Universiteit Leiden

nl en

AVG (deel 1 van 5): Inventarisatie

Per 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) in werking treden en ook gehandhaafd worden door de Autoriteit Persoonsgegevens (AP). Onder deze Europese richtlijn krijgen consumenten en burgers meer rechten over de verwerking van hun persoonsgegevens door derden, krijgen organisaties meer verantwoordelijkheden voor het veiliger en rechtmatiger verwerken van deze persoonsgegevens en is de aansprakelijkheidsverdeling bij misbruik of nalatigheid veel beter in kaart gebracht en vastgesteld.

Het centrale begrip van de nieuwe wet is “persoonsgegevens”. Wanneer je met persoonsgegevens werkt, moet je in simpel taalgebruik duidelijk en volledig kunnen uitleggen wat er binnen een organisatie met de persoonlijke gegevens en de verwerkingen ervan gebeurt. Dat moet je vastleggen in het verwerkingsregister. In de wet wordt er bij het verwerken van persoonsgegevens veelvuldig twee kernwaarden aangehaald, namelijk: dataminimalisatie en gebruikersminimalisatie.

Dataminimalisatie

Dataminimalisatie doelt op het uitsluitend verzamelen, opslaan en gebruiken van die persoonsgegevens, die je werkelijk nodig hebt. Het is hierbij belangrijk om zo dicht mogelijk bij het kerndoel van de verwerking te blijven. Het opvragen of bewaren van geboortedata of adresgegevens voor het toezenden van nieuwsbrieven per e-mail is bijvoorbeeld niet noodzakelijk voor de uitvoering van de verwerking (het versturen van nieuwsbrieven) en daardoor overbodig. Het e-mailadres alleen is in dit geval voldoende. Bij het maken van een inventarisatie is het daarom belangrijk om het doel van een verwerking helder te hebben en het uit te voeren door zo min mogelijk persoonsgegevens te verwerken.

Gebruikersminimalisatie

Gebruikersminimalisatie staat voor het uitsluitend toegang geven tot persoonsgegevens aan die personen die die informatie nodig hebben en onbevoegde personen die toegang ontzeggen. Het komt vaak voor dat persoonsgegevens gedeeld worden in mappen die toegankelijk zijn door veel meer personen dan voor wie het bedoeld is. Het is daarom belangrijk om hier altijd rekening mee te houden bij het verwerken van persoonsgegevens bijvoorbeeld door in een besloten Sharepoint-omgeving te werken. 

Inventarisatie

Met deze kernwaarden in gedachte, is het nu tijd om een inventarisatie te maken van de huidige verwerkingen en de omvang daarvan. Een eerste aanrader zou zijn om allereerst zoveel mogelijk onnodige of overbodige persoonsgegevens te verwijderen van het bureaublad, de P:-schijf (persoonlijke werkomgeving), de J:-schijf (de afdelingsmap) en de mailbox (zowel ontvangen als verstuurde mails). In plaats van alle submappen afzonderlijk af te gaan in Windows, is het met de zoekfunctie rechtsboven in Windows Explorer (niet te verwarren met Internet Explorer) of met de sneltoets Ctrl + F mogelijk om zowel de submappen als de inhouden ervan in hetzelfde overzicht te krijgen door te zoeken op “ * “ (zonder aanhalingstekens). Door vervolgens de zoekresultaten bijvoorbeeld te filteren op datum is het heel makkelijk om alle verouderde bestanden met een enkele handeling te verwijderen.

Veilig en verantwoord werken met persoonsgegevens

In de mailbox kunnen ook persoonsgegevens staan. Het is uiteraard onmogelijk om alle persoonsgegevens in uw mailbox te verwijderen, maar desondanks wel belangrijk om dit zoveel mogelijk te doen. Het komt vaak voor dat persoonsgegevens over de mail gewisseld in bijlages. Een makkelijke manier om deze mails in te zien en te verwijderen, is daarom om de mailbox te filteren op enkel de mails die een bijlage bevatten en vervolgens te sorteren op datum van oud naar meest recent. De kans is groot dat de oudste mails niet meer nodig of belangrijk zijn en daarom verwijderd kunnen worden. Een andere manier is om de mails te sorteren op afzender met wie je het meest persoonsgegevens uitwisselt. In beide gevallen is het belangrijk om zowel jouw ‘inbox’ als jouw ‘sent items’ opschoont. Bijlages van mails zijn overigens apart te verwijderen van de mail zelf.

Op de site van de universiteit staan nog veel meer tools en tips om veiliger digitaal te werken.

Na het verwijderen van de onnodige en overbodige bestanden, documenten en persoonsgegevens, is het restant de uiterst noodzakelijke hoeveelheid aan persoonsgegevens die je nodig hebt voor jouw werkzaamheden en verwerkingen. Door het vervolgens op een voor jou duidelijke en overzichtelijke manier te archiveren, bent je klaar voor de volgende stap naar het veilig en verantwoord werken met persoonsgegevens: ‘Do’s, Don'ts en Alternatieven’.

FGGA medewerkers

Heb je vragen over de AVG of bent je te ongeduldig om te wachten tot volgende week? Kijk dan op de site van de universiteit voor meer informatie of stuur jouw vraag naar avg@fgga.leidenuniv.nl.

Deze website maakt gebruik van cookies.  Meer informatie.