Deel 4: Wat verandert de AVG voor mij als ik NLCloudopslag gebruik?
Door je werk heb je te maken met diverse documenten zoals word-bestanden, pdf, afbeeldingen en overige gerelateerde gegevens. Deze wil je graag opslaan op een centraal punt waartoe collega’s toegang krijgen mits zij daar ook de rechten voor hebben. Deze opslag moet ook veilig zijn. NLCloudOpslag is een eenvoudig alternatief voor de wat complexere DMS systemen en buitenlandse drop-box achtige producten.
Alle opgeslagen informatie is altijd beschikbaar en toegankelijk mits de gebruiker de rechten heeft gekregen tot de omgeving en diverse onderliggende mappen. Ook kan je bepaald soort documenten gelijktijdig real-time te bewerken en communiceren.
NLCloudOpslag gebruik je om alle bedrijfsgegevens te verzamelen en te gebruiken. Het help bij het het beheren van deze gegevens. In deze blog geven we de situatie weer die de AVG creeert en bieden we handvatten aan hoe je bij NLCloudOpslag kan werken met jouw data.
De fases van gebruik:
Eerste bekijken we welke fases van gebruik er zijn. Deze hebben invloed op de gegevens in NLCloudOpslag zelf. Zie onze eerdere blog voor een volledige uitwerking van de fasen van gebruik.
A. Gebruik
De tijd dat jij jouw gegevens “nodig hebt” is de gebruiksfase. In deze fase worden persoonsgegevens nog niet bewaard of gearchiveerd. Deze fase vindt plaats binnen jouw NLCloudOpslag omgeving. Deze omgeving bestaat vaak uit een zelf opgezette en vast structuur van mappen (folders) en de editor waar actief gegevens worden opgeslagen, gewijzigd en verwijderd.
B. Archivering
De tijd dat jij de persoonsgegevens “mogelijk nodig hebt”, of dat jij jouw gebruikte persoonsgegevens archiveert, start ook de archiveringsfase.
Nu bewaar je jouw gegevens vanwege administratieve redenen of wettelijke voorschriften.
C. Anonimiseren of vernietigen
Wanneer je de persoonsgegevens niet meer nodig hebt, zorg er dan voor dat deze niet meer worden bewaard. Anonimiseren mag wel, maar de echte persoonsgegevens moeten gewist of vernietigd worden.
Checklist
- Welke persoonsgegevens verwerk je in NLCloudOpslag?
- Bewaar persoonlijke gegevens niet langer dan noodzakelijk in NLCloudOpslag
- Zorg eventueel voor verwerkersovereenkomsten
- Bewijs dat je toestemming hebt van alle betrokkenen
- Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
- Zorg er voor dat je een databeveiligingsbeleid hebt
- Documenteer alles ivm Register Verwerkingsactiviteiten
Hoe kan NLCloudOpslag hierbij helpen?
NLCloudOpslag is geschikt voor archivering. Je zet zelf een specifieke mappenstrucuur op waarin je jouw bestanden opslaat. Als je een bestand opslaat, kan je daarna in de recorddetails bijvoorbeeld verschillende datums zien. Wanneer het bestand is aangemaakt, wanneer het voor het laatst is gewijzigd en door wie. Zelf spreek je intern af de specifieke bewaartermijn per document en via de details kan je achterhalen wanneer deze is verlopen en dus wanneer iets verwijderd moet worden.
Door de opslagtijd bij details van een record in de gaten te houden, krijg je de bewaartermijnen inzichtelijk en kan je bepaalde documenten vernietigen. Handmatig kom je een eind, maar met de juiste meta data en wat slimme zoekopdrachten, kan je sneller de juiste gegevens achterhalen.
1. Welke persoonsgegevens verwerk je in NLCloudOpslag?
Verwerk alleen persoonsgegevens die strikt noodzakelijk zijn voor de bedrijfsvoering en verzamel geen extra data. Vraag altijd toestemming voor elk type gebruik apart en doe dat voor elk doel onafhankelijk van elkaar. Je mag geen extra gegevens verzamelen wanneer dat niet overeenkomstig is met het van te voren vastgelegde en gerelateerde doel.
Hoe kan NLCloudOpslag hierbij helpen?
Wanneer je gegevens opslaat in NLCloudOpslag, kan je handmatig tags toevoegen aan bestanden. Zo’n tag kan je zien als metadata. Tags zijn handig om bestanden mee te markeren. Door specifieke tags aan bepaalde bestanden toe te voegen leg je vast wat voor soort document het is en kan je ook een speciale einddatum tag aan toekennen. Deze tags helpen jou bij sneller terugvinden van specifieke bestanden omdat er specifieke tags aan zo’n document zijn toegevoegd waarop je zoekt.
Het terugvinden van een tag gaat via de optie ‘Tags’ in de linkerkolom van GUI. Ga naar het tekstveld “Selecteer tags om op te filteren” en kies een tag of begin met typen om de tags te filteren. Hierdoor kan je snel jouw document terugvinden en op een later moment onderscheid maken bij het verder verwerken en terugvinden van gegevens.
2. Bewaar persoonlijke gegevens niet langer dan noodzakelijk in NLCloudOpslag
Zorg ervoor dat je de persoonsgegevens niet langer bewaart dan noodzakelijk. De AVG geeft zelf geen specifieke bewaartermijnen. Er is wel een opslagbeperking. Daarmee wordt bedoeld dat gegevens alleen bewaard kunnen worden zolang het nodig is en alleen voor de doeleinden die de organisatie van te voren heeft gespecificeerd. Een aantal andere wetten regelt wel specifiek deze bewaartermijnen. Gebruik deze als uitgangspunt voor het vastleggen van de bewaartermijnen voor jouw persoonsgegevens.
Leg in de documentatie van de persoonsgegevensverwerking door de organisatie vast voor elk onderdeel apart hoe lang iets bewaard gaat worden. Klanten kunnen in sommige gevallen vragen persoongegevens te laten verwijderen. Je hoeft dat niet altijd zomaar te doen, maar wanneer je weigert geef dan aan op welke grond er niet direct voldaan kan worden aan de aanvraag, bijvoorbeeld ivm bepaalde regelgeving kan er niet meteen persoongegevens worden verwijderd.
Hoe kan NLCloudOpslag hierbij helpen?
Veel is afhankelijk van het juist toevoegen van tags en dateren van gegevens. Het vastleggen van deze juiste tag doe je handmatig. Klik in de de regel van het bestand, rechts naast de bestandsnaam. In de kolom die rechts opent, staat een tekstveld “Meewerkende labels”. Voer een gewenste tag in, of kies voor een suggestie en druk na elke tag op enter. Daarna is de tag gekoppeld aan het bestand. Het terugvinden op tag gaat via de optie ‘Tags’ in de linkerkolom. Ga naar het tekstveld “Selecteer tags om op te filteren” en kies een tag of begin met typen om de tags te filteren.
Een belangrijk bijkomend voordeel van goede tag datering, is dat je snel de juiste documenten terug kan vinden. Op die manier kan je op een simpele manier inzichtelijk maken dat een bepaalde deadline is verstreken, of dat er bestanden zijn met een status ‘Onverwerkt’, waarna je daarop kunt acteren.
3. Zorg voor verwerkersovereenkomsten
Als je samenwerkt met andere partijen en je daarbij het verwerken van persoonsgegevens uitbesteedt, of daarbij voor een klant de verwerking uitvoert, dan moet je met die partij een verwerkersovereenkomst opstellen. Bij het opstellen van deze overeenkomst heb je te maken met een aantal verplichte onderdelen, zoals beveiliging, toestemming vragen voor het inschakelen van een subverwerker en dat de partijen alleen handelen conform de instructies van de verantwoordelijke.
Je moet daarnaast goed afspreken welke rol alle partijen gaan spelen en welke verantwoordelijkheden er over-en-weer zijn. Dat betekent dat er in het voortraject, maar ook tussentijds nog wel het een en ander kan veranderen aan de overeenkomst. Idealiter wil je altijd kunnen terugvinden wat je op enig moment hebt afgesproken en welke toestemmingen daaraan ten grondslag liggen.
Hoe kan NLCloudOpslag hierbij helpen?
Een eerste hulpmiddel, is de versiegeschiedenis in NLCloudOpslag bij elk document. Om deze versies te zien, klik je in de regel van het bestand, rechts naast de bestandsnaam en ga je naar de tab ‘Versies’. Na het toevoegen van een bestand zijn er geen versies. Als je een bestand rechtstreeks bewerkt via een App, dan ontstaan er direct extra versies. Als je de browser-App gebruikt, wordt bij het uploaden gevraagd of je een bestaand bestand wilt overschrijven, of de originele wilt behouden. Kies dan voor overschrijven door de nieuwe versie. De oude versie wordt dan automatisch bewaard.
Door deze functie kan je altijd teruggaan naar een eerdere versie van het document, om zo te achterhalen wat de afspraken toen waren. Via details van een document kan je zien wie een wijziging heeft doorgevoerd en wanneer, waardoor je eventuele aanpassingen sneller kan achterhalen en wie daar verantwoordelijk voor is . Ook kan je bij dat detail overzicht per record zelf extra aantakeningen achterlater.
Sla deze overeenkomst op in een aparte map bij een organisatie waarbij de eigenschappen bij deze record laten zien om welke Organisatie en persoon het gaat die de overeenkomst heeft ondertekend. Door handig gebruik van tags en details kan je zorgen voor een uniforme naamgeving van bestanden en structuur waarin de bestanden worden opgeslagen. Handig als je er toch een keer handmatig doorheen moet bladeren.
4. Bewijs dat je toestemming hebt van alle betrokkenen
Bij het verzamelen en gebruiken van persoonsgegevens hoeft je niet voor alles toestemming te vragen. Het belangrijkste is dat je voor elk gebruik apart altijd een rechtmatige grondslag hebt en deze ook vastlegt in jouw Register Verwerkingsactiviteiten. Een rechtmatige grondslag kan ook al het geval zijn als de verwerking noodzakelijk is voor de (verkoop)overeenkomst of bij een ander gerechtvaardigd belang van de organisatie. Heb je geen overeenkomsten of is het gerechtvaardigd belang niet van toepassing dan moet je wel toestemming vragen.
Hoe kan NLCloudOpslag hierbij helpen?
Door het opzetten van een speciale structuur, meta data en detail info van gegevens kan je processen vormgeven, bijvoorbeeld de stappen die nodig zijn voor definitief toestemming krijgen van klanten voor de verwerking. Het beste is om het proces zo eenvoudig mogelijk te houden. Veel zaken kan NLCloudOpslag voor jouw doen zoals het versturen van een specifieke e-mails of het sneller zoeken door de eerder vastgelegde meta data, de handmatig toegevoegde tags.
- deze tags en detail info van gegevens helpen jou bij het achterhalen van gegevens
- Wie er precies toestemming heeft gegeven dmv invullen van de juiste tag zoals naam en e-mailadres
- Wanneer deze toestemming is gegeven dmv automatisch vastleggen van de datum bij details
- Waarvoor deze toestemming is gegeven dmv het koppelen van de juiste tags
- Laat zien de manier waarop er toestemming is gevraagd en gegeven dmv de juiste tags en link informatie
5. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
De betrokkenen heeft het recht om zijn of haar persoonsgegevens bij een organisatie onder bepaalde voorwaarden op te vragen en kosteloos binnen 30 dagen te ontvangen. Met het recht op portabiliteit heb je ook een recht op inzage. Je moet er daarbij natuurlijk voor zorgen dat het alleen de gegevens zijn die de betrokkenen zelf heeft verstrekt. Hieronder vallen bijvoorbeeld NAW-gegevens, zoekgeschiedenis, locatiegegevens. Ook kan een betrokkene aangeven dat bepaald soort gegevens niet meer up-to-date zijn en aangepast moeten worden. Onder bepaalde voorwaarden kan een betrokkene aangeven dat persoonsgegevens verwijderd moeten worden.
Hoe kan NLCloudOpslag hierbij helpen?
Door het bedenken en toevoegen van speciale tags kan je de juiste gegevens van een klant eenvoudig terugvinden. Koppel daar dan ook direct één of meer gegevenscategorieën aan. Wanneer een klant zijn/haar diensten opzegt, kan deze ex-klant bijvoorbeeld eisen alle aan die klant gerelateerde persoonsgegevens te verwijderen. Gelukkig heb je het klantennummer en de gegevenscategorieën al vastgelegd. Je kunt dan direct de uitsluitend aan die klant gerelateerde gegevens terugvinden en meteen onderscheid maken tussen gegevens die per direct op verzoek van de klant vernietigd mogen worden en die je bijvoorbeeld zeven jaar moet bewaren om aan wetgeving te voldoen.
Als de structuur dat toelaat, kan je de map met gegevens via een publiek toegankelijke link delen met een derde partij. Hierdoor kan iemand toegang krijgen tot zijn informatie, waarmee je voldoet aan het inzagerecht. Tevens kan je bepalen wat deze externe patijen mag doen met deze gegevens. Als dat alleen inzake betreft, dan zorg je dat de link alleen leesrechten biedt. Verder doe je er verstandig aan om een wachtwoord op de link te zetten, zodat die wat extra bescherming geniet. Vink de checkbox aan en voer in het tekstveld het wachtwoord in en/of te bepaal hoe lang het bestand beschikbaar is via deze link.
6. Zorg er voor dat je een databeveiligingsbeleid hebt
Ontwikkel een duidelijk beleid op dit terrrein dat voldoet aan de eisen die de AVG heeft gesteld.
Onderdelen:
- Toegangscontrole,
- Logging van handelingen rondom de persoonsgegevens
- Fysieke maatregelen voor toegangsbeveiliging
- Encryptie van bestanden met persoonsgegevens
- Steekproefsgewijze controle op naleving van het beleid
- Beheer van kopieën en back-ups
- Beveiliging van netwerkverbindingen
Hoe kan NLCloudOpslag hierbij helpen?
NLCloudOpslag zit als applicatie goed en veilig in elkaar. Deze applicatie wordt gebruit door diverse organisaties, dus veiligheid en toegang tot uitsluitend de juiste gegevens zijn belangrijke uitgangspunten. Met gebruikers, groepen en rechten zorgt NLCloudOpslag er voor dat niet iedereen bij alles kan komen.
Het eigenaarschap van bestanden is eenvoudig te realiseren door gebruik te maken van één centraal beheerde opslagplaats waar alle medewerkers hun bestanden opslaan, en daar ieder met een eigen account en met eigen rechten toegang tot te geven. Alleen op die manier kan je bepalen welke rechten een medewerker of groep van medewerkers heeft op een specifieke map.
Medewerkers moeten zich in dit model altijd authenticeren. Je beheert de gebruikers en/of groepen op één centrale plek in ons beheerpaneel en je weet zeker dat als iemand uit dienst is, dat die ook geen toegang meer heeft tot NLCloudOpslag. Verder kan je een account ook zonder zorgen sluiten, aangezien alle bestanden in de centrale opslag staan en niet in de persoonlijke opslag. Die laatste verdwijnt immers zodra iemand uit dienst gaat. Op die manier voorkom je vervelende verrassingen.
Als je externe gebuikers kan je toegang geeft tot mappen en documenten, dan kan je via de details van een map of document achterhalen wie toegang heeft tot iets en welke rechten deze externe gebruiker heeft. Op die manier kan je deellinks ook weer verwijderen als die niet meer nodig zijn. Wil je zeker zijn dat bestanden op een bepaald moment niet meer beschikbaar zijn, dan stel je direct bij het aanmaken van de link een einddatum in.
Wij maken gebruik van https of te wel het slotje in de webadresbalk. De NLCloudOpslag webapp is hierdoor beveiligd met een SSL-verbinding. Een SSL-verbinding is een beveiligde verbinding tussen jouw computer en de NLCloudOpslag webapp. Anderen kunnen niet meelezen met de informatie die jij uitwisselt met de webapp.
Je kan het het certificaat bekijken zodat je zeker weet dat je met onze webapp te maken hebt.
En wat betreft voorkomen van dataverlies:
- het versiebeheer dat standaard aanstaat zorgt voor behoud van oudere versies;
- mocht je zelf een bestand verwijderen, dan wordt dat bestand niet direct vernietigd, maar eerst naar de prullenbak verplaatst. Hier blijft dat bestand tot 60 dagen bewaard. Kijk voor deze functie linksonder bij ‘Verwijderde bestanden’. Je kunt hier bestanden terugzetten naar de originele locatie, of definitief verwijderen. Let op dat definitief hier ook echt definitief is.
- daarnaast zorgen wij voor een dagelijkse back-up die we tot drie maanden bewaren;
Conclusie
NLCloudOpslag kan jou op diverse manieren helpen bij het structureren van ongestructureerde gegevens, zoals documenten en andere bestanden. De belangrijkste methodes daarvoor zijn het werken met rechten, zorgen voor een goede structuur en het toevoegen van tags. Dit zorgt ervoor dat alleen de juiste personen toegang hebben tot de juiste gegevens en dat je gegevens weer kunt terugvinden indien nodig.
NLCloudOpslag biedt je natuurlijk niet de middelen om veel van de handelingen te automatiseren en stroomlijnen die je met een volwaardig DMS als Alfresco wel hebt, maar met gestructureerd werken en goede afspraken kan je een eind komen.
Vergeet ook niet bij eerdere blogs te kijken voor meer details. Zie: Wat verandert de AVG voor mij als ik SuiteCRM of Alfresco gebruik?, Wat verandert de AVG voor mij als ik SuiteCRM gebruik? en Wat betekent dat voor mij als ik met Alfresco werk?