Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de voorgeschreven regels van de Algemene Verordening Gegevensbescherming. Op dat moment dient iedere organisatie precies te weten welke persoonsgegevens in de eigen organisatie worden verwerkt, voor welk doel, en moet een afweging gemaakt worden of al de verzamelde/opgeslagen gegevens wel voor het behalen van dat doel noodzakelijk zijn. Organisaties hebben twee jaar de tijd gekregen om de implementatie van de Algemene Verordening die al op 25 mei 2016 in werking is getreden te voltooien. Er is nu dus nog een klein jaar de tijd om te komen tot het benodigde overzicht om verwerkingen van persoonsgegevens te kunnen verantwoorden.
Als één van de eerste stappen in de implementatie wordt organisaties aangeraden een inventarisatie te maken van persoonsgegevens en de verwerking hiervan in de organisatie. De werkprocessen zoals gedefinieerd in het Model-DSP bieden hier een uitstekende basis voor. Per werkproces kan namelijk worden gekeken:
- Of er persoonsgegevens worden verwerkt en zo ja.
- Welk soort persoonsgegevens worden verwerkt.
- Waar deze persoonsgegevens vandaan komen (bron).
- Aan welke verwerking(en) de gegevens worden onderworpen.
- Wat het doeleinde is per verwerking.
- Wat de grondslag is van de verwerking.
- In welke systemen de gegevens worden verwerkt.
- Door wie de gegevens worden verwerkt en met wie ze worden gedeeld (intern, extern en eventueel ook naar zogenaamde derde landen).
- Wat de bewaartermijn is van de gegevens en op welke wijze de gegevens worden vernietigd.
De AVG gaat uit van een documentatieplicht van zowel de verwerkingsverantwoordelijke als de verwerker en op diverse momenten moeten er gegevens over de verwerking worden gedocumenteerd of ter controle beschikbaar worden gesteld. De inventarisatie vormt de kapstok voor deze documentatieplicht en de basis voor iedere privacy compliance strategie.
Praktisch betekent dit dat het Model-DSP zal worden aangevuld met de benodigde velden die nodig zijn om een overzicht te krijgen van verwerkingen van persoonsgegevens binnen de werkprocessen. Om te bepalen of persoonsgegevens verwerkt mogen worden moet er sprake zijn van doelbinding. Het Model-DSP brengt dit samen omdat de doel van de verwerking het uitgevoerde werkproces is. Per werkproces waarin persoonsgegevens worden verwerkt zal het DSP de minimale hoeveelheid persoonsgegevens noemen die nodig zijn voor het realiseren van dit doel. Dit om organisaties te helpen definiëren of ze al dan niet te veel persoonsgegevens verwerken dan is toegestaan voor het gestelde doel. Daarnaast biedt het Model-DSP de mogelijkheid om de locatie aan te geven van persoonsgegevens in informatiesystemen en om hierbij ook aan te geven of het gaat om lokale al dan cloud op slag (wat een externe verwerking is en waarvoor een bewerkersovereenkomst dient te worden opgesteld en vastgelegd). Door deze elementen toe te voegen aan het Model-DSP creëert een organisatie die het Model-DSP ook voor compliancy aan de AVG gaat inzetten in feite de basis voor een register van verwerkingen.
De release met deze toevoeging zal naar verwachting dit najaar uitkomen en zal doorgevoerd worden voor alle Model-DSPs (voor gemeenten, waterschappen, onderwijs, woningcorporaties en het generieke model-DSP). Tegelijk met de release zal een stappenplan worden gepresenteerd over de implementatie van de AVG met behulp van het Model-DSP waarin bovengenoemde elementen nader worden uitgelegd in relatie tot de eisen die gesteld worden in de AVG.
In het najaar zullen ook gebruikersdagen voor het Model-DSP worden georganiseerd op diverse locaties in Nederland die ook in zullen gaan op de link tussen het Model-DSP en de AVG. Nieuwsgierig wat er op uw organisatie afkomt bij de implementatie van de AVG? Download dan het gratis stappenplan voor de implementatie van de AVG van de site van VHIC.