AVG? Met een DMS geen zorgen over wet- en regelgeving

25 mei 2018 is een datum die rood omcirkeld staat in de agenda’s van iedereen die iets met privacy van doen heeft. Op die dag gaat de Algemene Verordening Gegevensbescherming (AVG) in en veranderen de regels voor bedrijven en organisaties die persoonsgegevens verwerken.

Ook al is het verwerken van persoonsgegevens misschien niet uw corebusiness, toch is de kans groot dat ook uw bedrijf te maken gaat krijgen met de gevolgen van de AVG. Gezien de sancties die kunnen volgen bij overtreding van de regels is het hoe dan ook verstandig om werk te maken van de naleving van de AVG. De boetes kunnen in het slechtste geval oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

 

Wat verandert er onder de AVG?

Met de komst van de AVG verandert er veel op het gebied van de bescherming van persoonsgegevens. Dit zijn de belangrijkste veranderingen die voor alle bedrijven gelden:

Toestemmingsprincipe: Iemand (bijvoorbeeld een klant) moet expliciet toestemming verlenen voor het verwerken van de persoonsgegevens. Daarnaast heeft de klant het recht om de toestemming voor de verwerking van de gegevens in te trekken. Dit betekent nogal wat voor uw organisatie. Op het moment dat de klant de toestemming voor de gegevensverwerking intrekt, moet u de gegevens van deze klant snel kunnen vinden en kunnen wissen. Overigens blijven de bewaartermijnen voor facturen en dergelijke wel intact.

Dataminimalisatie: U mag alleen die gegevens verwerken van uw klanten die noodzakelijk zijn voor de levering van het gevraagde product of dienst. Dit betekent een extra uitdaging als het gaat om het slim opslaan van de gegevens.

Documentatieplicht: U moet kunnen onderbouwen welke maatregelen u heeft genomen om de persoonsgegevens goed te beschermen. U dient hierbij zowel de technische maatregelen als de organisatorische maatregelen te benoemen.

Beschermingen volgens de stand van de techniek: Als de AVG van kracht is, wordt u geacht de persoonsgegevens te beschermen volgens de stand van de techniek. Dit betekent dat er voortdurend geïnvesteerd moet worden in technische maatregelen om de beveiliging up-to-date te houden.

Logging: U moet te allen tijde kunnen aantonen wie er toegang heeft gehad tot bepaalde persoonsgegevens. Uiteraard moet ook duidelijk zijn waarom dit gebeurd is.

Dataportabiliteit: Een klant moet de mogelijkheid hebben om de data die in uw bedrijf staat opgeslagen op te vragen en mee te nemen naar een andere aanbieder. Dit betekent dat de data op een leesbare manier moet worden overgedragen.

 

Wat kan een DMS voor u betekenen?

Een documentmanagementsysteem (DMS) kan een grote bijdrage leveren aan het voldoen aan de eisen van de AVG. Op het gebied van de bescherming van persoonsgegevens biedt een DMS onder meer de volgende mogelijkheden:

Alle handelingen worden bijgehouden: U bent verplicht om aan te kunnen tonen wie er op welk moment toegang heeft gehad tot de persoonsgegevens. Een DMS biedt de mogelijkheid om te loggen welke gebruikers op welk moment toegang hebben gehad tot welk bestand. Omdat het DMS ook de verschillende versies van een document bewaard is het zelfs mogelijk om terug te halen wie er op 15 maart vorig jaar in de gegevens van een bestand stonden. Dit kan belangrijk zijn als duidelijk wordt dat dit bestand toen is geopend door iemand die dat niet mocht.  

Inrichten van workflows en procedures: Als u veel werkt met persoonsgegevens, dan kan het van belang zijn om procedures en workflows in te richten. Een voorbeeld van een procedure is een opdracht die automatisch alle bestanden uit het systeem haalt van klanten die hun toestemming voor de verwerking van gegevens intrekken. Zijn er bestanden waarin de gegevens van meerdere klanten staan, dan kan één van uw medewerkers een signalering krijgen om de betreffende regels te verwijderen.

Een ander voorbeeld is een procedure waarin toestemming wordt verleend voor toegang tot de gegevens. In de huidige situatie kan uw jurist misschien bij alle klantgegevens. In een DMS is het mogelijk dat de jurist toestemming vraagt voor de gegevens van een specifieke klant die met een rechtszaak dreigt. De jurist vermeld hierbij het casusnummer en de reden waarom hij deze specifieke informatie nodig heeft. Vervolgens kan iemand anders, bijvoorbeeld een functionaris gegevensbescherming, toestemming geven aan de jurist om deze gegevens ook daadwerkelijk in te zien.

Documenten verschillend behandelen: Met een DMS is het mogelijk om een verschillend toegangsbeleid te hanteren voor verschillende documenten. Documenten met bijzondere persoonsgegevens (bijvoorbeeld medische gegevens) zijn dan automatisch voor minder mensen toegankelijk dan documenten met minder gevoelige persoonsgegevens (zoals bijvoorbeeld adressen). Deze documenten kunnen automatisch worden geclassificeerd door het DMS.

Technische vereisten: Met de implementatie van een DMS krijgt u ook automatisch de beschikking over een aantal moderne beveiligingsmaatregelen. Zo worden de gegevens in een DMS niet lokaal opgeslagen. Wordt bijvoorbeeld een laptop van uw bedrijf ontvreemd, dan hebben de dieven niet zomaar toegang tot de persoonsgegevens van uw bedrijf. Zij kunnen alleen bij de gegevens als zij de gebruikersnaam en het wachtwoord voor het DMS ook hebben.

Eerder werd de noodzaak benoemd om uw gegevens te beveiligen conform de stand van de techniek. Een DMS kan eenvoudig van afstand bijgewerkt worden, zonder dat uw bedrijf daar hinder van ondervindt. Zo kunnen nieuwe dreigingen op het gebied van cybercrime aangepakt worden en kunnen nieuwe beveiligingstechnieken worden geïntroduceerd. Dergelijke updates kunnen eenvoudig op afstand worden uitgevoerd zonder dat uw medewerkers hier last van ondervinden.

 

Wat kunt u zelf nog doen?

Het in gebruik nemen van een DMS is een goede eerste stap op weg naar het voldoen aan de AVG. Om volledig aan de AVG te voldoen zijn er nog wel een aantal extra maatregelen nodig.

Organisatorische maatregelen: Naast technische maatregelen blijven organisatorische maatregelen vereist. Zo moet vastgelegd worden wie er in welke omstandigheden toegang nodig heeft tot welke persoonsgegevens. Dit is van belang om aan te tonen dat uw organisatie alles gedaan heeft om de data van personen te beschermen, bijvoorbeeld als er een medewerker misbruik heeft gemaakt van deze gegevens. Ook trainingen en audits kunnen onderdeel uit maken van deze organisatorische maatregelen.

Inrichten van het DMS: Met alleen het beschrijven van de maatregelen bent u niet klaar. De bovengenoemde organisatorische maatregelen moeten ook verwerkt worden in de inrichting van de DMS. Denk hierbij aan het inrichten van de autorisaties voor de medewerkers. Ook kunt u een procedure ontwikkelen voor de verwijdering van de gegeven van een klant die de toestemming voor dataverwerking intrekt.

 

Conclusie

De AVG vereist een grote omslag binnen veel organisaties als het gaat om het beheren van persoonsgegevens. Een deel van deze omslag is organisatorisch van aard. Zo dient uw organisatie beleid op te stellen waarin bepaald wordt wie in welke situatie toegang heeft tot welke systemen.

Een DMS biedt een uitstekende basis om het beleid op het gebied van gegevensbescherming gestalte te geven. Het systeem biedt talloze verschillende mogelijkheden als het gaat om het autoriseren van de toegang tot gegevens. Ook zijn er procedures mogelijk om gegevens te verwijderen. Tot slot kunt u precies zien wie op welk moment bepaalde gegevens heeft ingezien.

Omdat het DMS eenvoudig geüpdatet kan worden hoeft u zich geen zorgen te maken over de technische aspecten van de beveiliging. Het DMS zal altijd beveiligd worden conform de stand van de techniek. Dit is niet alleen een hele geruststelling als het aankomt op de AVG, u hoeft ook niet bang te zijn dat derden toegang krijgen tot uw bedrijfsgegevens.

 

Deel dit bericht: