Waarom een data-inventarisatie en waar begin je?
De handhaafbaarheid van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 komt steeds dichterbij. Organisaties zullen snel moeten beginnen met het op orde maken van hun persoonsgegevenshuishouding als zij op tijd AVG-compliant willen zijn. Maar waar begin je?
Zeker in grotere organisaties zal een projectmatige aanpak moeten worden gehanteerd om alle verplichtingen die uit de privacyverordening voortvloeien, tijdig te implementeren. Een van de eerste en belangrijkste onderdelen van een dergelijk project is de zogenoemde data-inventarisatie. Een data-inventarisatie is een onderzoek waarbij in kaart gebracht wordt welke persoonsgegevens door of namens de organisatie worden verwerkt en onder welke omstandigheden. Een van de wijzen waarmee dit bereikt kan worden is wat ik de ‘systemen/verwerkingen-methode’ noem. Hierbij moet eerst in kaart gebracht worden waar de persoonsgegevens zijn vastgelegd en vervolgens wat er (verder) met de gegevens gedaan wordt. Met andere woorden: je moet eerst inventariseren welke systemen (databases, applicaties en andere gegevensverzamelingen) je hebt en dan welke verwerkingen er uitgevoerd worden met deze persoonsgegevens. Vervolgens zal je een kruisverband kunnen leggen tussen de geïnventariseerde systemen en verwerkingen.
Waarom een data-inventarisatie?
Een data-inventarisatie dient vier doelen:
- Beoordelen van de rechtmatigheid(dataminimalisatie, privacy by design) De AVG stelt nogal wat eisen aan de verwerking van persoonsgegevens. Om te kunnen bepalen of de verwerkingen voldoen aan de eisen die de AVG daar aan stelt, zal je natuurlijk eerst moeten weten welke verwerkingen er überhaupt zijn en hoe deze op dit moment zijn vormgegeven.
- Bepalen impact op de organisatie Als je eenmaal weet welke verwerkingen onder welke omstandigheden plaatsvinden en bepaald hebt wat de gewenste situatie zou zijn, kan je bepalen wat er in het kader van de AVG moet gebeuren en dus wat de impact (denk aan kosten, capaciteit, doorlooptijd) op je organisatie zal zijn.
- Register van verwerkingsactiviteiten De AVG verplicht organisaties expliciet om een register van verwerkingen bij te houden (artikel 30 AVG). De uitkomsten van de data-inventarisatie dienen als basis voor het aanleggen van een dergelijk register.
- Bijvangst: awareness (of bewustzijn) Door medewerkers de vragenlijsten in te laten vullen, worden ze gedwongen om na te denken over het onderwerp privacy. Hiermee zal het privacybewustzijn binnen de organisatie een boost krijgen.
Hoe voer ik een data-inventarisatie uit?
De hoe-vraag valt uiteen in enkele facetten:
- Welke modaliteit kies ik?
- Welke methode kies ik?
- Hoe organiseer ik de uitvoer?
- Hoe ga ik om met de resultaten?
Modaliteit
Ten eerste zal je een modaliteit moeten kiezen: wordt het een Excelbestandje rondsturen of gebruik je een speciaal hiervoor ontwikkelde tool zoals Data Protection Centre? De aanvankelijke keuze voor een modaliteit heeft ook grote gevolgen voor het kunnen beheren van de resultaten van de data-inventarisatie. Niet onbelangrijk, de rode draad in de privacyverordening is immers de eis dat je aantoonbaar compliant moet zijn.
Methode
Los van de keuze voor een modaliteit zal de data-inventarisatie hoogstwaarschijnlijk de vorm van een of meer vragenlijsten hebben. De door ons voorgestane systemen/verwerkingen-methode omvat twee stappen: eerst worden de systemen geïnventariseerd en beschreven (aantal betrokkenen, typen betrokkenen, typen persoonsgegevens, locatie systeem, beheer etc.). Vervolgens worden alle verwerkingen beschreven en gekoppeld aan de reeds geïnventariseerde systemen (welke verwerkingen maken gebruik van welke systemen). Hierdoor kan je je persoonsgegevenshuishouding als het ware plotten.
Organisatie
In alle onderdelen van je organisatie zullen persoonsgegevens verwerkt worden. Je zult dus een afvaardiging moeten mobiliseren die een dwarsdoorsnede van je organisatie representeert, wil je alle verwerkingen in kaart brengen. Deze medewerkers dienen goed geïnstrueerd te worden: enige kennis van privacywetgeving is een must. Ook zaken als eenduidigheid omtrent het gewenste aggregatieniveau en semantiek zijn essentieel.
Resultaten
Als je je inventarisatie hebt voltooid, is het van belang om deze actueel te houden (bij gebruik van Excel geen gemakkelijke opgave) en vooral ook om verbeteringen door te voeren aan de hand van de verkregen data. Als je je resultaten hebt gestandaardiseerd - en dus meetbaar hebt gemaakt - kunnen risicofactoren en -profielen worden geïdentificeerd. Ook zal opvallen welke systemen een cruciale rol spelen in je bedrijfsvoering en welke gegevensverzamelingen overbodig lijken te zijn. Trek de juiste conclusies uit de resultaten en verbeter de situatie waar nodig. Een en ander zal bijdragen in de aantoonbaarheid van compliance. Wanneer je de toezichthouder een geactualiseerde data-inventarisatie kan laten zien waaruit real-time een dashboard met metagegevens (metingen, risicofactoren etc.) wordt gegeneerd, toon je aan grip te hebben op je persoonsgegevenshuishouding.
De data-inventarisatie kan een massieve operatie zijn. Daar staat tegenover dat het een zeer solide basis vormt voor een implementatietraject en je compliance beheer.Daarom is het goed om vooraf stil te staan bij het doel van een dergelijk project en de juiste keuzes te maken. Met name voor de juiste modaliteit.