Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 5: inventariseer je persoonsgegevens.

31/07/2018

Iets waar we in de V-ICT-OR opleiding DPO de nadruk op leggen, is de inventarisatie van persoonsgegevens. Dit is een proces waar je als organisatie veel tijd en moeite moet insteken, maar dat zichzelf terugbetaalt door het inzicht dat het verschaft in de werking van je organisatie.

We splitsen de inventarisatie van data op in 4 aspecten: de databronnen, de datastromen, de actoren en de risico’s.

Databron: waar komen de gegevens vandaan?

Datastroom: welk pad leggen de persoonsgegevens af binnen de organisatie? Langs welke locaties stroomt de data? Waar eindigt het op het einde van de rit? Misschien gaat het zelfs naar een niet-Europese organisatie of een niet-Europees land?

Actoren: wie komt er in aanraking met de persoonsgegevens?

Risico’s: welke risico’s zijn er verbonden aan de datastroom?

In wat volgt nemen we deze elementen onder de loep.

Wat is een databron?

Databronnen in deze context betekent verzamelingen van persoonsgegevens, zowel in digitale als fysieke vorm. Op digitaal vlak kunnen persoonsgegevens vervat zitten in databases, software, e-mailsystemen, enz. Op fysiek vlak kunnen we dan weer denken aan dossierkasten, mappen, safes, bureaus, enz.

Wat is een datastroom?

De datastroom duidt aan welk pad persoonsgegevens afleggen van de databron tot het eindpunt van de verwerking. Houd er rekening mee dat een databron het startpunt kan vormen van meerdere datastromen. Eén datastroom komt echter meestal overeen met één verwerkingsactiviteit.

Wat zijn actoren?

Hier ga je opsommen door welke personen de persoonsgegevens verwerkt worden. M.a.w. wie heeft er te maken met de verwerkingsactiviteit? Indien je geen specifieke persoon kan linken aan een verwerkingsactiviteit, kun je ook een dienst als geheel vermelden.

Wat zijn risico’s?

Welke risico’s zijn er verbonden aan de databronnen, datastromen en actoren die gelinkt zijn aan een set persoonsgegevens? Dit mag je heel breed zien: misschien zijn de databronnen wel helemaal niet veilig (slecht beveiligde software, losse files in dossierkasten), misschien gebeurt het transport van de data wel helemaal niet zo veilig (gevoelige dossiers die los in een open doos worden verplaatst), of misschien is er onduidelijkheid over hoe dossiers moeten vernietigd worden (medewerkers die files in de container met niet-gevoelige informatie steken, terwijl het net in de container voor gevoelige informatie moest). Tip: bezoek de plaatsen waar persoonsgegevens verwerkt worden en denk na over wat er allemaal kan mislopen. Spreek met de mensen die de persoonsgegevens te zien krijgen en vraag naar hun ervaringen en bedenkingen.

Waar moet ik speciaal op letten bij de inventarisatie van data?

Het bestandstype, de methode, het representatief karakter en de resultaten zijn hier de sleutelwoorden.

Bestandstype: onder welk bestandstype sla je de inventarisatieresultaten op? Kies je ervoor om een Excel-bestand uit te wisselen met de verschillende diensten? Of installeer je een tool die gespecialiseerd is in inventarisatie? Wees je ervan bewust dat deze keuze ook belangrijk is naar de toekomst toe, aangezien je de resultaten achteraf moet beheren en systematisch moet blijven updaten. Hoe je de resultaten ook bijhoudt, je moet ze in ieder geval kunnen voorleggen aan de Gegevensbeschermingsautoriteit als daarnaar gevraagd wordt.

Methode: welke methode hanteer je om de inventarisatie uit te voeren? Vermoedelijk zal je werken met een of meerdere vragenlijsten. Een mogelijke werkwijze is om eerst de interne software in kaart te brengen die met persoonsgegevens werkt (aantal betrokkenen, types betrokkenen, types persoonsgegevens, locatie systeem, beheer, etc.). Daarna kun je de verwerkingen oplijsten. Ten slotte kun je de software linken met de relevante verwerkingen (welke software wordt gebruikt voor welke verwerking van persoonsgegevens?)

Representatief karakter: heb je rekening gehouden met alle onderdelen van je organisatie? Zorg ervoor dat de datainventarisatie representatief is voor de hele organisatie. De personen die meehelpen om de inventarisatie uit te voeren moeten minstens een basiskennis informatieveiligheid/GDPR bezitten.

Resultaten: eens de datainventarisatie voltooid is, is het kwestie van dit up-to-date te houden. De verzamelde data kan je helpen om verbeteringen door te voeren op de werkvloer. Het is een goed idee je resultaten te standaardiseren (m.a.w. meetbaar te maken) om zo risicofactoren en -profielen te identificeren. Als alles goed gaat zal je nu zien welke systemen een cruciale rol spelen in je bedrijfsvoering en welke gegevensverzamelingen overbodig blijken te zijn. Trek conclusies uit de resultaten en plan verbeteringen in. Als toezichthouder moet je een geactualiseerde datainventarisatie kunnen voorleggen, idealiter met een dashboard met metagegegevens (bv. metingen, risicofactoren…); dit toont namelijk aan dat je grip hebt op je persoonsgegevenshuishouding.

Wat als deze elementen allemaal zijn opgelijst?

De datainventarisatie vormt in feite het ideale vertrekpunt voor het opstellen van je verwerkingsregister. Daar ga je bv. na of de persoonsgegevens doorstromen naar een derde land/internationale organisatie en, zoja, of er passende waarborgen zijn voor de beveiliging ervan (vloeit voort uit ‘datastroom’), welke beveiligingsmaatregelen er genomen worden en waarom (vloeit voort uit ‘risico’s’).

Datainventarisatie vormt daarnaast de basis van andere stappen die je gegevensbeschermingsbeleid versterken, bijvoorbeeld de passende beveiliging persoonsgegevens (als je risico’s kent van de datastroom, kun je erop anticiperen) en de contracten (als je je software als databron hebt opgelijst, heb je onmiddellijk al een idee van de verwerkersovereenkomsten die je zult moeten opstellen).

Succes en tot stap 6 waarin we het zullen hebben over het verwerkingsregister!