WhatsApp Facebook Twitter LinkedIn Mail

Strengere wet AVG vraagt om een herziening van informatiebeheer

Persoonsgegevens worden in het bedrijfsleven op een erg grote schaal verzameld en verwerkt. Onder de Algemene Verordening Gegevensbescherming (AVG) gelden er sinds 25 mei 2018 nieuwe regels omtrent deze gegevensverzameling en -verwerking. Deze wet is strenger, en overtredingen worden zwaarder beboet. Bedrijven hebben er dus alle belang bij om hun informatiemanagement te evalueren.

Lees ook het achtergrondartikel over de wet AVG.

De invloed van de AVG op documentbeheer

Elk bedrijf, van een eenmanszaak tot een multinational, krijgt te maken met persoonsgegevens. Een onderneming heeft echter niet altijd volledig vat op wat er nu precies gebeurt met de verzamelde gegevens. Meestal heeft een bedrijf wel een privacybeleid, maar het komt nogal eens voor dat de praktische uitvoering het laat afweten.

informatiebeheer avg bescherming persoonsgegevens dms

Een Document Management Systeem kan een bedrijf helpen om het privacybeleid technisch uit te voeren. Dit systeem regelt namelijk het gros van de gegevensverwerking binnen een bedrijf, en brengt in kaart wat er met persoonsinformatie gebeurt. De DMS Wijzer 2023 geeft drie tips voor de inrichting van documentbeheersoftware met het oog op de AVG.

Aanvragen omtrent persoonsgegevens inwilligen met een DMS

Onder de AVG zijn bedrijven verplicht om de rechten van betrokkenen nog beter te waarborgen. Een klant of (ex-)werknemer kan eisen om zijn gegevens in te kijken, te verwijderen of zelf in handen te krijgen. Met een DMS kan een bedrijf de informatie snel opvragen en de verzoeken efficiënt behandelen. In uitzonderlijke gevallen kan ervoor gekozen worden om bepaalde informatieverzoeken niet in te willigen. In dat geval moet in het DMS een reden opgegeven worden. Zo kan een bedrijf zich bij een eventueel geschil verantwoorden.

De aanvragen van klanten kunnen via verschillende kanalen binnenkomen: per e-mail, telefoon, op locatie, etc. Een DMS kan echter ook aan een webportaal gekoppeld worden. Dit webportaal bespaart zowel de betrokkene als de organisatie heel wat tijd.

avg verzoek webportaal dms

Het DMS controleert de uitvoering van het privacybeleid

Het is voor bedrijven vaak een uitdaging om het overzicht te houden over de gegevensverwerking. Toch is dit de basis van wat de AVG eist van organisaties. Bedrijven moeten op elk moment de controle houden over de verzameling en verwerking van persoonsgegevens.

De drie kernvragen die een bedrijf moet kunnen beantwoorden zijn:

  • Welke gegevens worden bewaard?
  • Wat gebeurt er met die gegevens?
  • Waarom ondergaan de gegevens die verwerking?

Gegevensverwerking centraliseren

Voor bepaalde bedrijven is het lastig om te voorkomen dat persoonsgegevens een eigen leven gaan leiden. Van facturatie tot marketing en PR, veel departementen maken gebruik van dit soort, vaak gevoelige, gegevens. Het komt nogal eens voor dat bepaalde departementen, of zelfs individuele werknemers, de verwerking op hun eigen manier of in eigen systemen uitvoeren. Dit kan leiden tot chaos of zelfs het uitlekken van informatie.

Tip: De centralisering van persoonsgegevens in het DMS kan (grootschalige) datalekken voorkomen. Toch is het belangrijk om ook bij deze software beveiligingsaspecten in overweging te nemen. In de DMS Wijzer staan 5 cruciale veiligheidstips voor de inrichting van een DMS.

De informatieverwerking wordt idealiter gecentraliseerd, maar het DMS is niet de enige bedrijfssoftware waar persoonsgegevens kunnen zijn opgeslagen. Een DMS kan klant- en personeelsgebonden documenten beheren (zoals contracten, certificaten en klant- of personeelsdossiers), maar een HRM of CRM heeft vaak nog specifiekere functies te vervullen. Salarisadministratie of recruitment zijn bijvoorbeeld functies die het best op zich genomen worden door gespecialiseerde HRM-pakketten. Om dezelfde vorm van controle te houden kan wel gekozen worden voor een koppeling.

Verwerkingsactiviteiten documenteren

Onder de AVG is er meer controle op de verwerkingsactiviteiten die persoonsgegevens ondergaan. Voor bedrijven komt deze controle neer op een verantwoordingsplicht. Ze moeten, met andere woorden, steeds kunnen verantwoorden waarom en hoe bepaalde verwerkingen uitgevoerd zijn.

bescherming persoonsgegevens verdediging dms

De verantwoording van verwerkingsactiviteiten voor individuele dossiers wordt vergemakkelijkt wanneer het documentbeheer wordt geregeld door het DMS. Wijzigingen, verwijderingen en vorige versies kunnen namelijk efficiënt opgevraagd worden. Bovendien kunnen vastgelegde workflows of procedures dienen ter verantwoording bij een klacht. Zo kan bijvoorbeeld worden aangetoond dat de maten en voorkeuren van een klant van een kledingzaak bewaard en verwerkt werden, omdat de klant daarvoor toestemming heeft gegeven.

Op grotere schaal is het lastiger om verwerkingsactiviteiten te verantwoorden. Toch kan de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder, een overzicht van alle verwerkingsactiviteiten opvragen. In de DMS Wijzer vind je de mogelijkheden voor het aanmaken van dit soort verwerkingsregisters.

Tot slot kan een DMS de gevolgen van een eventueel datalek minimaliseren. Een datalek moet onder de AVG binnen 72 uur gemeld worden bij de AP. Bovendien moet er aangetoond worden dat er maatregelen zijn ondernomen om (verdere) risico’s te vermijden, zoals de encryptie van gegevens in het DMS. Deze maatregelen kunnen de reputatie van een bedrijf redden en eventueel zelfs resulteren in een verlaging van de boete.

Kosten van een DMS in het kader van de AVG

Elke software vergt een bepaalde investering, zo ook een DMS. Met het oog op de nieuwe wetgeving, en de hoge boetes die kunnen opgelegd worden, is de ROI van deze investering vooral te vinden in het vermijden van overtredingen.

Een DMS kan helpen om overtredingen te voorkomen doordat:

  1. er zich minder afwijkingen van het privacybeleid voordoen door de stroomlijning van gegevensverwerking;
  2. de software bepaalde vereisten van de AVG technisch vergemakkelijkt (bijvoorbeeld de bewaring van toestemmingsbewijzen in het digitale archief;
  3. het gebruik van een informatiebeheersysteem betrouwbaarheid uitstraalt naar de AP toe;
  4. het kan rechtvaardigen en bewijzen waarom het nodig is om bepaalde gegevens te verwerken.

De reële kosten van een DMS kunnen erg uiteenlopend zijn naargelang de wensen en eisen van het bedrijf. Bovendien loopt niet elke organisatie aan tegen even hoge risico’s wat betreft de verwerking van persoonsgegevens. Naargelang de schaal van gegevensverwerking en het soort activiteit zullen er andere functionaliteiten moeten worden afgenomen. Via het rekenvoorbeeld in de DMS Wijzer kan een bedrijf voor zijn specifieke geval bekijken welke investering een DMS-pakket met zich meebrengt.

Dit artikel als bron gebruiken? Klik en kopieer.

European Knowledge Center for Information Technology (Ed.). (2017, 18 december). Strengere wet AVG vraagt om een herziening van informatiebeheer. ICT Portal. https://www.ictportal.nl/nieuws/document-management-systemen/avg-dms-herziening-informatiebeheer
guest
0 Reacties
Inline Feedbacks
Bekijk alle reacties