Mijn vorige column sloot ik af met ‘De overgang van de WbP naar de GDPR is niet zo dramatisch als veel mensen je willen doen laten geloven (m.u.v. de ‘draconische’ boetes van Aleid). Zie het als een moment voor grote schoonmaak en doe er je voordeel mee.’ Ik beloofde hier verder op in te gaan. Maar afgelopen weken waren een dusdanig dieptepunt qua Data Privacy PR dat ik niet meer durfde.
Om een lang verhaal kort te maken: bedrijven bieden nu omscholingen aan tot ‘GDPR-expert’ en zetten deze mensen vervolgens in als consultants. Op LinkedIn woekert nu een heuse oorlog tussen de zoals zij het zelf benoemen: ‘échte GDPR-experts’ en profiteurs. Voorheen durfde ik nog wel eens te reageren, maar de discussie is nu zover opgelaaid dat één verkeerde opmerking al resulteert in een benoeming tot de tweede groep: de neppers en uitsluiting van alle wel waardevolle informatie. Ik kijk vanaf de zijlijn toe en wilde eigenlijk ook terugkrabbelen en in dit blog iets schrijven over de oude vertrouwde CGR-code en luxe broodjes die niet meer mogen of huisartsen uitnodigen op Vlieland.
Dus niet. Want ik zeg het nog één keer: De overgang van de WbP naar de GDPR is niet zo dramatisch als veel mensen je willen doen laten geloven. Sterker nog, als je nu WbP compliant bent, ben je al voor een heel groot gedeelte AVG compliant en kan je je focussen op de grootste veranderingen die de GDPR met zich mee brengt. Ben je, zoals de meeste, echter nog niet helemaal WbP compliant en schort het her en der nog wat aan de systemen (hiermee bedoel ik alle mogelijke verzamelingen met persoonlijke informatie) waarin het bedrijf persoonlijke informatie (‘PI’) opslaat, dan raad ik dus die ‘grote schoonmaak’ aan. Hoe?
- Maak een inventarisatie: Wat heb je allemaal aan systemen met PI in huis? Maak een overzichtje in Excel van alle systemen met PI erin, liefst opgedeeld per afdeling, met per systeem de eigenaar. Spiegel je overzicht met de IT afdeling, vraag door over websites en apps binnen de marketing afdeling en denk ook aan alle Excel bestanden, outlook en de HR afdeling. Vergeet alle derde partijen niet die namens jullie PI verwerken (lease bedrijven, pensioenfondsen, cloud voorzieningen).
- Selecteer: Kijk eens welke systemen er nog daadwerkelijk worden gebruikt. Je zult verbaasd zijn hoeveel data er wordt bewaard die helemaal niet meer gebruikt wordt! Dit is tevens een mooi moment om eens te kijken naar de interne richtlijnen in het bedrijf met betrekking tot bewaartermijnen (‘record management’). Is deze nog up to date? Weet iedereen er vanaf?
- Maak schoon: als je zeker weet dat de lijst compleet is (dit is zonder twijfel een héél lastig onderdeel) dan kun je beginnen met het in kaart brengen van de volgende (onder de GDPR verplichte) aspecten per systeem:
- de naam en contactgegevens van de verantwoordelijke (de naam van je bedrijf in ons geval en de eventuele DPO);
- de doeleinden voor de gegevensverwerking (waarvoor verwerk je deze gegevens?);
- een beschrijving van de categorieën van betrokkenen (bijvoorbeeld artsen, medewerkers of apothekers) en de categorieën persoonsgegevens (n.a.w., leeftijd etc.);
- de (voorgenomen) categorieën ontvangers aan wie de PI vertrekt wordt (denk aan ‘access control’!) ;
- Indien van toepassing, vermelding van verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
- de (voorgenomen) bewaartermijnen en
- een algemene beschrijving van de beveiligingsmaatregelen.
Het mooie van dit lijstje is, dat je de eigenaren van de betreffende systemen dwingt na te denken over een aantal onderwerpen die vaak niet zo heel vanzelfsprekend blijken te zijn. Vanaf hier kan je uitstapjes maken naar de verwerkingsovereenkomsten die ten grondslag moeten liggen in het geval van een derde partij die namens jullie gegevens verwerkt. En op basis van welke grondslag de gegevens worden verwerkt: toestemming (opt in), een contract of bijvoorbeeld gerechtvaardigd belang. En voldoet dit nog? Met name rondom toestemming zijn er zaken veranderd.
En nu maar hopen dat ik niet tot de groep GDPR-neppers wordt gedegradeerd na mijn grote schoonmaakadvies. Als dit mijn laatste column is, weten jullie dus waarom.
Over Astrid
Astrid heeft meer dan 10 jaar ervaring als compliance professional bij internationale organisaties uit de gezondheidszorg.
