AVG - Data Inventarisatie

De Algemene Verordening Gegevensbescherming (AVG) is op 4 mei 2016 gepubliceerd en is op 25 mei 2018 van kracht geworden. Deze vervangt de Richtlijn mbt Gegevensbescherming, die zeer verouderd was en niet geschikt was voor het huidige digitale tijdperk. Elk bedrijf dat persoonsgegevens van klanten of personeel verwerkt, moet rekening houden met de nieuwe AVG voorschriften.

AVG - Data Inventarisatie

Onder "Persoonlijke” gegevens worden beschouwd als alle informatie die rechtstreeks gekoppeld kan worden aan het persoonlijke en het openbare of professionele leven van een persoon - hun e-mailadres, bankrekeningnummer, aankoopgeschiedenis, zelfs hun online acties op een website, ... Individuen hebben voortaan meer rechten op toegang tot en verwerking van hun gegevens, wat betekent dat bedrijven hun interne processen moeten aanpassen.

Aangezien transparantie over "gegevens" een belangrijke drijfveer is voor de verordening, zal het een belangrijke stap zijn om te begrijpen hoe uw bedrijf met persoonsgegevens omgaat en welke persoonlijke gegevens u opslaat en verwerkt. Dit vereist een verdieping in al uw "processen" en "systemen" om een ??beter inzicht te krijgen in alle gegevensstromen met speciale aandacht voor de "persoonlijke" gegevens. De definitie van "gegevensverwerking" is tamelijk breed en omvat alle bewerkingen die op de gegevens worden uitgevoerd zoals verzameling, gebruik, beheer, openbaarmaking, ...

Een gefaseerde aanpak naar AVG naleving vereist een goede methodologie en een bekwaam team (bestaande uit advocaat, data-architect, proceseigenaren, applicatie-eigenaren, IT-architect, ...).

Typische stappen in deze gefaseerde aanpak zijn:

  • Kennis en bewustzijn

  • AVG bereidwilligheid en gereedheid

  • AVG verdieping in de systemen en processen (deze fase zal zich richten op data mapping en datastromen binnen uw organisatie en applicatielandschap)

  • Stappen richting AVG naleving

We hebben een methodologie ontwikkeld die het creëren van belangrijke deliverables zal vergemakkelijken om uw organisatie in staat te stellen zich voor te bereiden op " Stappen richting AVG naleving".

  • Gegevensoverzicht in functie van de 5Ws

  • Gegevensstroomdiagrammen

Gegevensoverzicht in functie van de 5Ws

Met dit overzicht kan u de informatie die uw organisatie bijhoudt identificeren en beschrijven hoe deze zich van de ene locatie naar de andere verplaatst, zoals van leveranciers en sub-leveranciers tot klanten. Door de gegevensstroom in kaart te brengen, kan u op een efficiënte manier de gegevensverwerking documenteren en zo verwerking en eventuele onvoorziene of onbedoelde toepassingen identificeren.

Dit gegevensoverzicht zal volgende sleutelelementen moeten identificeren:

  • Gegevensitems (bijvoorbeeld namen, e-mailadressen, records)

  • Indelingen (bijvoorbeeld papieren formulieren, online gegevensinvoer, database)

  • Overdrachtsmethoden (bijvoorbeeld post, telefoon, intern / extern)

  • Locaties (bijvoorbeeld kantoren, cloud, externe partijen)

Een gegevensoverzicht zou je ook moeten helpen om te kunnen zien wie op welk moment toegang heeft tot de gegevens en wie daar verantwoordelijk voor is.

Met behulp van de 5W's kunt u volledig zijn en antwoorden bieden op:

Waarom - bekijk alle bedrijfsdomeinen en vermeld alle redenen waarom persoonlijke gegevens worden gebruikt

Wiens - geef voor elk van de genoemde redenen alle verschillende categorieën personen op waarover persoonsgegevens worden verwerkt

Wat - geef voor elke van de geïdentificeerde een opsomming van alle soorten geregistreerde of gebruikte persoonsgegevens en identificeer de bron en de wettelijke basis van de gegevens

Wanneer - voor elke vastgestelde reden vaststellen wanneer de persoonlijke gegevens zijn verkregen

Waar - voor elk van de aangegeven redenen voor de verwerking vaststellen waar de verwerking plaatsvindt

Gegevensstroomdiagrammen

De gegevensstroomdiagrammen, die een grafische weergave van de stroom zijn, worden meestal per bedrijfsproces opgemaakt. Ze helpen de levenscyclus van informatie te begrijpen en vertegenwoordigen alle in- en cross-applicatiestromen.

Deze oefening wordt meestal uitgevoerd door een data-architect samen met zowel functionele als technische applicatie- en proceseigenaren binnen uw organisatie en gefaciliteerd door interviews en workshops.

Met deze deliverables kunnen uw Data Protection Officer (DPO) en juridisch adviseur de volgende stappen vergemakkelijken die doorgaans bestaan ??uit het creëren van "Register of Processing Activities" (RoPA) en "Technische en Organisatorische Maatregelen" (TOM's).

Bij element61 hebben we onze eigen gestructureerde aanpak ontwikkeld om u te helpen naar AVG naleving, door het documenteren van de bestaande gegevensstromen en verwerking ervan.

Neem zeker contact met ons voor meer informatie.