Haal persoonsgegevens op die zich in de Microsoft-cloud bevinden en stel desgevraagd een kopie van die gegevens beschikbaar aan de betrokkene.

  • Corrigeren - Breng wijzigingen aan of voer andere gevraagde acties uit op de persoonsgegevens, indien van toepassing.

  • Beperken - Beperk de verwerking van persoonsgegevens door licenties voor verschillende online services te verwijderen of de gewenste services waar mogelijk uit te schakelen. U kunt ook gegevens uit de Microsoft-cloud verwijderen en deze op locatie of op een andere locatie bewaren.

  • Verwijderen - Verwijder persoonsgegevens die zich in de Microsoft-cloud bevinden, definitief.

  • Exporteren - Verstrek een elektronisch exemplaar (in een indeling die door machines kan worden gelezen) van de persoonsgegevens aan de betrokkene.

Ontdekken

De eerste stap bij het reageren op een AVG-aanvraag van een betrokkene is om de persoonlijke gegevens te zoeken waarop de aanvraag betrekking heeft. Deze eerste stap (de betrokken persoonlijke gegevens zoeken en bekijken) helpt u te bepalen of een AVG-aanvraag voldoet aan de vereisten van uw organisatie voor het honoreren of afwijzen van een AVG-aanvraag. Nadat u bijvoorbeeld de persoonlijke gegevens hebt gevonden en bekeken die het onderwerp van de aanvraag zijn, kunt u bepalen dat de aanvraag niet voldoet aan de vereisten van uw organisatie omdat uitvoering ervan de rechten en vrijheden van anderen nadelig kan beïnvloeden.

Stap 1: de persoonlijke gegevens van de gebruiker zoeken in Power Apps

Hieronder vindt u een overzicht van de typen Power Apps-resources die persoonlijke gegevens bevatten voor specifieke gebruikers.

Bronnen die persoonlijke gegevens bevatten Doel
Omgeving Een omgeving is een ruimte om de gegevens, apps en stromen van uw organisatie in op te slaan. Meer informatie
Machtigingen voor de omgeving Gebruikers worden toegewezen aan omgevingsrollen om rechten voor maken en beheer binnen een omgeving te krijgen. Meer informatie
Canvas-app/aangepaste pagina Platformoverschrijdende zakelijke apps, die kunnen worden gemaakt op basis van een leeg canvas en verbonden met meer dan 200 gegevensbronnen. Meer informatie
Canvas-app-machtigingen Canvas-apps kunnen worden gedeeld met gebruikers binnen een organisatie. Meer informatie
Connection Gebruikt door connectors, zorgen voor connectiviteit met API's, systemen, databases, enz. Meer informatie
Verbindingsmachtigingen Bepaalde soorten verbindingen kunnen worden gedeeld met gebruikers binnen een organisatie. Meer informatie
Aangepaste connector Aangepaste connectors die een gebruiker heeft gemaakt om toegang te bieden tot een gegevensbron, die niet wordt aangeboden via een van de standaard Power Apps-connectors. Meer informatie
Machtigingen voor aangepaste connector Aangepaste connectors kunnen worden gedeeld met gebruikers binnen een organisatie. Meer informatie
Instellingen voor Power Apps-gebruikers en gebruikerapps Power Apps slaat verschillende gebruikersvoorkeuren en -instellingen op, die worden gebruikt om de runtime- en portal-ervaringen in Power Apps te leveren.
Power Apps-meldingen Power Apps stuurt verschillende soorten meldingen naar gebruikers, zoals wanneer een app met hen wordt gedeeld en wanneer een Dataverse-export is voltooid.
Gateway Gateways zijn on-premises datagateways die een gebruiker kan installeren om gegevens snel en veilig over te dragen tussen Power Apps en een gegevensbron die zich niet in de cloud bevindt. Meer informatie
Gateway-machtigingen Gateways kunnen worden gedeeld met gebruikers binnen een organisatie. Meer informatie
Modelgestuurde apps en machtigingen voor modelgestuurde apps Het ontwerp van modelgestuurde apps is een onderdeelgerichte methode voor het ontwikkelen van apps. Modelgestuurde apps en hun machtigingen voor gebruikerstoegang worden opgeslagen als gegevens in de Dataverse-database. Meer informatie

Power Apps biedt de volgende manieren om persoonlijke gegevens voor een specifieke gebruiker te vinden:

Gedetailleerde stap-voor-stap uitleg over hoe u met deze ervaringen persoonlijke gegevens kunt vinden voor een specifieke gebruiker voor elk van deze soorten bronnen vindt u in Reageren op AVG-aanvragen voor het exporteren van klantgegevens uit Power Apps.

Als u de gegevens hebt gevonden, kunt u de specifieke actie uitvoeren om aan het verzoek van de betrokkene te voldoen.

Stap 2: de persoonlijke gegevens van de gebruiker zoeken in Power Automate

Power Apps-licenties omvatten altijd Power Automate-mogelijkheden. Naast dat het deel uitmaakt van Power Apps-licenties, is Power Automate ook beschikbaar als zelfstandige service.

Voor de richtlijnen over zoeken van persoonsgegevens die zijn opgeslagen in de Power Automate-service, raadpleegt u Reageren op AVG-verzoeken van betrokkenen voor Power Automate.

Belangrijk

Het wordt aanbevolen dat beheerders deze stap uitvoeren voor een Power Apps-gebruiker.

Stap 3: de persoonlijke gegevens van de gebruiker zoeken in omgevingen van Dataverse

Bepaalde Power Apps-licenties, waaronder Power Apps Developer Plan, geven gebruikers binnen uw organisatie de mogelijkheid om omgevingen van Dataverse te maken en om apps te maken en te bouwen in Dataverse. Power Apps Developer plan is een gratis licentie waarmee gebruikers Dataverse kunnen proberen in een individuele omgeving. Zie de pagina met prijzen voor Power Apps voor informatie over de mogelijkheden die zijn opgenomen in elke Power Apps-licentie.

Voor richtlijnen over zoeken van persoonlijke gegevens die zijn opgeslagen in de Dataverse-service, raadpleegt u Reageren op AVG-aanvragen van betrokkenen betreffende klantgegevens in Dataverse.

Belangrijk

Het wordt aanbevolen dat beheerders deze stap uitvoeren voor een Power Apps-gebruiker.

Corrigeren

Als een betrokkene u vraagt zijn of haar persoonsgegevens die zich in de gegevensopslag van uw organisatie bevinden, te corrigeren of te wijzigen, moeten u en uw organisatie bepalen of het gepast is om aan het verzoek te voldoen. Het corrigeren van gegevens kan bestaan uit het bewerken, redigeren of verwijderen van persoonsgegevens in een document of een ander type item.

U kunt met Microsoft Entra de identiteiten (persoonsgegevens) van uw gebruikers binnen Power Apps beheren. Zakelijke klanten kunnen AVG-verzoeken voor het corrigeren van persoonsgegevens, beheren met behulp van de beperkte bewerkingsfuncties binnen een bepaalde Microsoft-service. Als gegevensverwerker biedt Microsoft niet de mogelijkheid om door het systeem gegenereerde logboeken te corrigeren, omdat deze logboeken feitelijke activiteiten weerspiegelen en een historisch overzicht vormen van gebeurtenissen binnen Microsoft-services.

Beperken

Betrokkenen kunnen u verzoeken de verwerking van hun persoonlijke gegevens te beperken. We bieden zowel bestaande API's als gebruikersinterfaces (UI's) aan. Deze ervaringen bieden de Power Platform-beheerder van de zakelijke klant de mogelijkheid om dergelijke DSR-aanvragen te beheren via een combinatie van het exporteren van gegevens en het verwijderen van gegevens. Een klant kan het volgende verzoeken:

  • Een elektronische kopie exporteren van de persoonlijke gegevens van de gebruiker, met onder meer:

    • Account(s)
    • Door het systeem gegenereerde logboeken
    • Gekoppelde logboeken
  • Het account en bijbehorende gegevens verwijderen die zich in Microsoft-systemen bevinden.

Exporteren

Door het recht op gegevensoverdraagbaarheid mag een betrokkene een kopie van zijn of haar persoonlijke gegevens in elektronische indeling (gedefinieerd als een 'gestructureerde, algemeen gebruikte, machineleesbare en interoperabele indeling') aanvragen die naar een andere gegevensbeheerder kan worden verzonden.

Meer informatie hierover vindt u in Reageren op AVG-aanvragen van betrokkenen voor exporteren van klantgegevens uit Power Apps

Verwijderen

Het 'recht op verwijdering' door het verwijderen van persoonsgegevens uit de klantgegevens van een organisatie is een belangrijke bescherming van de privacy. De persoonlijke gegevens die kunnen worden verwijderd omvatten alle persoonlijke gegevens en door het systeem gegenereerde logboeken, maar niet informatie in auditlogboeken.

Power Apps stelt gebruikers in staat om Line-of-Business-toepassingen te bouwen die een essentieel onderdeel vormen van de dagelijkse activiteiten van uw organisatie. Wanneer een gebruiker uw organisatie verlaat, moet u handmatig controleren en bepalen of bepaalde gegevens en resources die de gebruiker heeft gemaakt, moeten worden verwijderd. Andere klantgegevens worden automatisch verwijderd wanneer de account van die gebruiker wordt verwijderd uit Microsoft Entra ID.

Meer informatie hierover vindt u in Reageren op AVG-aanvragen van betrokkenen voor verwijderen van klantgegevens uit Power Apps