Een jaar AVG – waar staan we nu?
Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Waar staan we na een jaar als dienstverlener van het Rijk? Doc-Direkt is in 2018 proactief in gesprek gegaan met alle departementen om afspraken te maken over de persoonsgegevens die Doc-Direkt voor haar afnemers verwerkt. Afgelopen week stonden we tijdens een informele borrel stil bij belangrijke mijlpalen in dit traject.
Met het vaststellen van generieke verwerkersafspraken in de Producten- en Dienstencatalogus (PDC) van Doc-Direkt, houdt Doc-Direkt voor de uitvoering van de opdrachten op generiek niveau altijd rekening met het aangegeven proces. Aanvullend daarop werden met maar liefst 11 afnemers specifieke verwerkersafspraken afgesloten. Intensieve trajecten, waarbij de betreffende verwerkingen van persoonsgegevens geïdentificeerd werden. Hierbij stond telkens de vraag centraal of Doc-Direkt, als dienstverlener en verwerker, aanvullende maatregelen moet treffen om de verwerkingen te beveiligen. Ook werd gekeken of er naast de AVG andere wetgeving van toepassing was, zoals de Wet op juridische en strafrechtelijke gegevens (Wjsg) en de Wet op politiegegevens (Wpg). Om de aanpak rondom de AVG zo goed mogelijk te toetsen, heeft Doc-Direkt een extern adviesbureau (Verdonck, Klooster en Associates, VKA) in de arm genomen. Deze externe partij heeft een review gedaan op de aanpak van Doc-Direkt om tot verwerkersafspraken te komen met haar afnemers en geconstateerd dat deze dekkend is.
De ervaringen van één jaar AVG
Privacy werd het afgelopen jaar een item waar niemand omheen kon. De uitdaging vandaag: hoe houden we het interessant en wordt het niet irritant? Bewustzijn is hierin een cruciaal element. Dit erkende ook VKA tijdens onze borrel. Je merkt niet alleen op de werkvloer dat de AVG in werking is getreden, maar ook in nieuwsberichten.
Het bewustwordingsproces was een van de rode lijnen in het traject dat Doc-Direkt heeft afgelegd. Deze ervaring werd ook gedeeld door een van onze afnemers, het ministerie van Volksgezondheid, Welzijn en Sport.
Deze vertelde tijdens onze borrel meer over het traject dat zij hebben afgelegd. Het kerndepartement heeft namelijk een AVG-team opgericht, dat ongeveer 250 processen heeft geïdentificeerd. Uit een nadere analyse bleek dat in ongeveer 60 processen persoonsgegevens worden verwerkt. Voor die 60 is een QuickScan AVG uitgevoerd om het verwerkingenregister te vullen en verwerkersafspraken en verwerkersovereenkomsten op te stellen. Verwerkersafspraken met de verwerkers binnen het Rijk en verwerkersovereenkomsten met verwerkers buiten het Rijk. Maar het ging en gaat ook om het bewustzijn dat er persoonsgegevens worden verwerkt en dat die in sommige gevallen kunnen worden gekenmerkt als “bijzonder”. Een organisatie mag namelijk geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.
En hoe nu verder?
Samen met haar afnemers heeft Doc-Direkt het afgelopen jaar hard gewerkt aan een basis, waarna het nu een kwestie is van bijhouden. We werken in een continu veranderend speelveld, dus is het belangrijk dat we met elkaar in gesprek blijven over ontwikkelingen op dit gebied en dat we er bewust van zijn dat veranderingen kunnen leiden tot het maken van aanvullende verwerkersafspraken. Dit blijft een samenspel tussen Doc-Direkt als verwerker en haar afnemers als verwerkingsverantwoordelijken.
Daarnaast houdt Doc-Direkt de (technische) ontwikkelingen op het gebied van Informatiebeheer nauwlettend in de gaten en verbreden we ons dienstenaanbod om aan te sluiten bij de vraag van afnemers. Zo hebben we onlangs het product Aspera geïntroduceerd waarmee grote digitale bestanden veilig en versleuteld getransporteerd kunnen worden.
Meer weten over onze diensten en/of onze relatie met de AVG? Neem contact op met Doc-DirektRelatiebeheer@minbzk.nl