Weet u welke gegevens u verwerkt en mag u die gegevens eigenlijk wel hebben?
Dit is de derde van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In de komende artikelen behandelen we de belangrijkste acht thema’s uit de AVG.
Uw organisatie voert verschillende types van gegevensverwerkingen uit. U bent uitlener en dat betekent dat u veel gevoelige of bijzondere persoonsgegevens van de uitzendkrachten, gedetacheerden of payrollkrachten verwerkt of laat verwerken. Denk aan BSN-nummers, bankrekeningnummers, nationaliteit, paspoorten, ziekmeldingen, et cetera. Het is belangrijk om inzicht te hebben in deze verschillende verwerkingen omdat u zeker moet weten dat u deze gegevens ook inderdaad mag gebruiken en waarvoor u ze vervolgens gebruikt. Dit doet u in het zogenaamde ‘register van de verwerkingsactiviteiten’ (hierna: register).
U zult zorgvuldig in kaart moeten brengen welke persoonsgegevens u bijhoudt, waar deze vandaan komen, met wie u deze deelt of hebt gedeeld en hoelang u ze mag bewaren. U moet dus verwerkingen in een actueel en volledig overzicht registreren en bijhouden. Per verzameling van persoonsgegevens (bijv. ingeschreven kandidaten, werkende kandidaten, zieke werknemers, etc.) moet de nodige informatie worden bijgehouden, zoals de grondslag, wie eventuele verwerkers zijn en hoe lang gegevens mogen worden bewaard. Hoe pakt u dit nu in de praktijk aan?
In de eerste plaats zult u een passende vorm voor het register moeten kiezen. De meest praktische is een Word bestand of Excel sheet. Voor de gemiddelde organisatie zal dit ook voldoende zijn. Hoe groter de organisatie, of hoe meer verzamelingen bij diverse afdelingen liggen, hoe groter de behoefte aan gespecialiseerde tools.
In de tweede plaats moet u nagaan hoe u de volledigheid van het register kunt controleren. U kunt er niet van uitgaan dat iedereen uit zichzelf komt melden waar zich persoonsgegevens bevinden. Persoonsgegevens voor de flexkrachten zitten vaak in een ander systeem dan die van het interne personeel, maar correspondentie loopt vooral via de email en die bevat bewust of onbewust ook vaak (bijzondere) persoonsgegevens. Hoe vaak stuurt u niet even een loonstrook (met BSN!) via de mail?
In de derde plaats zult u moeten aangeven wie verantwoordelijk is voor het vullen van het register. Het maakt de AVG niet uit wie intern het register vult. Het is logisch om, zeker bij grotere organisaties, het register decentraal te laten vullen, bijvoorbeeld één aanspreekpunt bij HR, één aanspreekpunt bij ICT, één aanspreekpunt voor het uitzendproces, et cetera.
In de vierde en laatste plaats moet u nadenken over het borgen van de actualiteit van het register. Uw organisatie staat niet stil. De dag nadat uw organisatie met veel pijn en moeite versie 1.0 van het register heeft afgerond, is het waarschijnlijk alweer achterhaald. Het hebben van een register is niet een ‘projectje’ dat je kunt afronden, het leidt echt tot een permanente beheertaak.
Naast een register van verwerkingsactiviteiten zult u, van de verschillende soorten gegevensverwerkingen die u daarin hebt vastgelegd, ook de wettelijke grondslag moeten identificeren.
FlexKnowledge en VKA ontwikkelen samen een toolbox, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de verwerkingsverantwoordelijke en de verwerker. Wisselt uw gegevens over cliënten uit in een netwerk met anderen? Heeft u met hen duidelijk afspraken gemaakt over beveiliging, geheimhouding, het melden van een datalek en dergelijke?
Marcel Reijmers, directeur FlexKnowledge
* FlexKnowledge en Verdonck Klooster & Associates helpen ondernemers om te voldoen aan de vereisten van de AVG.
Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.
