Om Power BI-rapporten AVG-proof te delen met externen heb je minimaal nodig: versleutelde verbindingen (HTTPS), toegangscontrole per gebruiker, een verwerkersovereenkomst met je hostingpartij, en logging van wie wanneer welke data heeft bekeken. Vermijd Publish to Web voor rapporten met persoonsgegevens.
Wanneer geldt de AVG bij het delen van rapporten?
De Algemene Verordening Gegevensbescherming (AVG/GDPR) is van toepassing zodra je persoonsgegevens verwerkt van natuurlijke personen in de EU. Denk aan:
- Medewerkergegevens — verzuimcijfers, salarissen, prestatiebeoordelingen
- Klantgegevens — namen, adressen, aankoophistorie, contactmomenten
- Patiëntgegevens — behandeldata, afspraken
- Burgergegevens — WOZ-waarden, vergunningaanvragen, uitkeringsgegevens
Als je Power BI-rapport dit soort data bevat én je deelt het met iemand buiten je organisatie, dan ben je verantwoordelijk voor een veilige verwerking.
De vijf AVG-eisen voor extern delen
1. Rechtsgrondslag vaststellen
Je hebt een geldige rechtsgrondslag nodig om persoonsgegevens te delen. De meest voorkomende grondslagen bij extern rapporteren:
- Gerechtvaardigd belang (artikel 6 lid 1 sub f) — bijvoorbeeld wanneer een accountant klantrapportages deelt met de klant zelf
- Uitvoering van een overeenkomst (artikel 6 lid 1 sub b) — bijvoorbeeld bij contractueel overeengekomen rapportage
- Toestemming (artikel 6 lid 1 sub a) — alleen als vrijwillig en specifiek gegeven
2. Toegangscontrole implementeren
Elke ontvanger moet alleen de data zien die voor hem of haar bedoeld is. Dit vereist:
- Gebruikersauthenticatie — unieke inloggegevens per persoon, geen gedeelde links
- Row-Level Security — in Power BI configureert je RLS-rollen die de data filteren op basis van de ingelogde gebruiker
- Minimale rechten — geef alleen toegang tot de rapporten die noodzakelijk zijn
3. Versleuteling en technische beveiliging
- Transport: Alle communicatie via HTTPS/TLS — geen onversleutelde verbindingen
- Opslag: Data at rest moet versleuteld zijn
- Tweefactorauthenticatie: Een extra beveiligingslaag bovenop wachtwoorden — lees waarom 2FA verplicht zou moeten zijn
4. Verwerkersovereenkomst afsluiten
Als je een platform gebruikt om rapporten te delen, verwerkt dat platform persoonsgegevens namens je. Artikel 28 AVG vereist een verwerkersovereenkomst (DPA) waarin is vastgelegd:
- Welke gegevens worden verwerkt
- Het doel en de duur van de verwerking
- De beveiligingsmaatregelen van de verwerker
- Hoe de verwerker omgaat met datalekken
5. Logging en verantwoording
De AVG vereist dat je kunt aantonen wie wanneer welke gegevens heeft ingezien. Dat betekent:
- Audit logging — registratie van inlogsessies, rapport-weergaven en IP-adressen
- Bewaartermijnen — logs moeten lang genoeg bewaard worden om verantwoording af te leggen, maar niet langer dan noodzakelijk
- Datalekprocedure — een protocol voor wanneer er onverhoopt iets misgaat
Veelgemaakte fouten
Publish to Web gebruiken voor vertrouwelijke data
Publish to Web genereert een openbare URL. Iedereen met die link — of een zoekmachine die de URL indexeert — kan de data bekijken. Dit is de meest voorkomende en meest riskante fout.
Eén gedeelde login voor meerdere externen
Wanneer meerdere personen hetzelfde wachtwoord gebruiken, kun je niet vaststellen wie welke data heeft bekeken. Dat is in strijd met het beginsel van vertrouwelijkheid én maakt audit logging zinloos.
Geen Row-Level Security configureren
Als meerdere klanten via hetzelfde rapport worden bediend maar zonder RLS, kan klant A mogelijk de gegevens van klant B zien. Dit is een datalek.
Hoe Shareboard BI helpt
Shareboard BI is ontworpen met AVG-compliance als uitgangspunt:
- Verplichte 2FA voor alle externe gebruikers
- Werkruimtes per klant — volledige scheiding van data en toegang
- Audit logging — wie heeft wanneer welk rapport bekeken, inclusief IP-adres
- EU-hosting — data wordt verwerkt binnen Europese datacenters
- Verwerkersovereenkomst — standaard beschikbaar voor alle klanten
Wil je weten hoe je je huidige rapportageproces AVG-proof kunt maken? Neem contact op voor een vrijblijvend adviesgesprek.
Veelgestelde vragen
Is het delen van Power BI-rapporten via Publish to Web AVG-compliant?
Nee, niet als het rapport persoonsgegevens bevat. Publish to Web maakt de data openbaar toegankelijk zonder enige toegangscontrole. Dat is in strijd met het AVG-beginsel van vertrouwelijkheid (artikel 5 lid 1 sub f).
Heb ik een verwerkersovereenkomst nodig als ik een platform zoals Shareboard BI gebruik?
Ja. Shareboard BI verwerkt persoonsgegevens namens je (als verwerker). Er is een standaard verwerkersovereenkomst beschikbaar die voldoet aan artikel 28 AVG.
Moet ik Row-Level Security (RLS) gebruiken?
Als je persoonsgegevens deelt met meerdere externe partijen via hetzelfde rapport, is RLS sterk aan te raden. Hiermee ziet elke gebruiker alleen de data die voor hem of haar bedoeld is. Zonder RLS riskeert je ongeautoriseerde toegang tot andermans gegevens.
Welke gegevens worden gelogd in Shareboard BI?
Shareboard BI logt per sessie: wie heeft ingelogd (e-mail), wanneer (datum + tijd), vanaf welk IP-adres, en welk rapport is bekeken. Deze logs zijn beschikbaar in je beheeromgeving en helpen je bij verantwoording onder de AVG.
Mag ik persoonsgegevens delen met partijen buiten de EU?
Alleen als er een geldig doorgifte-mechanisme is, zoals adequaatheidsbesluiten, Standard Contractual Clauses (SCC's) of Binding Corporate Rules. Shareboard BI host data binnen de EU (Cloudflare EU-datacenters), waardoor doorgifte buiten de EU niet aan de orde is.