Notice: Trying to access array offset on value of type null in /home/avgready/domains/avgready.eu/public_html/wp-content/plugins/js_composer/include/autoload/vc-shortcode-autoloader.php on line 64
Notice: Trying to access array offset on value of type null in /home/avgready/domains/avgready.eu/public_html/wp-content/plugins/js_composer/include/autoload/vc-shortcode-autoloader.php on line 64
Notice: Trying to access array offset on value of type null in /home/avgready/domains/avgready.eu/public_html/wp-content/plugins/js_composer/include/autoload/vc-shortcode-autoloader.php on line 64
AVG Inventarisatie
Een inventarisatie omtrent de AVG begint bij het inzichtelijk maken van welke data u als bedrijf verzameld, bewerkt/aanpast en bewaard.
Een data-inventarisatie – Hoe en waarom?
Van alle bedrijven binnen de EU wordt geacht dat men zich zal houden aan de AVG en daarmee is antwoord gegeven op de vraag “waarom”. Over de handhaafbaarheid kunnen we enkel de verwachting uitspreken dat deze serieus en grondig gaat zijn.
In grotere organisaties zal een projectmatige aanpak noodzakelijk zijn om inzicht te krijgen in welke maatregelen getroffen dienen te worden. Ook zullen er binnen verschillende afdelingen eindverantwoordelijken geïnstalleerd moeten worden om de controle in house voor de korte en de langere termijn te waarborgen.
Niet alleen om aan alle verplichtingen die uit de privacyverordening voortvloeien, tijdig te implementeren. Dwingt de AVG er ook toe om op een bewustere manier met privacy gevoelige data om te gaan. De wijze waarop de gegevens worden bewaard, aangepast en mogelijk worden gedeeld, zal onder de loep komen te liggen. De dataprocessen inzichtelijk maken gekoppeld aan uitgeschreven protocollen zal zorgdragen voor een meer gestroomlijnd data-proces. Een van de belangrijkste taken is het inventariseren van de aanwezig data.
Een data-inventarisatie is een onderzoek waarbij in kaart gebracht wordt welke persoonsgegevens door of namens de organisatie worden verwerkt en onder welke omstandigheden.
Een methode om dit adequaat te doen is gebruik te maken van ‘systematisch verwerkings-methode’. Hierbij wordt eerst in kaart gebracht waar de persoonsgegevens op dat moment wordt vastgelegd om vervolgens per type data vast te stellen hoe deze verder wordt toegepast.
-
- Locatie data (software/apps, databases, servers e.d.)
- Locatie binnenkomst data (software, databases, servers e.d. per afdeling)
Het verzamelen van data is niet enkel een IT/ICT kwestie. Ook wanneer er handmatig data verzameld wordt, dient daarover duidelijkheid te bestaan op welke wijze deze gegevens bewaard en gebruikt wordt.
Ook de uitwisseling van data tussen onderlinge systemen dient inzichtelijk te worden gemaakt. Deze zogenoemde kruisverbanden kunnen het best schematisch worden uitgewerkt.
Belangrijkste redenen voor een data-inventarisatie
Een data-inventarisatie dient meerdere doelen:
- Beoordeling rechtmatigheid (volgens: privacy by design)
- Organisatie impact
- Registratie mogelijk maken verwerking-log (verwerkingsactiviteiten)
- Bewustwording
- Data-optimalisatie / Data-minimalisatie
Beoordelen van de rechtmatigheid
De AVG stelt aardig wat eisen aan de verwerking van persoonsgegevens. Om te kunnen bepalen of de verwerkingen voldoen aan de eisen die de AVG daar aan stelt, zal er inzicht moeten zijn in welke data op welke manier wordt verzameld.
Organisatorische impact
Het verzamelen en verwerken van data heeft invloed op iedere organisatie. Middels de inventarisatie komt er inzicht in de hoeveelheid en de exacte wijze waarop data verzameld en verwerkt wordt. Dit is noodzakelijk voor het nemen van maatregelen in het kader van de AVG. Als grote meerwaarde geeft het ook inzicht in, op welke wijze het verzamelen, verwerken en bewaren van data heeft voor uw organisatie.
Wanneer daarbij ook de bestaande data-opslag capaciteit en kosten worden geïnventariseerd, geeft het uw organisatie inzicht in op welke wijze deze kosten mogelijk kunnen worden gedrukt door efficiënter om te gaan met de wijze waarop data wordt verzameld en bewaard.
Een goed voorbeeld van kostenbesparing is de noodzakelijke doorlooptijd (en bewaartermijn) onder de loep te nemen. In veel gevallen kan een aanzienlijk percentage van verzamelde data eerder worden verwijderd uit opslag en systemen waardoor de omvang van de data-opslag maar ook de kosten voor verwerking omlaag gaan.
Register van verwerkingsactiviteiten
De AVG verplicht organisaties expliciet om een register van verwerkingen bij te houden (artikel 30 AVG). De uitkomsten van de data-inventarisatie dienen als basis voor het aanleggen van een dergelijk register.
Bewustwording
Het is verstandig om medewerkers die dagelijks te maken krijgen met het verzamelen van persoonsgegevens, bewust te maken van de privacy-wetgeving en de gevolgen voor uw organisatie.
Data-optimalisatie / Data-minimalisatie
Zoals aangegeven geeft genoemde inventarisatie inzicht in de hoeveelheid data, de samenstelling en waar deze data zich op welk moment bevind. Met deze inzichten is het mogelijk om de data zoveel mogelijk te minimaliseren.
Hoe voert u de data-inventarisatie uit?
Geschikte methode kiezen:
- Welke methode past bij uw organisatie?
- Welke methode wordt gekozen en waarom?
- Hoe wordt de uitvoer tot stand gebracht?
- Wat gaat de opvolging worden van de resultaten?
Methode
Met als rode draad de privacy-verordening dient u een methode te kiezen die past bij uw organisatie. Voor een deel kunt u dit bepalen door uit te gaan van de werkwijze die u hanteert bij andere inventarisatie, maar u kunt er ook voor kiezen kritisch te kijken naar de bestaande aanpak en bewust te kiezen voor een meer gestructureerde aanpak. Wanneer het voor de hand liggend kan zijn gebruik te maken van een Excel-document, doet u er wellicht goed aan voor deze inventarisatie een meer gecentraliseerde oplossing te kiezen ipv het rondsturen van genoemd excel-document.
Oplossingen zoals Data Protection Centre kunnen u daarbij helpen, maar onze experts kunne voor uw organisatie ook een intra of extranet oplossing bieden, waarmee opmaat de juiste vragen gesteld kunnen worden aan de medewerkers binnen uw afdeling en totale organisatie.
Ook bij bovengenoemd proces krijgt u te maken met het “verzamelen van data”, en ook hier is de AVG leidend.
Organisatie
In alle onderdelen van de organisatie worden persoonsgegevens verwerkt, aangepast of gebruikt. Het is belangrijk om gericht medewerkers te kiezen die eindverantwoording nemen voor deze privacy gevoelige informatie. Wanneer u alle informatie in volledigheid in kaart wenst te brengen is het belangrijk dat u betrokkenheid vanuit alle lagen van uw organisatie heeft.
De wijze waarop u personeel wordt geïnstrueerd m.b.t. de inventarisatie is van groot belang. Ook zaken als eenduidigheid m.b.t. het gewenste aggregatieniveau en semantiek zijn essentieel.
Resultaten
Wanneer de inventarisatie volledig is voltooid, is het van belang om deze up-to-date te houden en te controleren. Vooral wanneer u de wijze waarop data wordt verwekt en bewaard wenst te optimaliseren, is dit een continue proces. Voor de controle en het handhaven is het verstandig om zicht te krijgen op de risico-factoren (daar op te laten controleren/toetsen) en profielen te creëren waarmee uitvoerbaarheid ook in de toekomst mogelijk blijft. Bovendien zal verandering van systemen en de verdere ontwikkeling/groei van u organisatie verandering te weeg kunnen brengen in de wijze waarop de data in uw organisatie rondgaat, bewaard en beheerd wordt.
U dient als organisatie op ieder moment de juiste conclusie te kunnen trekken om zo aantoonbaar inzicht te kunnen geven in de juiste handelswijze omtrent de AVG.
Wanneer uw organisatie AVG ready wil zijn, begint dat met de keuze voor de juiste methode en opvolging van de inventarisatie.