Persoonsgegevens

Doelgerichte verwerking van persoonsgegevens

Als organisatie verzamel je tal van (klant)gegevens voor het vermarkten van je product of dienst. Denk hierbij aan NAW-gegevens, inloggegevens, salarisgegevens, IP-adressen en BSN-nummers. Allemaal gegevens welke terug te herleiden zijn naar een natuurlijk persoon. Maar heb je al die gegevens ook écht nodig? Dit is een vraag die alle organisaties zichzelf zouden moeten stellen. Met ingang van 25 mei 2018 is namelijk de Algemene Verordening Gegevensbescherming (AVG) van kracht. De nieuwe wetgeving verplicht organisaties kritisch te kijken naar haar verwerkingen van persoonsgegevens.

Noodzakelijke gegevens
Veel organisaties zijn zich er niet van bewust dat ze (onrechtmatig) persoonsgegevens verzamelen die ze niet echt nodig hebben. Wanneer je persoonsgegevens verzamelt en verwerkt dien je daar een specifiek doel voor te hebben. Er moet een directe koppeling gemaakt kunnen worden, tussen de verzamelde gegevens en het vermarkten van je product.  Kan de noodzaak hiervan niet worden aangetoond, en verwerk je de verzamelde persoonsgegevens toch, dan overtreed je de AVG! Boetes kunnen in dat geval oplopen tot wel 20 miljoen euro of 4% van je wereldwijde jaaromzet.

Informatieclassificatie
Om zulke boetes te voorkomen is een goed begin het in kaart brengen van de huidige gegevens die je als organisatie verwerkt. Dit kan bijvoorbeeld in een informatieclassificatieschema, waarin je aangeeft welke informatie je verwerkt en of de informatie binnen de categorie persoonsgegevens valt. Zo creëer je een overzicht welke persoonsgegevens je als organisatie verzamelt. Vervolgens is het, met de komst van de AVG, verplicht om voor elk van die persoonsgegevens een koppeling te maken naar: het doel, de categorie persoonsgegevens, de verwerkingsgrondslag, de categorie betrokkene en de categorie ontvanger. Daarnaast geef je aan of er doorgifte aan een derde land en/of internationale organisatie plaatsvindt, wat de bewaartermijn van de gegevens is en welke technische en organisatorische beveiligingsmaatregelen je als organisatie neemt om deze gegevens te beschermen.

Verwerkingsregister
Al deze informatie leg je als organisatie overzichtelijk vast één register, het zogeheten ‘Verwerkingsregister Persoonsgegevens’. Op verzoek van de Autoriteit Persoonsgegevens moet een organisatie inzicht verlenen in dit register. Het gebruik van dit register is geen standaard verplichting, pas wanneer een organisatie meer dan 250 medewerkers in dienst heeft of wanneer je als organisatie risicovolle verwerkingen doet is het verplicht dit register in gebruik te nemen. Het verwerken van bijzondere (medische of justitiële) persoonsgegevens en opstellen van klantprofielen maar ook het verwerken van grote hoeveelheden persoonsgegevens zijn voorbeelden van risicovolle verwerkingen.

Efficiënte verwerking
Door verandering in wetgeving ontstaat er een grotere documentatieplicht voor organisaties. Zie dit niet als administratieve rompslomp, maar juist als een kans! Nu is juist het moment om een informatieclassificatieschema op te stellen en een verwerkingsregister persoonsgegevens in gebruik te nemen. Zo kom je er als organisatie misschien wel achter dat je onnodig informatie verzamelt of dat je deze efficiënter kunt verwerken. In zo’n geval kan het proces van informatieverzameling geoptimaliseerd worden en is er een efficiëntie slag te maken/ te behalen.

Blog geschreven door Pieter Kloetstra, Business Consultant