Het proces van documenteren van AVG-compliance

Het is een doorlopend proces. Altijd.

logo
PrivacyDocs
Bijgewerkt op 2 januari 2025 · 9 minuten leestijd

Het proces van documenteren en onderhouden van AVG (GDPR) compliance is een continue cyclus van verschillende activiteiten:

Ontdekking Interviewen Registraties Contracten Beleid Risico's Inbreuken Beslissingen Leemtes

Dit is een kort overzicht van belangrijke activiteiten, en een privacy-specialist kan zich bezighouden met veel andere privacy- en compliance-gerelateerde taken die hier niet worden genoemd: verzoeken van betrokkenen, gegevensbeschermingseffectbeoordelingen, beoordelingen van legitieme belangen, overdrachtsimpactbeoordelingen, interne beoordelingen van nieuwe systemen en handmatige processen, interne opleiding en advies, en nog veel meer. Maar laten we naar de basis kijken.

Ontdekking

Het begint met ontdekking. U moet vermoeden dat bepaalde verwerking door uw bedrijf wordt uitgevoerd. Dit kan eenvoudig zijn in een klein bedrijf en zeer moeilijk in een grotere en gedistribueerde onderneming. Als privacy-specialist, meestal extern ten opzichte van de meeste procesverantwoordelijken, moet u vermoeden dat iemand verantwoordelijk kan zijn voor een verwerkingsactiviteit binnen het bedrijf, die eigenaar vinden en een gesprek inplannen.

U kunt vermoeden dat er bepaalde activiteiten plaatsvinden (verkoop, marketing, HR, salarisadministratie), maar u kunt ook veel specifieke of interne activiteiten ontdekken. Vaak ontdekt u een kaart van activiteiten en datastromen die eerder niet bestonden.

De IT-afdeling is vaak op de hoogte van de meeste automatische processen, ook al bezitten of beheren ze deze niet. Handmatige processen kunnen moeilijker te ontdekken zijn, dus je moet proactief zijn tijdens het interview om uiteindelijk te leren wat iedereen doet.

Interviewen

Over het algemeen is de documentatie voor AVG-conformiteit interviewgebaseerd: je vraagt procesverantwoordelijken (of wie dan ook deskundig is) naar de details van elk specifiek proces en schrijft de antwoorden op. Er wordt verwacht (en over het algemeen geaccepteerd) dat computersystemen doen wat hun eigenaren denken dat ze doen en dat menselijke collega's doen wat ze zouden moeten doen. Je moet maatregelen nemen als je vermoedt dat deze veronderstelling niet langer geldig is. Bijvoorbeeld, als mensen inconsistente verhalen vertellen over bepaalde processen, of als je het proces zelf kunt observeren.

Een interview is doorgaans gewijd aan een enkele verwerkingsactiviteit (of een paar nauw verwante activiteiten). Vaak heb je twee verschillende collega's: iemand die verantwoordelijk is voor de activiteit en iemand anders die deze in elk detail kent. Je wilt misschien hun namen registreren in de velden 'Verantwoordelijke persoon' en 'Contactpersoon' in de registers van verwerkingsactiviteiten in PrivacyDocs.

Procesverantwoordelijken zijn vaak niet in staat om je het beeld te geven dat je nodig hebt. Een IT-systeem kan bijvoorbeeld veel verschillende processen bedienen, en de betrokken personen zijn zich mogelijk niet bewust van de details over hoe de gegevens in het systeem worden ingevoerd, de toepasselijke beveiligingsmaatregelen, de bewaartermijnen, de informatie die aan betrokkenen wordt verstrekt, enzovoort. Het is ook gebruikelijk dat de juridische afdeling alle contracten beheert en dat de personen die verantwoordelijk zijn voor een proces binnen een bedrijf geen kopie daarvan hebben.

Register van verwerkingsactiviteiten

PrivacyDocs Ondersteuning

Registraties van verwerkingsactiviteiten als verwerkingsverantwoordelijke zijn standaard geopend. U kunt terugschakelen door op de knop 'Verantwoordelijke verwerking' in de linkerbovenhoek van het scherm te drukken:

Records of processing activities as a controller

Het doel van de interviews is om de registers van verwerkingsactiviteiten in te vullen en nieuwe activiteiten die tijdens de interviews worden ontdekt, voorlopig vast te leggen.

Een uur is vaak niet genoeg voor het eerste gesprek, en vervolgafspraken kunnen nodig zijn. (Jaarlijkse) beoordelingen zijn meestal veel korter en veranderen uiteindelijk in snelle e-mailuitwisselingen: 'Is er iets veranderd?'

Het delen van het PrivacyDocs-scherm met het betreffende record met uw collega's tijdens een interview helpt hen om het beter te begrijpen en betrokken te raken. U kunt de uiteindelijke staat van het record na het interview met de belanghebbenden delen om te bevestigen en misverstanden te voorkomen.

PrivacyDocs Ondersteuning

Deel de huidige status van het record door het per e-mail te verzenden (knop 'Team'): Team button . U kunt ook uw collega's uitnodigen om het record rechtstreeks op PrivacyDocs te bekijken (knop 'Klantinstellingen'): Client settings

Contracten

Het vaststellen van de juridische basis voor elke activiteit is een aparte taak omdat deze vaak niet direct beschikbaar is tijdens de interviews. De volgende situaties komen vaak voor:

  • Verwerking op basis van een contract, zoals een arbeidsovereenkomst of een verkoopcontract. Als privacyprofessional moet u het contract vinden zoals het is ondertekend door de betrokkenen (individuen), alle varianten van de contracten verzamelen en deze beoordelen om ervoor te zorgen dat wat is overeengekomen overeenkomt met wat is gedocumenteerd in uw compliance-documentatie. Deze contracten kunnen door andere afdelingen worden beheerd, alleen elektronisch bestaan of uit verschillende juridische documenten bestaan. Verwijzingen naar de contracten en hun teksten worden vervolgens in de bijbehorende velden van PrivacyDocs ingevoerd.
  • Verwerking op basis van gerechtvaardigd belang. Volgens de AVG moet u een gerechtvaardigd belang 'vaststellen' door een Beoordeling van Gerechtvaardigd Belang te voltooien. Een puur geloof dat het bedrijf het recht heeft om een bepaalde verwerkingsactiviteit uit te voeren, is niet voldoende om compliant te zijn. PrivacyDocs biedt een gespecialiseerd formulier dat u kunt invullen. Tijdens het invullen kunt u ontdekken dat het bedrijf eigenlijk geen 'gerechtvaardigd' belang heeft bij het uitvoeren van de verwerking, of dat de verwerking moet worden bijgewerkt, of dat de bijbehorende risico's moeten worden geëvalueerd en beheerd.
  • Verwerking op basis van toestemming vereist doorgaans het vinden van de exacte teksten waarover de individuen het eens zijn. Deze teksten worden vaak geleverd door de verkoop- of marketingsystemen, zijn niet uniform en worden niet echt beheerd als contractuele overeenkomsten. Ze moeten in de juiste velden in PrivacyDocs worden ingevoerd.

Beleid bijwerken

PrivacyDocs Ondersteuning

Genereer beleidsdocumenten met de knop 'Beleid':

Policy generation

Wanneer een verwerkingsrecord wordt bijgewerkt, wilt u mogelijk de beleidslijnen, kennisgevingen en contracten bekijken waarin de betrokkenen worden geïnformeerd of instemmen met de verwerking. Een goed gedefinieerd beleid of kennisgeving zou voldoende uitgebreid zijn om geen regelmatige updates te vereisen. Het blijft echter zinvol om ze te herzien om in lijn te blijven met de rest van de documentatie inzake gegevensbescherming.

PrivacyDocs ondersteunt de generatie van deze documenten met de 'Beleid'-knoppen op de werkbalk. Na het afronden van uw jaarlijkse beoordelingsronde kunt u de beleidsdocumenten opnieuw genereren en deze vergelijken met de versies van het voorgaande jaar met behulp van vergelijkfuncties in Microsoft Word of andere tools. Op deze manier zorgt u ervoor dat uw beleidsdocumenten up-to-date zijn.

Inbreuken onderzoeken

U kunt persoonlijke datalekken registreren en onderzoeken terwijl ze zich voordoen. Normaal gesproken zouden kleine, laag-risico datalekken regelmatig moeten optreden, en een goed gevuld register met deze datalekken is het beste teken van uw naleving van de registratievereisten voor datalekken volgens de AVG (GDPR).

Een inbreuk zou typisch een risico benadrukken dat moet worden gemitigeerd of geaccepteerd.

Risico's identificeren en beheren

Risico's kunnen op drie plaatsen worden geïdentificeerd:

  • Voorlopige risico-identificatie als onderdeel van een register van verwerkingsactiviteiten (veld 'Risico's')
  • Gegevensbeschermingseffectbeoordeling (tabel 'GEB - Gegevensbeschermingseffectbeoordelingen')
  • Beoordeling van inbreuken tijdens de registratie van inbreuken

De meeste risico's leiden tot een zakelijke beslissing, variërend van het accepteren van de risico's zoals ze zijn tot het wijzigen van de verwerkingsactiviteiten die het risico veroorzaken. U moet deze stappen documenteren, aangezien ze deel uitmaken van de nalevingsdocumentatie. Het proces van reageren op een risico kan enige tijd in beslag nemen, vooral als een juiste reactie een materiële wijziging in de verwerking vereist.

Beslissingen documenteren

Documentatie over besluitvorming maakt deel uit van de compliance-documentatie. Bijbehorende e-mails, chatberichten en samenvattingen van gesprekken moeten worden verzameld en aan elk risico worden toegevoegd. Ze kunnen het beste worden opgeslagen in een aparte map die is gelinkt vanuit PrivacyDocs.

Werken aan compliance-tekorten

De AVG-compliance is altijd een doorlopend proces. Er is altijd iets dat niet af is: ontbrekende documentatie, risico's die mitigatie vereisen, enz. Deze hiaten en de voortdurende voortgang van het bedrijf om deze te dekken, zouden moeten worden weerspiegeld in de documentatie inzake gegevensbescherming.

We kunnen je helpen

Wij kunnen helpen bij het afnemen van de interviews en het ontdekken van uw overzicht van verwerkingsactiviteiten als onderdeel van de PrivacyDocs AVG-adviesdiensten.