Documentmanagement en voldoen aan de AVG – 4 tips
Meer dan de helft van de Nederlandse bedrijven voldoet niet aan de AVG. Dat terwijl de privacywet al drie jaar lang van kracht is. Dat meldde het Financieel Dagblad afgelopen 5 april. Hoe het komt dat zo veel organisaties nog niet voldoen aan de AVG, leggen we uit in deze blog. Daarnaast geven we een aantal tips over hoe u ervoor kunt zorgen dat uw documenten wel volgens de regels van de AVG zijn opgeslagen.
Wat is de AVG?
De AVG is de Algemene Verordening Gegevensbescherming of in het Engels: General Data Protection Regulation (GDPR). Sinds 2018 is deze van kracht en het geldt in de volledige EU. De AVG geldt voor alle bedrijven en organisaties. De exacte regels van de wet zijn ingewikkeld, maar het uitgangspunt is dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van uw verwerking. Er moet dus een geldige ‘grondslag’ zijn om ze te bewaren. Daarnaast er zijn ook nog allerlei regels over hoe die gegevens bewaard moeten worden. Kijk op de website van Autoriteit Persoonsgegevens (AP) of de website van de KvK voor de volledige uitleg van de AVG.
Tips
Privacy by design en privacy by default
Privacy by design houdt in, dat er bij het ontwerpen van het registratiesysteem van uw organisatie al rekening wordt gehouden met de privacyregels bij het bewaren en verwerken van persoonsgegevens in het systeem. Alle nieuwe gegevens worden automatisch netjes opgeslagen.
Privacy by default houdt in, dat niet meer gegevens worden verzameld dan nodig is. Zoals eerder vermeld moet er een goede grondslag zijn voor het verzamelen van gegevens. Als een lead of klant zich aanmeldt voor de digitale nieuwsbrief is het bijvoorbeeld niet nodig om het huisadres te registreren. Als u van plan bent om een welkomstpakket te versturen dan kunt u natuurlijk wel vragen om adresgegevens.
Gebruik Nederlandse of Europese cloud servers
Veel organisaties kiezen ervoor om data met daarin ook persoonsgegevens op te slaan in de cloud. De grootste aanbieders van clouddiensten zijn Amerikaanse bedrijven, zoals Google, Amazon en Microsoft. Houdt er rekening mee dat de AVG een Europese wet is. Dit betekend dus dat niet iedereen op de wereld zich hoeft te houden aan deze regels, dus ook de Amerikaanse clouddiensten niet. Volgens het FD stellen de Amerikaanse clouddiensten de gebruikers van hun software te vaak niet in staat de Europese regels na te leven en ze zijn niet transparant over wat ze doen met hun klantdata. Dit is de hoofdreden dat het merendeel van de Nederlandse organisaties zich onbewust niet houdt of kan houden aan de AVG.
De server waarop persoonsgegevens zijn opgeslagen moet bijvoorbeeld staan op Europees grondgebied. Let dus bij het kiezen van een clouddienst goed op waar de servers zijn gevestigd. Bij het configureren van clouddiensten kun je vaak aangeven waar de data moet staan. Kies hier voor West-Europa. Heb je een clouddienst met een secundaire locatie in verband met back-ups, let er dan op dat ook deze op Europees grondgebied staat.
Bescherm je gegevens goed
Dit klinkt natuurlijk logisch maar helaas gebeurt het nog te vaak dat organisaties dit niet goed op orde hebben. Niet iedereen binnen een organisatie mag persoonsgegevens zomaar inzien. Deze gegevens moeten daarom worden afgeschermd voor medewerkers die geen persoonsgegevens verwerken. Persoonsgegevens zijn voor bijvoorbeeld de website ontwerper niet relevant dus hij/zij mag dan deze dan ook niet inzien. Dit ging afgelopen jaar fout bij de GGD. Medewerkers van de Corona Testlijn konden enkele gevoelige persoonsgegevens inzien terwijl deze niet relevant waren voor hun werkzaamheden. Veel mensen werden bezorgd en de telefoonlijn van de AP stond roodgloeiend. Naast het overtreden van de wet, met een boete als gevolg, loopt uw organisatie hierdoor ook imagoschade op.
Datalekken melden
Als het toch fout gaat en er is een datalek, ben je als organisatie verplicht dit te documenteren en te melden bij de Autoriteit Persoonsgegevens. Gebeurt dit niet, dan volgen er hoge boetes. Kleine datalekken hoeven niet altijd gemeld te worden, maar wel altijd worden gedocumenteerd.
Het is belangrijk dat de regels van de AVG serieus worden opvolgt, aangezien klanten veel waarde hechten aan hun privacy. Klanten sturen de gegevens op in goed vertrouwen en gaan er dus vanuit gaan dat ze volgens de AVG worden bewaard. Bovendien kan de autoriteit persoonsgegevens hoge boetes kan opleggen. De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Oplossingen
De Document Management oplossingen van SolidFlows houden rekening met de eisen van de AVG. Zo zullen we tijdens het inrichtingstraject van bijvoorbeeld onze oplossing DocBase vragen stellen in het kader van privacy by design. Er kunnen autorisatieprofielen worden aangemaakt, elk met verschillende rechten. Zo kan elke medewerker gebruikmaken van hetzelfde systeem, maar niet elke medewerker alle documenten inzien. Ook bepaalde velden kunnen afgeschermd worden, hiermee voorkom je een situatie zoals bij de GGD.
Voor kleine tot middelgrote organisaties raden wij de document management oplossing CloudCompagnon aan. Deze maakt gebruik van dezelfde onderliggende technologie en is speciaal ontworpen voor het MKB. Ook bij het ontwerpen van CloudCompagnon is privacy by desgin gebruikt en het wordt gehost op Nederlandse servers.