Hoe een DMS helpt om deadlines voor verwijdering na te leven
Verwijderingsperioden vormen een belangrijk onderdeel van de AVG. Hier kunt u lezen hoe een DMS bedrijven daarbij ondersteunt.
Met de definitieve inwerkingtreding van de AVG in mei 2018 heeft de veilige, ordelijke omgang met gevoelige gegevens opnieuw publieke belangstelling gekregen. Als een bedrijf de daarin vastgestelde richtlijnen voor gegevensbescherming overtreedt, worden er hoge boetes opgelegd.
Wat DMS te maken heeft met gegevensbescherming
Een documentbeheersysteem (kortweg DMS) dat alle bedrijfsrelevante documenten centraal opslaat, lijkt aanvankelijk problematisch vanuit het oogpunt van gegevensbescherming. Bij een incident kunnen gevoelige documenten in verkeerde handen vallen. Zo'n incident is dodelijk voor het imago van een bedrijf.
DMS ondersteunt gegevensbescherming
Maar dat is slechts één kant van de medaille. DMS-oplossingen hebben speciale functies die het bedrijf kunnen helpen om te voldoen aan de richtlijnen voor gegevensbescherming. Een voorbeeld van hoe DMS-software kan helpen bij gegevensbescherming is te vinden in artikel 17 van de AVG.
Er moet aan veel eisen worden gedacht
Dit artikel zal voor velen bekend zijn onder de term 'recht om te worden vergeten'. Om te illustreren hoe een DMS kan helpen bij de naleving van dit artikel, moeten we eerst de gegevensbeschermingsvereisten in dit artikel nader bekijken.
Het "recht om te worden vergeten" in het DMS
Hoofdstuk 3 Artikel 17 AVG heeft betrekking op de rechten van personen wier gegevens door bedrijven worden verzameld. Hieronder wordt naar een dergelijke persoon verwezen als "betrokkene". Artikel 17 verleent de betrokkene het recht om de verantwoordelijke onderneming te verzoeken de gegevens te verwijderen.
Bedrijven moeten rechten beschermen
Het bedrijf is verplicht om aan dit verzoek te voldoen als de gegevens om onwettige redenen zijn verzameld, als deze overbodig zijn geworden voor het vervullen van het oorspronkelijke doel van de enquête of als de betrokkene bezwaar maakt tegen de gegevensverzameling met terugwerkende kracht.
Proactief handelen
Tot nu toe zo goed. De situatie lijkt in eerste instantie duidelijk. Als een betrokkene om verwijdering van zijn gegevens verzoekt, moet een bedrijf in de meeste gevallen aan dit verzoek voldoen. Het bedrijf moet zich echter aan bepaalde tijdslimieten houden: de zogenaamde verwijderingsperiodes.
Opbergen vs. Verwijderingsperioden
Het moet algemeen bekend zijn dat bedrijven verplicht zijn documenten gedurende een bepaalde periode veilig te bewaren - de zogenaamde bewaartermijn. Voor contracten begint deze periode pas na het einde van het contract. Afhankelijk van het type document kan de bewaartermijn aanzienlijk variëren.
Zo moeten gezondheidsdossiers voor stralingsbescherming 30 jaar worden bewaard, boekhouddocumenten tien jaar en afleverbevestigingen voor geneesmiddelen slechts drie jaar (zie audatis.de). Maar wat gebeurt er nadat deze periode is verstreken? Wanneer moeten de documenten in het DMS correct worden verwijderd?
Verwijderingsperioden
Laten we vasthouden aan het voorbeeld van artikel 17 hierboven, waarin een betrokkene zijn recht om vergeten te worden uitoefent en het bedrijf verzoekt om gegevens te verwijderen. Wanneer moet het bedrijf precies aan dit verzoek voldoen? In feite specificeert de GDPR in dit geval geen specifieke deadline in dagen.
Verwijdering van gegevens belangrijk
Het verplicht ondernemingen er echter toe om onverwijld, dus zonder "verwijtbare vertraging", aan een overeenkomstig verzoek van de betrokkene te voldoen. Met andere woorden, het verwijderen van gegevens in het bedrijf moet prioriteit krijgen.
Dit kan voor veel bedrijven problemen opleveren die in de loop der jaren documenten hebben verzameld met de persoonsgegevens van talrijke klanten als veel klanten tegelijkertijd artikel 17 gebruiken.
DMS helpt om overzicht te houden
In het ergste geval worden de documenten van een klant opgedeeld in verschillende te stoffige bestanden, die op hun beurt over het hele bedrijf worden verdeeld over verschillende afdelingen. Bijna geen enkele medewerker heeft een overzicht van welke documenten en welke klanten waar te vinden zijn.
DMS-functies
Als alle documenten van de klant centraal in het DMS zijn opgeslagen, wordt lokalisatie veel eenvoudiger. Met functies als zoeken in volledige tekst kunnen alle documenten die voor een specifieke klant in de database zijn opgeslagen, binnen enkele seconden worden opgeroepen.
Verbinding met het CRM-systeem
Als het DMS via een interface is verbonden met het CRM-systeem van het bedrijf, heeft dit nog meer voordelen. Een aanvraag voor verwijdering door een betrokkene wordt in eerste instantie ontvangen via CRM. Als er nu een interface met het DMS is, kan het verzoek van de klant hier rechtstreeks worden opgevolgd.
Veel automatiseringen mogelijk
Er is ook de mogelijkheid om het systeem u automatisch te laten informeren over inkomende verwijderingsverzoeken. Bovendien helpt een geprioriteerde melding van verwijdering binnen het DMS, wat de urgentie van de verwijdering classificeert, afhankelijk van de ontvangst van het verzoek.
Beveiliging speelt een belangrijke rol
Het wordt duidelijk dat een DMS het werk van een bedrijf in gegevensbescherming gemakkelijker of zelfs gemakkelijker kan maken. Volgens de AVG zijn bedrijven zelfs verplicht om bepaalde "technische en organisatorische maatregelen" te nemen om de veiligheid van hun gegevens te waarborgen. Een geschikte spanningsmeter voldoet aan deze criteria. Maar wat is de daadwerkelijke verwijdering van de documenten in het DMS?
De juiste verwijdering dankzij DMS
"Het internet vergeet niks." Dit citaat zou de meeste lezers bekend moeten zijn. In feite is de vraag wat er precies wordt bedoeld met de term "verwijderen" in tijden van digitale transformatie terecht. We zoeken tevergeefs naar een exacte definitie in de huidige juridische situatie.
Het is echter belangrijk dat er na het verwijderen niet langer de mogelijkheid is om de gegevens "zonder onevenredige inspanningen" te herstellen of om er met terugwerkende kracht toegang toe te krijgen.
Wat zijn de straffen voor overtredingen?
Sinds de inwerkingtreding van de AVG zijn de eerste inbreuken op de gegevensbeschermingswet door de media gemaakt. Deze schendingen kunnen in geval van nood het imago van het betreffende bedrijf permanent beschadigen. Maar naast het publieke gezichtsverlies, kunnen bedrijven ook zware straffen krijgen voor het overtreden van de GDPR, die zijn gedefinieerd in artikel 25.
Gevoelige boetes
Als er bijvoorbeeld geen technische default instellingen zijn gemaakt om de beveiliging van de data te waarborgen, kunnen boetes van 10 miljoen euro of 2% van de jaaromzet van het voorgaande jaar opgelegd worden. Uiterlijk op dit punt moet duidelijk worden hoe belangrijk het is om op eigen initiatief passende gegevensbeschermingsmaatregelen te nemen.
Net begonnen
Maar dit is niet de hoogste straf die de AVG voorziet in een overtreding. Als een bedrijf bijvoorbeeld de oormerken van de verzamelde gegevens schendt, kan de overeenkomstige boete 20 miljoen EUR of 4% van de overeenkomstige jaaromzet van het voorgaande jaar bedragen.
Conclusie: DMS als hulpmiddel voor gegevensbescherming
De moraal van het geheel is niet om jezelf te verdedigen tegen digitalisering, maar om het te gebruiken als een instrument om je eigen doelen te bereiken. Een geschikt DMS-systeem kan een bedrijf op het gebied van gegevensbescherming enorm ondersteunen als het correct wordt gebruikt en gebruikt.
Waar bedrijven rekening mee moeten houden bij het uitvoeren van een DMS-pilot
De piloot bepaalt hoe geschikt uw nieuwe DMS is voor dagelijks gebruik. Hier vindt u alles wat u tijdens deze fase moet overwegen.
Lees verderMet deze tips kan het DMS succesvol worden geïnstalleerd
Wat is doorslaggevend bij het installeren van een documentbeheersysteem en hoe werkt het precies?
Lees verder