Hoe u aan uw documentatieverplichtingen kunt voldoen met DMS
Een DMS kan bedrijven aanzienlijk ondersteunen bij het voldoen aan hun documentatie-eisen. Je kunt hier lezen hoe.
Een bedrijf dat persoonlijke gegevens verzamelt, moeten al deze stappen ook documenteren. De documentatie moet tot in detail alle basisinformatie over gegevensverwerking bevatten. Hieronder valt bijvoorbeeld het doel van de oorspronkelijke verzameling, maar ook of de gegevens aan derden worden verstrekt en zo ja, aan wie en voor welk doel.
De gegevenscategorie zelf moet ook zichtbaar zijn. In het interne documentbeheersysteem (DMS) van het bedrijf stapelen zich in de loop van de jaren talloze documenten op die persoonsgegevens van verschillende klanten bevatten. Dit betekent dat de huidige documentatievereisten ook aanvullende vereisten voor het DMS creëren.
AVG moet worden nageleefd
Op het eerste gezicht lijkt de documentatie-eis misschien een extra obstakel, wat het leven van talloze bedrijven moeilijk maakt en alleen maar extra inspanning vergt.
In feite heeft de juridische situatie echter ook praktische voordelen voor bedrijven die met persoonsgegevens werken, zij hebben namelijk ook een zogenaamde verantwoordingsplicht tegenover de betrokkene (de persoon wiens gegevens worden verzameld).
Bedrijven moeten informatie verstrekken
De verantwoording verplicht een bedrijf tot de mogelijkheid om de betrokkene op elk moment informatie te verstrekken over de gegevens die in het bedrijf zijn verwerkt.
Het documenteren van elke verwerkingsstap maakt het voor bedrijven veel gemakkelijker om aan deze verantwoordelijkheid te voldoen. Als een persoon informatie over zijn gegevens opvraagt, kan de huidige status op elk moment worden bekeken met volledige documentatie.
Bij twijfel kan snel worden bewezen dat de gegevens te allen tijde correct zijn verwerkt en dat er geen sprake was van schending van de AVG. Bedrijven kunnen zichzelf ook beschermen via de wettelijke documentatieplicht.
Documentatie van de technische en organisatorische maatregelen
Hetzelfde geldt voor de documentatie van technische en organisatorische maatregelen (afgekort TOM). Volgens de AVG zijn bedrijven die persoonsgegevens verzamelen en verwerken ook verplicht om vooraf passende technische en organisatorische maatregelen te nemen die een veilige, AVG-conforme verwerking van de gegevens vergemakkelijken en daarmee de veiligheid van de gegevens garanderen.
Bewijs ook voor zelfbescherming
Ook moet te allen tijde kunnen worden aangetoond dat deze maatregelen daadwerkelijk zijn genomen. Zeker wanneer zich een gegevensbeschermingsincident zoals een datalek voordoet, rijst al snel de vraag hoe dit had kunnen gebeuren.
- 'Wat heb je gedaan om de beveiliging van je klantgegevens te waarborgen?'
- 'Waren deze maatregelen mogelijk onvoldoende?'
- "Zijn de gegevens luchtig behandeld, waardoor het DMS een aantrekkelijk doelwit is voor hackers?"
Wanneer deze vragen zich voordoen, is het belangrijk dat bedrijven kunnen aantonen dat ze er alles aan hebben gedaan om gegevens zo goed mogelijk te beschermen. Dit omvat passende technische en organisatorische maatregelen, die van tevoren moeten worden genomen.
Privacy by Default en Privacy by Design
Er zijn twee verschillende soorten maatregelen: Privacy by Default en Privacy by Design. Dit laatste heeft betrekking op de selectie van een geschikt DMS-systeem of, in het algemeen, op de selectie van een geschikt platform dat de veilige verwerking van gegevens garandeert.
Privacy by Design
Als documenten met de persoonsgegevens van een betrokkene worden verspreid over verschillende mappen binnen het bedrijf die vrij toegankelijk zijn voor elke werknemer, voldoet dit nauwelijks aan het criterium "Privacy by Design".
In dit geval is het raadzaam om een DMS te implementeren met de juiste toegangsrechten. Dit kan ervoor zorgen dat onbevoegden niet gemakkelijk toegang krijgen tot gevoelige documenten.
Privacy by Default
Privacy by Default verwijst naar gedetailleerde privacy vriendelijke standaardinstellingen die in de DMS moeten worden gemaakt. Aan dit criterium kan worden voldaan door gegevensbeschermingsprocessen te automatiseren.
Functies binnen het DMS die aan deze eisen voldoen, zijn bijvoorbeeld een geautomatiseerde verwijdering van de gegevens nadat de wettelijke bewaartermijn is verstreken. Aangezien verwijderingsperioden nu automatisch in het systeem wordt opgenomen, bestaat er geen kans dat een menselijke fout zal resulteren in een overtreding.
Gegevensbescherming en documentatievereisten in het DMS
Er zijn vaak verschillende versies van een document in het bedrijf, bijvoorbeeld omdat er latere wijzigingen zijn doorgevoerd. Zonder een bijbehorend documentbeheersysteem geldt: hoe groter het aantal documenten, hoe moeilijker het is om alle wijzigingen bij te houden en ze goed te documenteren.
Zeker als er door de jaren heen een opeenstapeling van datasilo's is ontstaan en andere afdelingen met een andere versie van het document of datarecord werken. Er is dan geen transparantie over wat er wanneer en hoe is veranderd.
Logboekwijzigingen automatisch
Het gebruik van een DMS kan hierbij helpen. Een DMS kan automatisch wijzigingen bijhouden. Dit bespaart niet alleen tijd omdat een handmatige werkstap niet meer nodig is, maar zorgt er ook voor dat belangrijke logging door wordt vergeten. Op deze manier kan een bedrijf gemakkelijk zijn documentatieverplichting nakomen - en in een noodgeval ook zijn verantwoordelijkheid.
Hulp voor het MKB
Kleine bedrijven worden met name uitgedaagd door de vereisten van de AVG omdat ze vaak niet over de middelen beschikken om alle vereisten efficiënt te implementeren zonder hun dagelijkse activiteiten te beïnvloeden. Om deze reden zijn bedrijven die door de Europese Commissie zijn geclassificeerd als kleine en middelgrote ondernemingen vrijgesteld van het bijhouden van een register van alle gegevensverwerkingsactiviteiten.
Documentatie-eisen belast het MKB
Deze vrijstelling is echter onderworpen aan bepaalde voorwaarden. Bedrijven kunnen bijvoorbeeld grotendeels worden vrijgesteld van de documentatieverplichting als ze slechts af en toe gegevens verzamelen en de verwerking van de gegevens de rechten en vrijheid van de betrokkene niet in gevaar brengt.
Speciale gegevens vereisen speciale behandeling
Bovendien wordt een vrijstelling categorisch uitgesloten als gevoelige, persoonlijke gegevens worden verzameld die tot de definitie van "speciale gegevenscategorieën" behoren. Dit is bijvoorbeeld het geval als het gaat om gegevens over religie, etnische afkomst, gezondheid of seksuele geaardheid. Biometrische gegevens voor de unieke identificatie van een persoon vallen ook in deze categorie.
Waar bedrijven rekening mee moeten houden bij het uitvoeren van een DMS-pilot
De piloot bepaalt hoe geschikt uw nieuwe DMS is voor dagelijks gebruik. Hier vindt u alles wat u tijdens deze fase moet overwegen.
Lees verderMet deze tips kan het DMS succesvol worden geïnstalleerd
Wat is doorslaggevend bij het installeren van een documentbeheersysteem en hoe werkt het precies?
Lees verder