Inmiddels zijn we bijna een jaar verder sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (de AVG). Waar staan we, wat zijn de belangrijkste lessons learned voor organisaties die persoonsgegevens verwerken en welke slimme oplossingen zijn er inmiddels voorhanden?
Het afgelopen decennium hebben we massaal persoonsgegevens verzameld, opgeslagen, verwerkt en weer gedeeld voor de meest uiteenlopende doelen. Door dit enorm toegenomen datagebruik heeft de data zich binnen organisaties als een olievlek verspreid. Het gevolg is dat het vaak onvoldoende duidelijk is welke persoonsgegevens waar zijn opgeslagen. Dit vereist een verhoging van het privacybewustzijn.
Veel organisaties zijn het afgelopen jaar druk geweest met het nemen van maatregelen om te kunnen voldoen aan alle verplichtingen die de AVG stelt aan organisaties die persoonsgegevens verwerken. Het uitvoeren van de rechten van betrokkenen (zoals het recht van inzage en het recht op vergetelheid) zijn hier bekende voorbeelden van. Om gehoor te kunnen geven aan deze verzoeken, is het noodzakelijk om exact te weten welke persoonsgegevens er worden verwerkt, waarom deze worden verwerkt en hoe en waar deze zijn opgeslagen. Het in control zijn over het datagebruik is voor de meeste organisaties nog steeds de grootste uitdaging.
Inzicht in nieuwe en bestaande verwerkingen
In control zijn over het datagebruik houdt in dat een organisatie inzicht heeft in haar verwerkingen van persoonsgegevens en deze vastlegt in het verplichte verwerkingsregister. In de praktijk betekent dit dat organisaties ook van alle bestaande verwerkingen van persoonsgegevens moeten vastleggen welke gegevens voor welk doel en op basis van welke grondslag worden verwerkt. Daarnaast moeten er maatregelen zijn genomen om de gegevens te beveiligen, op te slaan en weer te verwijderen en ook nog volgens de afgesproken bewaartermijn.
Correct gebruik van persoonsgegevens door Data Usage Board
Om de verwerking vast te leggen is het noodzakelijk deze eerst te toetsen aan de privacywet en vast te stellen op basis van welke grondslag de verwerking gerechtvaardigd is. Gezien het grote aantal bestaande verwerkingen en de toename van het aantal nieuwe verwerkingen roepen steeds meer organisaties de hulp in van gespecialiseerde datapartijen voor het opzetten van een Data Usage Board (DUB).
Een goed ingericht Data Usage Board beoordeelt verwerkingen vanuit verschillende perspectieven (privacy, security, datamanagement en medezeggenschap), toetst deze aan de betreffende wetgeving en bepaalt onder welke voorwaarden de verwerking is toegestaan. Bestaande verwerkingen kunnen zo met terugwerkende kracht worden beoordeeld. Waar nodig kunnen maatregelen worden bepaald om de verwerking aan te passen of in het uiterste geval stop te zetten. Voor nieuwe verwerkingen is er één efficiënt ingericht proces waarbij de business en/of de data-analist de voorgestelde verwerking kan toetsen aan de verschillende disciplines. Daarmee is het meteen helder wat mogelijk is met de betreffende persoonsgegevens.
De ervaring leert dat het inrichten van een Data Usage Board bijdraagt aan de grootste uitdagingen van organisaties in het kader van de AVG: het verhogen van het privacybewustzijn en het in control komen en blijven over het datagebruik binnen een organisatie.
Patrick van den Bos werkt als privacy consultant vanuit Viacryp.