Afgelopen week heeft u deel 1 van “Aan de slag met GDPR” kunnen lezen. In een reactie van een collega werd ik er nog op gewezen dat GDPR een regulering is, geen wetgeving. Dat toont maar weer aan dat er bij dit soort zaken veel nuances zijn die impact hebben op de manier waarop we deze interpreteren, opvolging en uitvoering geven. De strekking van mijn verhaal wordt overigens niet anders, we moeten rap aan de slag, de tijd dringt!
Waar zijn we gebleven?
Niet om u te ontmoedigen maar stap 1 is nog niet geheel klaar. We hebben namelijk een inventarisatie van opgeslagen gegevens gemaakt, het gebruik of de toepassing vastgelegd maar we moeten nog iets meer detail toevoegen, namelijk:
- Welke data elementen verzamelen we?
- Wat valt onder de GDPR of persoonsgegevens?
Om dat te bepalen kunnen we een kruistabel opstellen waarmee dit duidelijk wordt.
De tabel geeft een overzicht welke persoonsgegeven elementen we verzamelen en waar deze voor worden toegepast. We kunnen daarmee dus toetsen of we de juiste toestemming hebben voor het in bezit hebben van deze gegevens.
Uiteraard als er meer gegevens of toepassingen zijn moet u deze in het overzicht opnemen en vervolgens kunnen per gegeven en toepassing verantwoorden en lokaliseren.
Stap 2, het beheren van data
We hebben stap 1 volbracht en kunnen we nu met stap 2 aanvangen: “Het beheren van data”. Onder dit punt beantwoorden we de volgende vragen:
- Heeft een individu de mogelijkheid om zijn persoonlijk opgeslagen gegevens in te zien?
- U kunt hier invulling aangeven door de mogelijkheid te hebben in bijvoorbeeld uw webwinkel de gegevens op een profielpagina inzichtelijk te maken, veel commercial-off-the-shelf webshops hebben deze mogelijkheid beschikbaar. Maar wat nu als u geen webshop heeft, hoe geeft u dan invulling aan dit verzoek? Het kunnen leveren van een kopie van de opgeslagen data in een door mensen leesbaar formaat is daarin de minimale eis. Dat betekent dus dat u bijvoorbeeld een tekstbestand per email kan sturen of de zelfde gegevens per traditionele brief kunt versturen, zo u wilt.
- Kunt u de opgeslagen gegevens op verzoek corrigeren?
- Dit lijkt op het oog een eenvoudig punt maar, als we even verder kijken dan komen we vaak veel kopieën van gegevens tegen. Deze zijn opgeslagen in exportbestanden, zijn verstuurd als email attachment, etc. Potentieel wordt u in staat geacht een wijziging in al deze bestanden aan te kunnen brengen (denk daarbij ook aan bijvoorbeeld back-ups) tenzij u een ander proces heeft om wijzigingen bij te houden en al uw gegevens consistent te houden. Gebruik maken van Cloud oplossingen helpt in deze doordat cloudapplicaties er voor zorgen dat bij aanpassing van uw primaire gegevens deze naar andere gebruikers van deze gegevens worden gesynchroniseerd. Denk hierbij aan adresboeken, Office documenten, etc. Vaak hoeft u dit soort bestanden ook niet meer als attachment te mailen maar kunt u gebruik maken van een bestandsverwijzing. Dat maakt uw proces stukken minder complex. Wat wel belangrijk is, is het hebben van een wijzigingsregister zodat (mocht dat nodig zijn) u na het herstellen van een back up kunt controleren of alle gewenste wijzigingen zijn doorgevoerd.
- Kunt u de gegevens van een individu verwijderen?
- Let wel, er wordt hierbij niet gezegd dat dit stante pede moet, maar wel dat u in staat moet zijn de gegevens van een individu op verzoek te verwijderen. Dat kan zoveel betekenen dat u vandaag de klant uit de webwinkel gegevens verwijderd maar het nog tot 6 maanden duurt voordat de gegevens uit de oudste back ups zijn verwijderd aangezien deze in een 6 maandelijkse rotatie zitten.
- Kan een individu bezwaar maken tegen verwerking van zijn gegevens voor een specifiek doel?
- Stel, u hebt ooit mobiele telefoonnummers opgeslagen in de webshop maar nu ontstaat het idee dat u deze gegevens voor het sturen van een betaallink via WhatsApp wilt gaan gebruiken. Heeft een klant dan de mogelijkheid om dat te voorkomen? Dat betekend dus dat u een opt-out moet voorzien en de klanten vooraf moet informeren over het aanstaande gebruik via een kanaal waarvoor u reeds toestemming hebt (bijvoorbeeld email). Let wel, als de klant geen expliciete toestemming verleent mag u het gegeven niet gebruiken!
- Kunnen de individuen bij u een kopie van de opgeslagen data ontvangen?
- Zoals in de beantwoording van de eerste vraag onder stap 2 al benoemd is, kunt u een voor mensen leesbaar bestand aanleveren met daarin de door u vastgelegde klantgegevens? Dit mag dus een tekstbestand zijn, PDF, Excel sheet, email, etc.. Wat u daarvoor moet hebben is een stukje documentatie over het proces dat u daarbij volgt. Dat heeft u nodig zodat bij controle door een toezichthouder u kunt laten zien welke bronnen u raadpleegt om een verzoek af te handelen en er voor zorgt dat u volledig bent in uw rapportage.
Zoals al eerder aangekondigd, het is een lijvig stukje werk dat u zult moeten verichten. We hebben bij deze stap 2 afgerond en komen in een volgend blog terug op de uitvoering van stap 3, het beschermen van data
