Wat betekent de AVG voor uw DMS?

In mei 2016 is de AVG, de Algemene Verordening van gegevensbescherming (of GDPR), in werking gegaan. In de AVG zijn een aantal zaken en plichten aangescherpt te opzichte van de huidige Wet bescherming Persoonsgegevens (Wbp), bovendien zijn de sancties zwaarder en zal er (vaker) gehandhaafd worden. Tot 25 mei 2018 hebben organisaties de tijd om aan de nieuwe regels te voldoen. Maar wat betekent dit voor E-Content en wat moet er gebeuren om aan deze wet te voldoen?

Wat houdt de AVG in?

De AVG richt zich op de zogenaamde informationele privacy ofwel de bescherming van persoonsgegevens. Persoonsgegevens worden gedefinieerd als gegevens die zodanig kenmerkend zijn voor een bepaalde persoon dat hij/zij aan de hand van deze gegevens, zonder ‘onevenredige inspanning’, kan worden geïdentificeerd.

1. De bescherming van deze gegevens wordt samengevat in een aantal uitgangspunten. Allereerst mogen alleen de noodzakelijke gegevens voor het beoogde worden verzameld en mogen deze alleen worden gebruikt voor dat doel waarvoor ze worden verzameld. Wanneer dit doel is vervuld mogen de gegevens niet langer worden bewaard. Daarnaast moeten de persoonsgegevens goed worden bewaard, beschermd tegen verlies of diefstal, en moet de betrokkene over wie de gegevens gaan volledig op de hoogte zijn.

 

2. De bescherming van deze gegevens wordt samengevat in een aantal uitgangspunten. Het gebruik van persoonsgegevens moet transparant gebeuren voor de betrokkenen waarvan de gegevens worden verzameld. Verder geldt er een doelbeperking van de gegevens, deze mogen alleen gebruikt worden voor het doel waarvoor ze verzameld zijn. Dit doel bepaald ook de gegevensbeperking, alleen de noodzakelijke gegevens voor het gestelde doel mogen worden verzameld. Daarnaast moet er expliciete toestemming van de betrokkene, over wie de gegevens gaan, worden gevraagd. Wanneer het doel is vervuld moeten de gegevens worden vernietigd, dat is de bewaarbeperking. Uiteraard moet de integriteit en vertrouwelijkheid van de gegevens bewaakt worden door bescherming tegen verlies, diefstal of toegang door onbevoegden (zelfs binnen de eigen organisatie) en bewaking van de juistheid van de gegevens.

Wat betekent de AVG voor E-Content?

Door de centrale plek die E-Content (of een ander DMS/ECM) inneemt in het applicatielandschap van een corporatie krijg je ook hier te maken met persoonsgegevens. Natuurlijk de documenten met persoonsgegevens daarin, maar ook alle gegevens uit bijvoorbeeld een ERP die in E-Content zichtbaar zijn of worden gebruikt bij de indexatie van documenten. De AVG komt ter sprake bij de vragen over welke gegevens (mogen) worden opgeslagen, wie hier bij mag en hoe lang ze bewaard mogen blijven.

Analyseren

De eerste stap die gezet moet worden is een analyse van de persoonsgegevens die in en rond processen worden opgeslagen en gebruikt. Aan de hand van deze analyse zullen processen en werkwijzes moeten worden aangepast om zo de kraan dicht te draaien. Voor het opslaan van persoonsgegevens is immers een grondslag nodig. Op basis van de analyse kan worden nagegaan welke gegevens in E-Content belanden of in het verleden zijn beland.

Archief opschonen

Het is belangrijk dat de gegevens en documenten die niet (langer) bewaard mogen worden op een vernietigingslijst belanden. Dit kunnen gegevens zijn die niet noodzakelijk zijn (zoals geboortedatum bij een ZAV-aanvraag) of gegevens die überhaupt niet mogen worden vergaard (zoals een kopie legitimatiebewijs). Daarnaast kan de grondslag waarvoor gegevens bewaard zijn, verlopen zijn, bijvoorbeeld een opgezegd huurcontract of een inkomenscontrole waarvan de accountantscontrole al is geweest.

De uitdaging bij het vernietigen van deze gegevens en documenten is het opzoeken en isoleren van de juiste set. Dit is onder andere afhankelijk van de kwaliteit van indexeren. Zijn de documenten die vernietigd moeten worden wel onder een apart documenttype geïndexeerd, of zijn ze onderdeel van een verzamel-PDF? Hoe lager de kwaliteit van indexeren des te groter de inspanning en kosten om ze te isoleren en vernietigen. Mogelijk is niet in alle gevallen geautomatiseerd opschonen een optie.

Voor de toekomst is het instellen van bewaartermijnen belangrijk om het archief op orde te houden. Dit houdt in dat voor de belangrijkste documenten met een wettelijk verplichte vernietigingstermijn, geautomatiseerd verwijderd kunnen worden door dit in te stellen in E-Content.

Autoriseren en inrichten

Wanneer documenten en andere gegevens wel bewaard mogen worden, is het van belang vast te stellen wie er binnen de organisatie toegang toe mag hebben. Gaat het om handige informatie of is het echt noodzakelijk om het te kunnen inzien? Is het voldoende om wanneer nodig een opvraag van de gegevens te doen bij een collega of moet het direct beschikbaar zijn? Hiervoor is een analyse en eventuele herziening van het autorisatiemodel voor nodig. Waar voorheen ‘open, tenzij…’ het adagium was zal de ‘nieuwe’ wetgeving hier zeker wat aanpassing op vragen. Privacy by default is immers een eis.

Het is natuurlijk belangrijk de autorisaties binnen het DMS aan te passen aan de nieuwe wetgeving, maar wat niet vergeten moet worden is dat de inrichting daar ook geschikt voor moet zijn. In E-Content raden we aan op bibliotheek-niveau te autoriseren, dus moet ook alle inhoud van een bibliotheek zichtbaar zijn voor de gebruiker die er toe geautoriseerd is. Het autorisatieschema moet in lijn zijn met de inrichting, zodat de werkbaarheid niet in het geding komt. Door een op processen gebaseerde inrichting, is het autoriseren er van een simpele stap.

Inrichting en autorisatie zullen ook voor de entiteitenlijsten geregeld moeten worden. De gegevens die meegegeven worden vanuit bijvoorbeeld een ERP bij de verschillende entiteiten zijn wellicht niet (voor iedereen) relevant en mogen dus niet zomaar getoond worden. Deze gegevens zullen wellicht beperkt moeten worden tot de bron en niet meer meegestuurd moeten worden naar E-Content, ook al verhoogd dat het gemak. Daarnaast zullen enkele lijsten in het geheel worden afgesloten voor groepen medewerkers die er geen gebruik van maken. De combinatie van Klanten- en Eenhedenlijst laat bijvoorbeeld zien waar iemand woont.

Inzage

Naast het zorgvuldig opslaan, beveiligen en op tijd weer verwijderen van gegevens, gaat de AVG ook over de rechten van de betrokkenen, de personen over wie de gegevens gaan. De betrokkene moet op de hoogte zijn, expliciete toestemming die hij/zij heeft gegeven voor de verwerking van de gegevens, maar ook heeft de betrokkene te allen tijde recht op inzage van de gegevens die een organisatie van hem/haar bewaard. Daarnaast wordt gesproken van het recht op correctie, verwijdering en dataportabiliteit, waarmee wordt bedoeld dat de persoonsgegevens bij overstap naar een andere organisatie zijn over te hevelen. Deze rechten moeten uitvoerbaar zijn in de ICT infrastructuur en er

moeten afspraken gemaakt worden over de wijze van inzage en de precieze inhoud. E-Content kan hierin ondersteunen mits deze afspraken van tevoren zijn getoetst.

Testomgeving

Een indirecte consequentie van de regels die de AVG stelt rond de verwerking van persoonsgegevens, is het gebruik ervan in de testomgeving van bijvoorbeeld E-Content. Het doel van deze gegevens is namelijk vrijwel nooit om als testdata gebruikt te worden. Bovendien zijn de autorisaties in een testomgeving in de praktijk vaak ruimer dan in een productieomgeving, bijvoorbeeld door een ruimere toegang voor derden (leveranciers, externen). Daarbij komt dat een testomgeving ook dient om nieuwe versies van software op te testen die mogelijk dus ook bepaalde (beveiligings)bugs kunnen bevatten.

Omdat testen zonder data simpelweg onmogelijk is, moet de data geanonimiseerd worden. Dit geldt voor de documenten en voor de gestructureerde gegevens. Deze gegevens, vaak uit een ERP afkomstig, kunnen allereerst al tot een minimum beperkt worden door bijvoorbeeld telefoonnummer en IBAN van een klant te wissen of te vervangen voor een nep-nummer. Een andere mogelijkheid is om de entiteiten te husselen of eventueel te mixen met de gegevens van een andere organisatie, zodat de combinatie van Klant en Adres niet meer te vinden is. Voor de documenten kan een script worden gemaakt die elk document vervangt door een dummy-document met grofweg dezelfde eigenschappen (grootte, bestandsformaat, metadata).

Een dergelijk geanonimiseerde testomgeving is vrijwel altijd voldoende voor het functioneel testen van een applicatie zoals E-Content. Wanneer er inhoudelijk moet worden getest, bijvoorbeeld wanneer het echt gaat om de synchronisatie van specifieke gegevens, kan een niet geanonimiseerde omgeving worden gebruikt. Deze moet natuurlijk wel hetzelfde autorisatieniveau kennen als de productieomgeving en is in wezen een acceptatieomgeving.

Hoe verder:

Om bovenstaande consequenties van de AVG te borgen in en met E-Content, zal onze volgende update in het teken staan van de AVG. Bepaalde functionaliteiten, maar ook diensten zoals het vinden van persoonsdocumenten en deze vernietigingen zullen dan beschikbaar komen. Uiteraard worden release notes hiervan opgesteld en worden deze naar alle E-Content klanten gestuurd.