Documenten met persoonsgegevens verwerken conform de AVG (GDPR)

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG – in het Engels aangeduid als General Data Protection Regulation (GDPR) – stelt eisen aan de verwerking van persoonsgegevens. Deze eisen zijn gestoeld op een aantal in de AVG omschreven beginselen. Bij de inrichting van systemen voor Enterprise Content Management (ECM) voor de verwerking van documenten met persoonsgegevens moet hiermee rekening worden gehouden.

Beginselen voor de verwerking van persoonsgegevens

In artikel 5 van de AVG (Beginselen inzake verwerking van persoonsgegevens) wordt een aantal beginselen voor de verwerking van persoonsgegevens beschreven. Drie daarvan wil ik hier met name noemen:

• Doelbinding: Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.
• Minimale gegevensverwerking: Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
• Opslagbeperking: Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Voor de verwerking van documenten met persoonsgegevens betekenen bovengenoemde beginselen in de praktijk het volgende:

• Documenten met persoonsgegevens mogen in de bedrijfsprocessen van een organisatie uitsluitend worden verwerkt door bevoegde werknemers wanneer en zolang als zij deze documenten nodig hebben om hun werk te kunnen uitvoeren.
• Documenten met persoonsgegevens moeten worden vernietigd zodra zij niet langer nodig zijn voor de in de AVG genoemde doeleinden.

Hieronder beschrijf ik globaal hoe het een en ander in ECM-systemen kan worden gerealiseerd.

Toegangsbeperking met zaakgericht werken

Tegenwoordig is in veel organisaties zaakgericht werken de methode die wordt gebruikt voor het uitvoeren van bedrijfsprocessen. Zaakgericht werken wordt bijvoorbeeld in de overheid gebruikt voor het afhandelen van subsidieaanvragen en vergunningaanvragen. In de financiële sector wordt zaakgericht werken gebruikt bij onder meer het afhandelen van hypotheekaanvragen, aanvragen voor een lening en verzekeringsclaims.

Zaakgericht werken wordt mogelijk gemaakt door procesondersteunende systemen die de afhandeling van zaken ondersteunen met workflows. In de workflows zijn de verschillende stappen vastgelegd die in de afhandeling van een zaak moeten of kunnen worden gezet. Voor verschillende soorten zaken die een organisatie uitvoert, bestaan vaak specifieke procesondersteunende systemen. Een bank kan bijvoorbeeld aparte systemen hebben voor de ondersteuning van de afhandeling van hypotheekaanvragen en voor de ondersteuning van de afhandeling van aanvragen voor een lening.

Als in een zaak documenten met persoonsgegevens betrokken zijn, dan mogen deze documenten alleen toegankelijk zijn voor de medewerkers die de betreffende zaak afhandelen. In sommige gevallen zullen de documenten zelfs alleen maar toegankelijk moeten zijn voor de medewerkers die een of meer bepaalde stappen van de workflow in de zaak uitvoeren. Het is daarom efficiënt om de autorisatie voor het verwerken van de documenten in een zaak vast te leggen in de workflows van het procesondersteunende systeem.

De toegang tot documenten met persoonsgegevens in een zaakdossier (dit zijn alle documenten die behoren bij een zaak) moet altijd tijdelijk zijn. Als een zaak is afgehandeld en dus het betreffende zaakdossier is gesloten, is toegang voor reguliere medewerkers namelijk niet langer nodig en gewenst. De autorisatie voor het raadplegen van de documenten die is vastgelegd in de workflows in het procesondersteunende systeem moet dan worden opgeheven. Toegang tot een zaakdossier na de afhandeling van de zaak moet alleen nog worden toegekend aan een archiefbeheerder.

Centraal beheer in één systeem

Documenten die in een zaak worden verwerkt kunnen het beste buiten de verschillende procesondersteunende systemen worden opgeslagen en beheerd in een centraal digitaal archief. Het voordeel van het gebruik van een centraal archief is dat dit het beheer van de documenten eenvoudiger maakt.

Door het gebruik van een centraal archief hoeven documenten – ook als ze in meerdere zaken worden verwerkt – slechts eenmalig opgeslagen te worden. Daardoor kan het risico worden verkleind dat documenten met persoonsgegevens worden verwerkt door onbevoegde gebruikers. Bovendien kan zo worden voorkomen dat kopieën van de documenten mogelijk niet tijdig worden vernietigd.

Automatisering voor tijdige vernietiging

Het te lang bewaren van documenten (overretention) is een serieus probleem in veel organisaties. Een teveel aan niet meer relevante documenten leidt tot een gebrek aan overzicht en onnodige kosten voor opslag en beheer. Voor documenten met persoonsgegevens is dit probleem des te nijpender, omdat dit soort documenten niet langer bewaard mag worden dan strikt noodzakelijk is. Daarom hebben documenten met persoonsgegevens een maximale bewaartermijn, terwijl overige soorten documenten doorgaans alleen een minimale bewaartermijn hebben. ECM-software voor records management en retention management kan ervoor zorgen dat documenten met persoonsgegevens geautomatiseerd worden vernietigd, zodra de in het systeem vastgelegde bewaartermijn voor de documenten is verstreken.

ECM-systemen en de AVG

Om te voldoen aan de AVG moeten en kunnen organisaties veel verschillende maatregelen nemen: zie voor een overzicht van mogelijkheden hier. Om te voldoen aan de hierboven genoemde beginselen voor de verwerking van documenten met persoonsgegevens moeten ECM-systemen op de juiste wijze zijn ingericht. In het ideale geval wordt er daarbij in de hele organisatie zaakgericht gewerkt en gebruikgemaakt van een centraal archief en worden documenten met persoonsgegevens geautomatiseerd vernietigd. ECM-systemen kunnen zo helpen om ervoor te zorgen dat documenten met persoonsgegevens worden verwerkt conform de eisen van de AVG.