AVG en Exact: omgaan met de nieuwe functionaliteiten (deel 2)

Waar moet je op letten bij het anonimiseren, samenvoegen of verwijderen van persoonsgegevens?

Exact heeft sinds de “spring-release ‘18” een aantal nieuwe functionaliteiten toegevoegd in de software om te voldoen aan de nieuwe AVG. De technische functionaliteiten zijn zelf duidelijk en eenvoudig te begrijpen. Alleen waar moet je als organisatie naast de (wettelijke) bewaartermijnen op letten bij het anonimiseren, samenvoegen of verwijderen van persoonsgegevens?

Er zijn vier belangrijke punten waar je op moet letten bij het anonimiseren, samenvoegen of verwijderen van persoonsgegevens.

1. Diverse opslagmogelijkheden persoonsgegevens

Persoonsgegevens kunnen op verschillende plaatsen worden bewaard. Controleer dus goed of de persoonsgegevens die bijvoorbeeld in Exact Globe geanonimiseerd, samengevoegd of verwijderd zijn niet elders nog zijn opgeslagen binnen de organisatie (denk hierbij ook aan bijvoorbeeld papieren dossiers zoals vaak personeelsdossiers). Wanneer dit wel het geval is zullen ook de betreffende persoonsgegevens in de andere media geanonimiseerd, samengevoegd of verwijderd moeten worden.

2. Rechten van betrokkenen

Een heldere procedure “rechten van betrokkenen” is een must voor de interne organisatie. Medewerkers dienen te weten wat ze moeten doen wanneer ze een verzoek krijgen.

Door goed inzicht te hebben in de verwerking van verschillende persoonsgegevens (en de systemen waarin dit plaats vindt) kun je als organisatie makkelijker en vollediger voldoen aan de verplichting van de AVG rondom de rechten van betrokken (o.a. recht op inzage van de verwerking van zijn/haar persoonsgegevens van de betreffende organisatie).

Een kort voorbeeld. Een prospect belt je omdat je hem benaderd hebt via een mailing. De contactpersoon vraagt welke gegevens je van hem hebt en of je dit kan verwijderen. Wat dien je dan te doen en voor wanneer? Je dient hem aan te geven welke gegevens je verwerkt van hem, met welk doel. Je moet tevens gehoor geven aan zijn oproep om dit te verwijderen en moet hier binnen 30 dagen gehoor aangeven.

3. Anonimiseren of verwijderen?

Bij het anonimiseren van gegevens moet je als organisatie controleren of de gegevens daadwerkelijk anoniem zijn en er geen mogelijkheden zijn tot identificatie door bijvoorbeeld herleiding, koppeling of deductie. Bijvoorbeeld wanneer alleen de NAW-gegevens geanonimiseerd worden, maar niet de geboortedatum en foto. Met een foto maar ook met een geboortedatum is er nog steeds een mogelijkheid tot identificatie van de in dit geval geanonimiseerde NAW-gegevens.

4. Bijhouden van het verwerkingsregister

Om aantoonbaar te maken dat een organisatie aan de verplichtingen vanuit de AVG voldoet, dient een organisatie onder andere een register bij te houden van de betreffende verwerkingsactiviteiten. Denk erom dat het verwijderen en anonimiseren van persoonsgegevens als een verwerkingshandeling wordt gezien. Deze verwerkingshandeling zal dus naar alle waarschijnlijkheid ook een onderdeel vormen van het verwerkingsregister.

Conclusie:

Technische mogelijkheden om beter te kunnen voldoen aan de AVG, vanuit in dit geval Exact, gaan altijd hand-in-hand met beleidsmatige afspraken op het vlak van informatiebeveiliging (en dus ook de AVG). Het opstellen van een goed beleid is voor veel bedrijven een uitdaging. Kom je er niet uit? Wij helpen je graag!