Onder de AVG is bijna elke organisatie die op structurele manier persoonsgegevens verwerkt verplicht om een privacy-administratie bij te houden. Er wordt hierbij geen onderscheid gemaakt tussen verschillende sectoren. Uiteraard heeft elke sector wel haar eigen uitdagingen. In deze E-guide bespreken we enkele uitdagingen en geven we je tips om deze met behulp van Privacy Nexus op te lossen.
Hoe haal je alle relevante informatie op uit jouw organisatie?
Doordat er veel complexe en zeer specifieke werkzaamheden binnen een organisatie plaatsvinden is het voor de Privacy Officer een flinke uitdaging om alle relevante informatie op te halen en vast te leggen in een verwerkingsregister. Hoe kom je er bijvoorbeeld achter welke persoonsgegevens er allemaal gebruikt worden en naar welke instanties deze worden doorgestuurd?
Privacy Nexus maakt het makkelijk om de werkzaamheden te verdelen binnen de organisatie. Je kunt verantwoordelijkheden toekennen aan collega’s. En collega’s kunnen deze terugvinden
op hun persoonlijke homepage. Door het toekennen van toegangsniveaus kun je ervoor zorgen dat collega’s alleen de onderdelen van de software zien die voor hen relevant zijn. Zo zien ze wat ze nodig hebben en verdwalen ze niet in de informatie. De Privacy Officer houdt het overzicht over de status van de voortgang en krijgt inzicht in de risico’s.
Hoe zorg je ervoor dat alle informatie in het juiste format terugkrijgt?
Wanneer je informatie moet verzamelen bij veel verschillende mensen zul je vaak een grote verscheidenheid aan reacties krijgen. Ook wanneer je een standaard vragenlijst opstelt zal de ene persoon deze vragen heel uitgebreid beantwoorden waar de ander niet verder komt dan ‘we verwerken persoonsgegevens’.
Door Privacy Nexus te gebruiken kun je de vragenlijst niet alleen geautomatiseerd uitzetten maar zorg je er ook voor dat iedereen hetzelfde soort input levert. Privacy Nexus maakt zoveel mogelijk gebruik van gesloten vragen. Op deze manier wordt het een stuk makkelijker om de juiste informatie aan te leveren en vermindert de kans op niet-relevante informatie. Zo maak je voor de vraag
‘Welke persoonsgegevens verwerk je?’ een selectie uit een lijst voor-gedefinieerde persoonsgegevens. Dit voorkomt algemene nietszeggende antwoorden als ‘persoonsgegevens’ en maakt het daarnaast mogelijk om je verwerkingen te filteren op een specifiek soort persoonsgegevens (bijvoorbeeld ‘geboortedatum’).
Hoe weet je of je wel of niet een DPIA moet uitvoeren?
Met al die persoonsgegevens kunnen er een verwerkingen zijn waarbij een zodanig risico bestaat voor de betrokkenen dat een DPIA uitgevoerd moet worden. Het uitvoeren van een DPIA wordt vaak gezien als een lastige onderneming die veel tijd in beslag neemt.
Privacy Nexus helpt je hierbij door per verwerking te beoordelen of er een DPIA is aanbevolen. De persoon die de vragen beantwoordt hoeft deze inschatting dus niet zelf te maken. Vervolgens is in één oogopslag duidelijk voor welke verwerkingen een DPIA wordt aanbevolen. Wanneer een DPIA is aanbevolen kun je deze uitvoeren met de DPIA-module, waarbij we ook weer zo veel mogelijk gebruik maken van gesloten vragen. Dit laatste zorgt ervoor dat de persoon die de vragenlijst voor de bijbehorende verwerking heeft ingevuld ook kan helpen bij het verzamelen van een deel van de informatie voor het uitvoeren van de DPIA. Door de DPIA vervolgens te koppelen aan de betreffende verwerking uit het verwerkingsregister toon je gemakkelijk aan dat je aan de DPIA-verplichting hebt voldaan voor alle verwerkingen met een hoog risico.
Hoe zorg je dat je ook in decentrale organisatie toch centraal informatie kunt verzamelen?
Binnen een organisatie is vaak sprake van een complexe organisatiestructuur waarbij veel dingen decentraal worden geregeld en plaatsvinden. Aan de ene kant kunnen er hele specifieke verwerkingsactiviteiten plaatsvinden binnen een bepaalde afdeling of locatie, en aan de andere kant is er sprake van een groot aantal verwerkingsactiviteiten dat juist bij allemaal plaatsvindt. Daarnaast zal er voor een groot deel juist wel gebruik worden gemaakt van dezelfde systemen (software) het verwerken van de gegevens.
Je wil voorkomen dat meerdere mensen tijd gaan besteden aan het verzamelen en invoeren van dezelfde informatie, waardoor bijvoorbeeld de verwerking ‘beheer klantendossier’ door meerdere afdelingen apart wordt ingevoerd.
Privacy Nexus maakt het heel gemakkelijk om alle informatie centraal vast te leggen en toch het overzicht per afdeling te behouden. Dit doe je door de organisatiestructuur van jouw organisatie in Privacy Nexus te definiëren. De verschillende onderdelen van je privacy-administratie, zoals verwerkingen, DPIA’s en datalekken, koppel je vervolgens aan de verschillende onderdelen van de bedrijfsstructuur. Zo creëer je alsnog een duidelijk overzicht per afdeling waar je makkelijk op kunt filteren.