In mijn dagelijkse ronde nieuwsgaring stuitte ik op een artikel waarin accountants de vraag stellen of ze bepaalde bedrijfsgegevens überhaupt wel mogen verwerken.
Dat is natuurlijk een interessant vraagstuk, zeker in het perspectief van de invoering van AVG, de nieuwe wet- en regelgeving voor bescherming van persoonsgegevens.
Mag het?
Om de vraag te kunnen beantwoorden moeten we een flinke lijst aan criteria beoordelen en vastleggen.
Verantwoordelijke of verwerker?
U moet bepalen of u verantwoordelijke of verwerker van de gegevens bent. Verantwoordelijke bent u als u bepaald met welke middelen en voor welke doeleinden de gegevens worden verwerkt.That’s it, in alle andere gevallen bent u verwreker en zult u een verwerkingsovereenkomst met de verantwoordelijke moeten hebben afgesloten.
Natuurlijk persoon?
Is het gegeven een persoonsgegeven van een natuurlijk persoon uit de EU of vindt verwerking binnen de Europese economische zone plaats?
Zo niet, dan is er onder de AVG geen beperking.Als dit wel het geval is, ga dan verder met de vervolgvragen
Persoonsgegevens?
Er zijn een aantal typeringen voor persoonsgegevens en deze vereisen allen een specifieke aanpak in de verwerking.
Voor uitleg lees dit artikel bij de Autoriteit Persoonsgegevens
Verwerkingsdoeleinden?
Voor welke verwerkingsdoeleinden is het persoonsgegeven in mijn bezit? Denk daarbij aan klantondersteuning, facturatie, debiteurenbeheer, financieel bedrijfsadvies, etc. U moet precies vastleggen waarvoor u de gegevens toepast. Daarnaast zijn er twee principes die u op de verwerking moet toepassen, namelijk:
- Verwerkingsminimalisatie; Het principe waarmee u waarborgt dat er niet onnodig veel kopieën van de data ontstaan en de gegevens potentieel onnodig worden blootgesteld aan verwerkers waardoor de privacy afneemt
- Data minimalisatie; Het principe waarmee u zorgt voor beperking van de impact op de privacy door verwerking. Gegevens die niet noodzakelijk zijn behoort u ook niet vast te leggen, dus als u een geboortedatum van uw klant vastlegt moet deze noodzakelijk gebruikt worden in uw bedrijfsproces, anders mag u deze niet zomaar vastleggen. Uitdrukkelijke toestemming van de klant vragen is dan de enige optie.
Onder welke grondslag is het gegeven verkregen?
Er zijn zes grondslagen die van toepassing kunnen zijn. U moet documenteren onder welke grondslag u een gegeven heeft verkregen en vastlegt
- De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meerdere specifieke doeleinden.
Deze toestemming moet u bij bijvoorbeeld een audit kunnen tonen. - De verwerking is noodzakelijk voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen
Dit is veelal de toegepaste grondslag, in het kader van de dienstverlening - De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, die op de verantwoordelijke rust.
Denk hierbij bijvoorbeeld aan de bewaarplicht van en financiële administratie - De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
Waar het gaat om het redden van een leven is dit een rechtmatige grondslag voor het vastleggen van en persoonsgegeven - De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Denk aan surveillancebeelden die worden opgeslagen en opsporingsambtenaren die aan een zaak werken en daarbij personen moeten documenteren - De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Bij deze motivatie behoort een toelichting van het gerechtvaardigd belang gedocumenteerd te worden
Wie heeft er toegang tot deze gegevens?
Waar het gaat om de verwerking van data van uw klant moge het vanzelfsprekend zijn dat uw HR-staf daar niets mee van doen heeft. Door te registreren wie toegang heeft en welke autorisaties er zijn kunt u controleren of een bepaald persoonsgegeven correct wordt verwerkt
Verwerkingsregister aanleggen
De check die u nu heeft gedaan is onderdeel van het creëren van een verwerkingsregister, dat is één van de verplichtingen die de AVG met zich meebrengt voor alle organisaties die persoonsgegevens verwerken. Zoals u waarschijnlijk wel heeft gemerkt is het niet altijd eenvoudig om de vragen te beantwoorden en ook daadwerkelijk te weten waar gegevens worden verwerkt. Het is dus hoogste tijd dat u aan de slag gaat met het aanleggen van een verwerkingsregister.
#AanDeSlag
