Het gaat er niet alleen om jezelf als bedrijf te beschermen tegen straffen die worden opgelegd, het gaat er ook om ervoor te zorgen dat de gegevens niet toegankelijk zijn voor derden en zo de buitenwereld kunnen bereiken.
Een schandaal of een gegevensbeschermingslek kan het imago van een bedrijf permanent beschadigen. Om deze reden willen we het onderwerp gegevensbescherming op dit punt nader bekijken.
Wat is een DMS?
In het bijzonder moet het gaan over gegevensbescherming op het gebied van documentbeheer. Veel bedrijven gebruiken zogenaamde document management systemen - kortweg DMS - om documenten centraal te beheren.
De implementatie van een DMS is een belangrijke stap in de richting van holistische digitalisering en biedt het bedrijf ook een grotere efficiëntie op het gebied van alle documentbeheerprocessen.
DMS en gegevensbescherming
Op het eerste gezicht lijkt een DMS waarin alle documenten centraal worden beheerd en opgeslagen, op één ernstig beveiligingsrisico. Het is waar dat het centrale aspect het des te belangrijker maakt om het systeem en dus de daarin opgeslagen gegevens voldoende te beveiligen. Maar het DMS zelf kan ook veel gegevensbeschermingswerk voor bedrijven doen.
De functies van een documentbeheersysteem die dit doen, worden hieronder in meer detail besproken. Allereerst moet echter worden uitgelegd naar welke gegevens de algemene verordening gegevensbescherming specifiek verwijst en welke eisen deze stelt aan bedrijven op het gebied van gegevensbescherming.
Wat is de algemene verordening gegevensbescherming?
De algemene verordening gegevensbescherming is gezaghebbend voor de richtlijnen voor gegevensbescherming in de Europese Unie die sinds mei 2018 van kracht zijn.
Het bestaat onder andere uit algemene bepalingen en principes, maar heeft ook betrekking op gebieden zoals de overdracht van persoonlijke gegevens aan derde landen of internationale organisaties en de rechten van de betrokkene.
Persoonsgegevens en de informatieverplichting
Dit betekent in detail voor bedrijven dat zij de betrokkene - de persoon van wie de gegevens worden verzameld - te allen tijde informatie moeten kunnen verstrekken.
Dit gaat vergezeld met documentatie-eisen. Het bedrijf moet zich ook houden aan de wettelijke verwijderingsperioden voor deze gegevens, die hieronder in meer detail worden besproken.
Wettelijke verwijderingsperioden in de DMS
Bedrijven moeten ervoor zorgen dat verzamelde gegevens wanneer ze niet langer nodig zijn of nadat wettelijk gereguleerde periodes zijn verstreken worden verwijderd. Dit is ook het geval als de betrokkene gebruik maakt van zijn herroepingsrecht. Zelfs als ze oorspronkelijk instemde met de gegevensverzameling, kan ze op elk moment besluiten deze beslissing te herzien.
Het belangrijkste hier is om de verzamelde gegevens onmiddellijk van de servers te verwijderen - dat wil zeggen zonder een ongepaste vertraging. Dit kan gecompliceerd blijken als meerdere exemplaren van hetzelfde gegevensrecord op verschillende locaties worden opgeslagen.
DMS helpt om verwijderingsperiodes bij te behouden
Op dit punt kan een DMS helpen. Allereerst moet het documentbeheersysteem zich altijd in de IT-infrastructuur van het bedrijf bevinden via geschikte interfaces om gegevenssilo's te voorkomen. Bovendien kunnen geautomatiseerde verwijderingsprocessen meestal in het systeem zelf worden ingesteld.
De relevantie van interfaces
Als er een integratie met een CRM-systeem is, kan op elk moment worden bekeken welke betrokkene wenst dat zijn gegevens worden verwijderd en wat de status van het verwijderingsproces is. Geautomatiseerde urgentieherinneringen helpen om de deadlines voor verwijdering te halen.
GDPR en documentatie-eisen
Een DMS kan echter ook helpen met de bovengenoemde documentatievereisten met betrekking tot de plicht om informatie te verstrekken die door het bedrijf in de AVG is gedefinieerd. Het zorgt ervoor dat alle maatregelen en processen voor gegevensbescherming die door het bedrijf worden genomen, worden gedocumenteerd en beheerd. Door een DMS te gebruiken, heeft een bedrijf in wezen twee vliegen in één klap geslagen.
TOM: Technische en organisatorische maatregelen
Enerzijds maakt het het werk voor zichzelf gemakkelijker, omdat het systeem het documentatieproces grotendeels automatisch uitvoert en handmatige nabewerking zelden nodig is.
Anderzijds voldoet een geschikt DMS aan de zogenaamde "technische en organisatorische maatregelen" die bedrijven moeten nemen onder de AVG om de bescherming van hun klantgegevens te waarborgen.
Toegangsrechten in de DMS
Velen zullen de termen toegangsrechten en roltoewijzing al kennen uit hun eigen dagelijkse werkzaamheden. Elk bedrijf dat in welke vorm dan ook bedrijfssoftware gebruikt, heeft te maken met welke werknemers of systeemgebruikers toegang moeten hebben tot welke gegevens.
Zeker bij de grotere bedrijven hoeft niet elke werknemer toegang te krijgen tot alle gegevens en functies van het systeem. Aan de ene kant heeft dit zeer praktische redenen: als er maar een klein deel nodig is, is het veel moeilijker om de functionaliteiten te vinden in een complexe, uitgebreide DMS die verschillende afdelingen omvat.
Roltoewijzing ook voordelig voor bedrijven
Omwille van de duidelijkheid en gebruiksvriendelijkheid moet de toegang tot gebieden die niet noodzakelijkerwijs vereist zijn voor de uitvoering van het werk worden beperkt. Toegangsrechten helpen ook op het gebied van gegevensbescherming.
De toegewezen rol van een medewerker bepaalt bijvoorbeeld of de medewerker geautoriseerd is om bepaalde gegevensrecords te exporteren. Dit zorgt ervoor dat gegevens niet per ongeluk in verkeerde handen vallen.
Versleuteling en versleutelde gegevensoverdracht
Het coderen van gevoelige gegevens is een andere manier om gegevens te beschermen tegen toegang van derden, waar bedrijven in elk geval van zouden moeten profiteren.
End-to-end encryptie (E2EE)
Een veelgebruikt type codering tijdens datatransmissie, waar sommige lezers waarschijnlijk bekend mee zullen zijn, is de zogenaamde end-to-end-codering (kortweg E2EE). Op deze manier worden de gegevens gecodeerd tijdens het gehele verzendproces en zijn alleen de afzender en ontvanger bekend met de boodschap.
Lokale gegevensopslag versus Cloud DMS
Als u de implementatie van een DMS overweegt, rijst vroeg of laat de vraag of een lokale gegevensopslag op uw eigen servers of een cloudoplossing het betere alternatief zou zijn. Vanwege bezorgdheid over gegevensbescherming zijn sommige bedrijven zelfs nog steeds sceptisch over het gebruik van Cloud gebaseerd DMS.
Toch bieden cloudoplossingen veel voordelen die andere bedrijven niet willen missen. In elk geval moet u zich informeren over de richtlijnen voor gegevensbescherming die van toepassing zijn op de provider voordat u een cloudoplossing introduceert, omdat deze niet overeenkomen met die van de AVG buiten de Europese Unie.
Juiste gegevensbescherming is uw eigen verantwoordelijkheid voor lokale gegevensopslag. De server zelf moet ook worden beschermd.
Ongeacht het type installatie van het DMS moeten regelmatig back-ups worden gemaakt om in geval van nood back-upkopieën van de gegevens te gebruiken. Dit proces kan meestal grotendeels worden geautomatiseerd met behulp van DMS.
Samenvattend kan een correct gebruikt DMS niet alleen de gegevensbescherming van persoonlijke gegevens binnen het bedrijf verbeteren, maar ook eenvoudiger maken.
Dit voorkomt mogelijke schendingen van de AVG en gevoelige gegevens worden voldoende beschermd. Door een DMS te gebruiken, kunnen bedrijven bovendien op elk gewenst moment aantonen dat zij juridisch conform omgaan met persoonlijke gegevens.