Inventariseer alle processen die persoonsgegevens verwerken

De bedoeling is om processen te identificeren waar persoonsgegevens worden in- of uitgevoerd, of worden overgedragen (is ook uitvoeren) aan een verwerker.

Een effectieve manier om dit overzicht te krijgen is door een brainstorm te doen met sleutelfiguren binnen uw organisatie. Dat zijn dan veelal mensen van verschillende afdelingen die een goed overzicht hebben van alle processen die zich daar afspelen.

Let op dat persoonsgegevens niet alleen digitaal worden verwerkt. Persoonsgegevens kunnen ook  op papier worden verwerkt (archiefkast, sollicitatiebrieven, etiketten etc.).

Denk bij dit overzicht aan een Excel sheet waar u op alle rijtjes de processen invult. De enige kolommen die vooralsnog hoeven te worden gevuld zijn Procesnaam, Soort verwerking (bijv. printen etiketten) en eventueel de Verantwoordelijke (de afdeling of persoon die daarvoor verantwoordelijk is).

Met dat overzicht kunnen we nu aan de slag gaan.

Benoem rollen en verantwoordelijkheden

In deze stap maken we onderscheid in rollen en verantwoordelijkheden binnen een organisatie en binnen de AVG.

Rollen en verantwoordelijkheden binnen een organisatie

Binnen uw organisatie zijn wellicht meerdere processen waarbij persoonlijke gegevens worden verwerkt. Voor elk van deze processen is het handig om een verantwoordelijk persoon of afdeling toe te wijzen en deze te benoemen in het verwerkingsregister. Het is goed om in het kader van de ‘awareness’ deze rollen en verantwoordelijkheden te benoemen want dat schept meteen de bijbehorende verplichtingen.

Zo kan bijvoorbeeld een ICT afdeling verantwoordelijk zijn voor de beveiliging van een server waarop persoonsgegevens staan, terwijl de afdeling Administratie verantwoordelijk is voor het bijhouden/onderhouden van de persoonsgegevens in een database op deze server.

Zoals gezegd horen bij rollen en verantwoordelijkheden ook verplichtingen. De server moet regelmatig geupdate worden met patches en ‘oude’ persoonsgegevens (die over de bewaardatum heen gaan) moeten verwijderd worden uit uw CRM systeem. U legt het allemaal vast in uw verwerkingsregister.

Ons online verwerkingsregister heeft een gedeelte apart ingericht voor het registeren van rollen/verantwoordelijken binnen uw organisatie.

Rollen en verantwoordelijkheden binnen de AVG

In artikel 4 lid 7 benoemt de AVG diverse rollen. Hieronder geven we die in eigen woorden kort neer zodat u daarvan weet. Bij deze rollen horen ook weer verplichtingen. Voor de exacte en meer volledige omschrijving raadpleeg de AVG.

• De Autoriteit Persoonsgegevens. Dit is de toezichthouder.
• De Verwerkingsverantwoordelijke. Deze bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens . Dit is waarschijnlijk uw organisatie, al zijn er meer invullingen mogelijk.
• De Verwerker. Dit is een natuurlijke persoon of rechtspersoon die namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
• De Betrokkene(n). Dit zijn de personen van wie de persoonsgegevens verwerkt worden.
• Derde Partij, Dit is een natuurlijke persoon of rechtspersoon, niet één van de bovenstaande entiteiten, die toch (meestal incidenteel) bij persoonsgegevens kan komen. Dat kan bijvoorbeeld de leverancier van een pakket zijn die vanuit service oogpunt toegang moet hebben tot het pakket waarin persoonsgegevens staan.
• Functionaris Gegevensbescherming. Deze persoon houdt binnen een organisatie toezicht op de toepassing en de naleving van de AVG.

Identificeer en registreer verwerkingen

In deze stap moet u de opslag/verwerking van persoonsgegevens in uw organisatie identificeren. Voorafgaand aan de stappen hebben we hier al een begin mee gemaakt. Nu moet de globale inventarisatie verder uitgewerkt worden.

Voor elk van de verwerkingen dient u de verantwoordelijke, het doel, de betrokkenen, de gebruikte persoonsgegevens en de verwerkers in kaart te brengen alsook de termijn waarop de gegevens vernietigd worden. Bedenk hierbij dat de gebruikte gegevens proportioneel moeten zijn t.a.v. het doel van de verwerking.

Tot slot dient u misschien voor sommige verwerkingen een DPIA (Data Protection Impact Assesment) uit te voeren. Dit is een risicoanalyse met als scope de verwerking. Een DPIA dient altijd uitgevoerd te worden, tenzij:

• Met zekerheid geen hoog privacyrisico oplevert;
• Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd;
• Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd (tenzij de privacytoezichthouder oordeelt dat er toch eenD PIA nodig is);
• Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder (Autoriteit Pesoonsgegevens) de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

Meer informatie over DPIA vindt u hier.

Binnen onze online verwerkingsregister gebruiken we de meer gangbare term PIA (Privacy Impact Assessment) in plaats van DPIA. Het is echter hetzelfde.

Goed om te weten is dat wij een handige hulptool gemaakt hebben, binnen het online verwerkinsregister, voor het uitvoeren en vastleggen van een DPIA. Zo maken we het u heel gemakkelijk om snel en gemakkelijk een DPIA uit te voeren en deze meteen vast te leggen. Uit een DPIA komen mogelijk wat actiepunten (verbeterpunten) die u dan weer netjes en op prioriteit gesorteerd te zien krijgt op het dashboard.

Afsluiten verwerkersovereenkomsten

Worden persoonsgegevens doorgegeven aan verwerkers dan dient u met deze partijen een overeenkomst af te sluiten waarbij de privacyregels gewaarborgd blijven. Dit kan – en bij voorkeur – op basis van een verwerkersovereenkomst. Een verwerkersovereenkosmt legt vast met welk doel de gegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. De overeenkomst legt ook een mogelijke boete op indien de verwerker in gebreke blijft.

Een dergelijke boete (mogelijk oplopend tot miljoenen als gevolg van de AVG) kan disproportioneel zijn voor de verwerker. Afhankelijk van de omvang en type verwerking kan daarom ook gedacht worden aan een privacystatement van de verwerker, indien dit statement voldoende invulling geeft aan de vereiste privacyregels. De verwerker wordt daarbij natuurlijk geacht adequaat invulling te geven aan dit statement.

Een alternatief is ook om de verwerker dezelfde eisen aan privacy en beveiliging op te leggen als die u als verantwoordelijke hanteert voor de verwerking van persoonsgegevens. U krijgt dan echter ook de plicht om de naleving hierop te controleren door middel van audits en / of rapportages. En u zult periodiek de afspraken moeten evalueren.

Maatregelen voor rechten van betrokkenen

De twee sleutelwoorden binnen de AVG zijn transparantie en zorgvuldigheid. Burgers (betrokkenen) hebben meer en uitgebreidere rechten gekregen onder de AVG. Zo hebben zij bijvoorbeeld recht op inzage en recht op vergetelheid.

Om de rechten van betrokkenen te waarborgen zult u een aantal maatregelen moeten treffen. Het gaat hierbij met name om de volgende zaken.

Toestemming en transparante informatie en communicatie

• Opstellen privacyverklaring voor op de website waarbij doel en gebruik van persoonsgegevens benoemt worden
• Vastlegging van toestemming voor gebruik persoonsgegevens
• In contracten eenduidig doel en verwerking opnemen van gebruikte persoonsgegevens

Inzage in doel en verwerkingen van gegevens en beperking van gebruik van de gegevens tot het doel van de verwerking

U moet mogelijkheid bieden tot inzage in doel en verwerking van gegevens van betrokkene(n). Dit kan op basis van het verwerkingsregister waarbij u de betrokkene(n) kunt informeren over de verwerkingen die met/voor de betreffende doelgroep uitgevoerd worden.

Correctie en/of verwijdering van gegevens en kennisgeving van verwijdering

• Mogelijkheid bieden voor betrokkene om correctie of verwijdering van persoonsgegevens te realiseren. Denk bijvoorbeeld aan mailingsystemen met een persoonlijk profiel en een unsubscribe optie.
• Hanteren van bewaartermijnen. Zo is bijvoorbeeld de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure.
• Beperking van overdracht van gegevens aan anderen, anders dan noodzakelijk voor het doel van de verwerking.

Mogelijkheid tot bezwaar en optie tot geen automatische verwerking

• Minimaal contactgegevens op de website.
• Indien nodig cookie toestemming instellen (mogelijkheid om geen cookies te bewaren bij gebruik van de website) etc.

Maatregelen voor informatiebeveiliging

Tot slot dient u de informatiebeveiliging van de systemen waarop persoonsgegevens opgeslagen/verwerkt worden op orde te hebben. Om dit te doen kunt u zich de volgende vragen stellen:

• Is er beleid m.b.t. informatiebeveiliging?
• Voeren we regelmatig risicoanalyses uit om onze beveiliging op orde te houden? En nemen we maatregelen om de risico’s te mitigeren?
• Controleren we de effectiviteit van de maatregelen en stellen we zo nodig bij?
• Voeren we een risicoanalyse en/of een PIA uit bij nieuwe projecten/veranderingen?
• Zijn onze medewerkers bewust van de risico’s die gepaard gaan met de informatiebeveiliging/ privacybescherming? En zijn zij op de hoogte van de maatregelen/regels die hierbij van toepassing zijn?
• Hebben we een procedure voor het melden van datalekken?

U bent misschien genegen om in deze context alleen aan IT zaken te denken maar het bovenstaande geldt ook voor bijvoorbeeld de archiefkast waarin u op geprinte A4 vellen persoonsgegevens bewaard. De AVG gaat over persoonsgegevens, niet zozeer over de media waar de opstaan.

Het gaat te ver om hier een complete opsomming te geven van alle zaken die gerelateerd zijn aan informatiebeveiliging maar u begrijpt hopelijk de strekking. Het gaat er feitelijk om dat u weet waar persoonsgegevens zich bevinden onder uw verantwoording en hoe deze veilig gesteld zijn.

Heeft u alles op orde? Gefeliciteerd, dan bent u klaar voor de AVG!