Deel 3: Wat verandert de AVG voor mij als ik Alfresco gebruik?
Het DMS is een belangrijke bron van gegevens. Je legt daar veel (ongestructureerde) gegevens in vast en ordent die met meta data. De AVG is onder andere bedoeld om onnodig (lang) vastleggen en gebruiken van (te veel) gegevens in te perken. Waar het DMS juist is bedoeld om gegevens in te verzamelen en te gebruiken, kan het echter ook goed helpen bij het beheren en, uiteindelijk, vernietigen ervan. In deze blog geven we de situatie weer die de AVG creeert en bieden we enkele handvatten hoe je het DMS kunt gebruiken om te gaan met ongestructureerde data.
De fases van gebruik:
Als eerste welke fases van gebruik er zijn. Die hebben invloed op de gegevens in het DMS. Zie onze eerdere blog voor een volledige uitwerking van de fasen van gebruik.
A. Gebruik
De tijd dat jij jouw gegevens “nodig hebt” is de gebruiksfase. In deze fase worden persoonsgegevens nog niet bewaard of gearchiveerd. Deze fase vindt vaak plaats binnen ‘gewone’ Sites in Alfresco. Dat zijn plekken waar actief gegevens worden opgeslagen, gewijzigd en verwijderd.
B. Archivering
De tijd dat jij de persoonsgegevens “mogelijk nodig hebt”, of dat jij jouw gebruikte persoonsgegevens archiveert, start ook de archiveringsfase. Nu bewaar je jouw gegevens vanwege administratieve redenen of wettelijke voorschriften.
Hiervoor is Records Management uitermate geschikt. Records Management kent mogelijkheden om bewaartermijnen in te stellen, met als eindpunt bijvoorbeeld een controleslag, vernietiging of een nieuwe bewaartermijn. Je kunt bestanden vanuit normale Sites in Records Management plaatsen door middel van een handmatige handeling, regels, of scripts die dat voor jou automatiseren.
C. Anonimiseren of vernietigen
Wanneer je de persoonsgegevens niet meer nodig hebt, zorg er dan voor dat deze niet meer worden bewaard. Anonimiseren mag wel, maar de echte persoonsgegevens moeten gewist of vernietigd worden.
Zoals gezegd kan Records Management hier bij helpen door bewaartermijnen en vernietigen te automatiseren. Handmatig kan je natuurlijk ook een eind komen: met de juiste meta data en wat slimme zoekopdrachten, kan je ook de gegevens achterhalen die je moet vernietigen, danwel beoordelen.
Checklist
- Welke persoonsgegevens verwerk je in Alfresco?
- Bewaar persoonlijke gegevens niet langer dan noodzakelijk in Alfresco
- Zorg voor verwerkersovereenkomsten
- Bewijs dat je toestemming hebt van alle betrokkenen
- Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
- Zorg er voor dat je een databeveiligingsbeleid hebt
- Documenteer alles ivm Register Verwerkingsactiviteiten
1. Welke persoonsgegevens verwerk je in Alfresco?
Verwerk alleen persoonsgegevens die strikt noodzakelijk zijn voor de bedrijfvoering en verzamel geen extra data. Vraag altijd toestemming voor elk type gebruik apart en doe dat voor elk doel onafhankelijk van elkaar. Je mag geen extra gegevens verzamelen wanneer dat niet overeenkomstig is met het van te voren vastgelegde en gerelateerde doel.
Hoe kan Alfresco hierbij helpen?
Wanneer je gegevens opslaat in Alfresco, kan je gebruik maken van zogenaamde content models (‘gegevensmodellen’). Dit zijn modellen waarin is vastgelegd welke meta data je kunt gebruiken en ook welke je moet gebruiken wanneer je een bestand als een bepaald type opslaat. Door in zo’n model bijvoorbeeld vast te leggen wat het originele doel is en of daar een einddatum aan zit, kan je daar op een later moment onderscheid op maken bij het verder verwerken en terugvinden van gegevens.
2. Bewaar persoonlijke gegevens niet langer dan noodzakelijk in Alfresco
Zorg ervoor dat je de persoonsgegevens niet langer bewaart dan noodzakelijk. De AVG geeft zelf geen specifieke bewaartermijnen. Er is wel een opslagbeperking. Daarmee wordt bedoeld dat gegevens alleen bewaard kunnen worden zolang het nodig is en alleen voor de doeleinden die de organisatie van te voren heeft gespecificeerd. Een aantal andere wetten regelt wel specifiek deze bewaartermijnen. Gebruik deze als uitgangspunt voor het vastleggen van de bewaartermijnen voor jouw persoonsgegevens.
Leg in de documentatie van de persoonsgegevensverwerking door de organisatie vast voor elk onderdeel apart hoe lang iets bewaard gaat worden. Klanten kunnen in sommige gevallen vragen persoongegevens te laten verwijderen. Je hoeft dat niet altijd zomaar te doen, maar wanneer je weigert geef dan aan op welke grond er niet direct voldaan kan worden aan de aanvraag, bijvoorbeeld ivm bepaalde regelgeving kan er niet meteen persoongegevens worden verwijderd.
Hoe kan Alfresco hierbij helpen?
Veel is afhankelijk van het goed meta dateren van gegevens. Automatisch vastleggen van de juiste meta data kan bijvoorbeeld door middel van regels en scripting in Alfresco zelf, maar ook als je het DMS bijvoorbeeld koppelt met je CRM. Je kunt er in dat geval bijvoorbeeld voor zorgen dat documenten via het CRM worden toegevoegd, waardoor je de meta data in het CRM kunt gebruiken bij het toevoegen van bestanden.
Een belangrijk bijkomend voordeel van goede meta datering, is dat je kunt gaan werken met slimme mappen. Die functie biedt je mogelijkheid om op basis van zoekopdrachten een mappenstructuur te tonen. Op die manier kan je op een simpele manier inzichtelijk maken dat een bepaalde deadline is verstreken, of dat er bestanden zijn met een status ‘Onverwerkt’, waarna je daarop kunt acteren.
3. Zorg voor verwerkersovereenkomsten
Als je samenwerkt met andere partijen en je daarbij het verwerken van persoonsgegevens uitbesteedt, of daarbij voor een klant de verwerking uitvoert, dan moet je met die partij een verwerkersovereenkomst opstellen. Bij het opstellen van deze overeenkomst heb je te maken met een aantal verplichte onderdelen, zoals beveiliging, toestemming vragen voor het inschakelen van een subverwerker en dat de partijen alleen handelel conform de instructies van de verantwoordelijke.
Je moet daarnaast goed afspreken welke rol alle partijen gaan spelen en welke verantwoordelijkheden er over-en-weer zijn.Dat betekent dat er in het voortraject, maar ook tussentijds nog wel het een en ander kan veranderen aan de overeenkomst. Idealiter wil je altijd kunnen terugvinden wat je op enig moment hebt afgesproken en welke toestemmingen daaraan ten grondslag liggen.
Hoe kan Alfresco hierbij helpen?
Een eerste hulpmiddel, is de versiegeschiedenis. Je kunt daarmee altijd teruggaan naar een eerdere versie van het document, om zo te achterhalen wat de afspraken waren. Ook wordt er vastgelegd wie een wijziging heeft doorgevoerd en wanneer, waardoor je eventuele aanpassingen direct kunt traceren naar een persoon.
Daarnaast kan je er met een content model ook voor zorgen dat je bestanden aan elkaar kunt relateren. Zo kan je bijvoorbeeld verschillende toestemmingsdocumenten koppelen aan de verwerkersovereenkomst, waardoor je een duidelijk overzicht creeert. Zo’n model is echter wel vrij complex om te realiseren, waardoor ‘slimme mappen’ of goede zoekopdrachten misschien ook voldoende inzicht geven.
Sla deze overeenkomst apart op in een aparte map bij een organisatie waarbij de Eigenschappen bij deze record laten zien om welke Organisatie en persoon het gaat die de overeenkomst heeft ondertekend. Tevens laat de Versiehistory zien wanneer deze is opgeslagen is. Door handig gebruik van slimme mappen en zaken als scripts, kan je zorgen voor een geautomatiseerde, uniforme naamgeving van bestanden en structuur waarin de bestanden worden opgeslagen. Handig als je er toch een keer handmatig doorheen moet bladeren.
4. Bewijs dat je toestemming hebt van alle betrokkenen
Bij het verzamelen en gebruiken van persoonsgegevens hoeft je niet voor alles toestemming te vragen. Het belangrijkste is dat je voor elk gebruik apart altijd een rechtmatige grondslag hebt en deze ook vastlegt, maar dat kan ook al het geval zijn als de verwerking noodzakelijk is voor de (verkoop)overeenkomst of bij een ander gerechtvaardigd belang van de organisatie. Heb je geen overeenkomsten of is het gerechtvaardigd belang niet van toepassing dan moet je wel toestemming vragen.
Hoe kan Alfresco hierbij helpen?
Alfresco heeft een ingebouwde workflow module. Daarmee kan je processen vormgeven, bijvoorbeeld de stappen die nodig zijn voor het definitief toestemming krijgen van klanten voor de verwerking. Zo’n proces kan je zo eenvoudig houden of complex maken als je zelf wilt. Bij elke stap zijn er zaken te automatiseren, zoals het versturen van een e-mail of het vastleggen van meta data.
Onderdeel van het doorlopen van zo’n proces kan zijn dat je gegevens moet invullen en dat de meta data daarom tijdens zo’n proces automatisch tot stand komt. Bijvoorbeeld door vast te leggen:
- Wie er precies toestemming heeft gegeven dmv invullen naam en e-mailadres
- Wanneer deze toestemming is gegeven dmv automatisch vastleggen van de datum
- Waarvoor deze toestemming is gegeven dmv invullen gegevens, danwel koppelen van overeenkomt
- Laat zien de manier waarop er toestemming is gegeven dmv vastleggen van de procedure in een workflow
5. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
De betrokkenen heeft het recht om zijn of haar persoonsgegevens bij een organisatie onder bepaalde voorwaarden op te vragen en kosteloos binnen 30 dagen te ontvangen. Met het recht op portabiliteit heb je ook een recht op inzage. Je moet er darbij natuurlijk voor zorgen dat het alleen de gegevens zijn die de betrokkenen zelf heeft verstrekt. Hieronder vallen bijvoorbeeld NAW-gegevens, zoekgeschiedenis, locatiegegevens.
Ook kan een betrokkene aangeven dat bepaald soort gegevens niet meer up-to-date zijn en aangepast moeten worden. Onder bepaalde voorwaarden kan een betrokkene aangeven dat persoonsgegevens verwijderd moeten worden.
Hoe kan Alfresco hierbij helpen?
Door in een content model te bepalen dat je (bijvoorbeeld) verplicht een klantennummer vastlegt, kan je de gegevens van een klant eenvoudig terugvinden. Koppel daar dan ook direct één of meer gegevenscategorieën aan. Wanneer een klant zijn/haar diensten opzegt, kan die ex-klant bijvoorbeeld eisen alle aan die klant gerelateerde persoonsgegevens te verwijderen. Gelukkig heb je het klantennummer en de gegevenscategorieën al vastgelegd. Je kunt dan direct de uitsluitend aan die klant gerelateerde gegevens terugvinden en meteen onderscheid maken tussen gegevens die per direct op verzoek van de klant vernietigd mogen worden en die je bijvoorbeeld zeven jaar moet bewaren om aan wetgeving te voldoen.
6. Zorg er voor dat je een databeveiligingsbeleid hebt
Ontwikkel een duidelijk beleid op dit terrrein dat voldoet aan de eisen die de AVG heeft gesteld.
Onderdelen:
- Toegangscontrole,
- Logging van handelingen rondom de persoonsgegevens
- Fysieke maatregelen voor toegangsbeveiliging
- Encryptie van bestanden met persoonsgegevens
- Steekproefsgewijze controle op naleving van het beleid
- Beheer van kopieën en back-ups
- Beveiliging van netwerkverbindingen
Hoe kan Alfresco hierbij helpen?
Alfresco zit als applicatie goed en veilig in elkaar. Deze applicatie wordt gebruit in de grootste en meest complexe organisaties, dus veiligheid en toegang tot uitsluitend de juiste gegevens zijn belangrijke uitgangspunten. Met gebruikers, groepen en rechten zorgt Alfresco er voor dat niet iedereen bij alles kan komen. Dat werkt door op alle manieren, dus niet alleen bij het bladeren door mappen, maar ook bij zoeken en wanneer je van de API gebruikmaakt. Door Alfresco te koppelen aan jullie authenitcatiesysteem, bijvoorbeeld Active Directory, kan je de gebruikers en groepen op één centrale plek beheren en weet je zeker dat als iemand uit dienst is, dat die ook geen toegang meer heeft tot Alfresco.
Conclusie
Alfresco kan op vele manieren helpen bij het structureren van ongestructureerde gegevens, zoals documenten en andere bestanden. De belangrijkste methode daarvoor is het werken met meta data. Die kan je handmatig toevoegen, maar ook semi-handmatig bij het doorlopen van een workflow of geheel automatisch als je het DMS koppelt aan een CRM of anderen applicatie.
Die meta data helpt je om de gegevens weer terug te kunnen vinden, waarna je daar handelingen op kunt (laten) uitvoeren. Handmatig of geautomatiseerd. Diezelfde metadata helpen je ook bij de presentatie van die gegevens om een andere manier dan standaard mappen. Bijvoorbeeld door gebruik te maken van ‘Slimme mappen’, of door de bestanden via de API op te vragen in andere applicaties.
Vergeet ook niet bij eerdere blogs te kijken voor meer details. Zie: Wat verandert de AVG voor mij als ik SuiteCRM of Alfresco gebruik? en Wat verandert de AVG voor mij als ik SuiteCRM gebruik?