Wat zijn de belangrijkste verschillen tussen de WBP en de AVG?

• Het begrip persoonsgegevens is uitgebreid met online indicators die te herleiden zijn naar natuurlijke personen.
• Er geldt een registratieplicht voor alle verwerkingen van persoonsgegevens. Bij elke verwerking is actieve toestemming van de betrokkenen verplicht.
• Er zijn rechten toegevoegd, zoals het recht op vergetelheid (wissen van gegevens op verzoek) en op dataportabiliteit (geregistreerde gegevens ontvangen). En het recht om de verwerkingen te beperken, en om bezwaar te maken tegen verwerkingen.
• Je moet kunnen aantonen dat jouw organisatie zich aan alle regels houdt. Daardoor moeten er meer handelingen, communicatie en mutaties in systemen gereistreerd worden.
• Externe verwerkers zijn medeaansprakelijk.
• In sommige gevallen is een Privacy Impact Assessment (PIA) verplicht.
• Het aanstellen van een Functionaris Gegevensverwerking is gewenst. Voor overheden en publieke organisaties is het verplicht.
• Training van medewerkers is niet verplicht, maar bewustwording en training zijn onontbeerlijk om compliancy te waarborgen.
• Boetes bij overtredingen worden veel hoger.

Hoe ver ben jij met de voorbereidingen? Eigenlijk is de nieuwe Europese wetgeving al op 25 mei 2016 in werking getreden. Alleen hebben de EU en de Autoriteit Persoonsgegevens ons twee jaar de tijd gegeven om zich aan te passen. Op 25 mei aanstaande moet dat dus afgerond zijn.

Bright Answers heeft gelijkertijd met Techxx Bright Answers zijn dienstverlening en producten al volledig op de nieuwe privacywetgeving aangepast. Business manager Wonen Henk Rakké van Techxx Bright Answers neemt je aan de hand met behulp van een heel eenvoudige checklist. Op basis van 4 stappen kan je bepalen in hoeverre jouw organisatie klaar is voor de AVG.

“De technische inrichting van het digitale archief zegt veel over het privacy-bewustzijn van een organisatie”, aldus Rakké. Hoe is het archief ingericht? Hoe sla je documenten op nadat er nieuwe huurders een huurcontract hebben getekend? Nog steeds als één bestand met verschillende documenten?

Rakké: “Hoewel bewaartermijnen van persoonsgegevens niet zijn gewijzigd, kunnen betrokkenen wel een beroep doen op hun recht van vergetelheid. Gegevens laten verwijderen dus; bijvoorbeeld een kopie van een identiteitsbewijs. De vraag of het maken van kopieën van legitimatiebewijzen wel mag, wordt door de AVG ook relevant. Huurders moeten zich kunnen identificeren maar mogen kopiëren van paspoort of rijbewijs weigeren. Na de invoering van de AVG hebben ze nog meer rechten om te weigeren en om opgeslagen kopieën te laten verwijderen.”

Rakké vervolgt: “Sla je wel identiteitsbewijzen op, dan is het belangrijk om het archief doorzoekbaar en veilig te houden. BSN-nummers op kopieën moet je afschermen en mogen alleen voor bevoegden toegankelijk zijn. Je moet op verzoek kopieën identiteitsbewijzen, en andere persoonsgegevens snel kunnen verwijderen. Daarnaast moet het eenvoudig zijn om een vernietingslijst op basis van vastgestelde bewaartermijnen te kunnen opvragen, waarna documenten op deze lijst kunnen worden verwijderd.

Techxx Bright Answers heeft een AVG-toolkit ontwikkeld, waarmee het archief “door een digitale wasstraat” gehaald kan worden. “Documenten kunnen vervolgens op basis van aanwezige inhoud doorzocht worden”, vertelt Rakké. “Ook voor niet-OCR gescande documenten wordt gekeken of dit alsnog kan gebeuren. Het zoekmechanisme zit ingenieus in elkaar. Je kunt gevoelige informatie zoeken en vervolgens met speciale tooling wijzigen of verwijderen.”

Volgens Rakké kan de AVG ook aanleiding zijn om een volledig nieuw digitaal archief in te richten. “Onze archiefoplossingen voldoen aan de CORA/VERA-standaarden. We richten het digitale archief zo in dat documenten automatisch de juiste bewaartermijnen op basis van documenttype krijgen teogekend.

De aangescherpte privacyregels maken het nog belangrijker dat privacy-gevoelige informatie alleen voor directe behandelaars toegankelijk is. Rakké: “Denk bijvoorbeeld aan huurincassoprocedures, overlastdossiers, en identiteitsbewijzen die gebruikt worden bij  het aangaan van nieuwe huurcontracten. Je moet door middel van autorisatiestructuur kunnen aantonen wie toegang tot welke dossiers heeft.”

Hij vervolgt: “Wij kunnen op basis van KlantVenster zaak- en dossiergericht werken mogelijk maken. Bij de inrichting zorgen we voor de noodzakelijke autorisatieniveaus en definiëren we dossier- en documenttypes. Per type kun je autorisatieniveaus toewijzen. En omdat iedere medewerker een autorisatieniveau heeft, vervalt de noodzaak om autorisaties per document te regelen. Dat is veiliger en efficiënter”, aldus de Business manager Wonen.

Jouw organisatie communiceert mondeling, digitaal en via brieven met (kandidaat-)huurders. Kun je bij elke stap van de communicatie en workflow waarborgen dat geautoriseerde medewerkers die stap uitvoeren? En is elke stap en handeling in de workflow terug te vinden? Zo niet, dan kun je geen volledige audittrail laten zien. En kun je dus niet aantonen dat je compliant bent met de AVG.

Rakké beschrijft een oplossing van Techxx Bright Answers: “Onze dienstverlening en producten draaien om het kloppende hart: KlantVenster. Via dit framework kunnen medewerkers brieven aanmaken en versturen, maar ook de workflow van diverse klantprocessen volgen en sturen.”

“KlantVenster koppelt op een slimme manier zelfserviceportalen, het DMS  en andere bronsystemen met behulp van workflows aan elkaar. Alle handelingen worden gelogd in een audittrail. Wij richten alles dusdanig in dat onze klanten compliant zijn met de AVG. Bestaande klanten adviseren we proactief over eventuele aanpassingen.”

Verder moet je de gebruikers voortaan om toestemming vragen om persoonsgegevens te mogen opslaan. Je bent verplicht om dat voor elke verwerking (elk systeem) te doen. Daarnaast moet je ze erop wijzen dat ze om verwijdering mogen vragen en dat ze de persoonsgegevens mogen opvragen. Zijn jullie systemen daarvoor al aangepast?

Rakké vertelt over KlantVenster en klantportalen: “Zelfservice portalen worden steeds belangrijker. Woningzoekenden schrijven zich online in, reageren online op woningen, en huurders kunnen hun gegevens steeds vaker online wijzigen. Maar ook reparatieverzoeken indienen, overlast melden, etc. Bij al die interacties worden persoonsgegevens geregistreerd. Toestemming vragen voor registratie mag ook online. Via onze klantportalen en KlantVenster is dat heel eenvoudig te regelen.”

Je kunt technisch alles tot in de puntjes hebben geregeld, maar er blijven altijd loketfuncties en menselijke interacties tussen klanten en medewerkers bestaan. En medewerkers verwerken gevoelige persoonsgegevens in jouw processystemen. Zijn je medewerkers goed voorbereid op de AVG? Weten ze wat wel en niet mag?

Volgens Rakké is voor deze ingrijpende privacywetgeving bij veel organisaties een cultuuromslag nodig. “Dat is meestal complexer en tijdrovender dan aanpassing van de techniek. Ingesleten gewoonten en gedrag zijn moeilijk te veranderen. De inspanningsverplichting en verantwoordelijkheid van organisaties wordt veel groter ten opzichte van de WBP. Consumenten krijgen ook meer rechten die organisaties op hun verzoek moeten respecteren.”

Als je op minimaal één van de vorige vragen nee moet antwoorden, dan heb je nog 5 maanden de tijd om de privacy van je (kandidaat-)huurders of klanten te waarborgen.

Om je te ondersteunen bij het opschonen van het huidige archief heeft Techxx Bright Answers een toolkit ontwikkeld om op te sporen en te verwijderen. De volgende werkwijze wordt daarbij gehanteerd:

1. Indien nodig worden documenten in het archief volledig doorzoekbaar gemaakt.
2. Op basis van een set met zoektermen worden de documenten doorzocht, waarna een overzicht met documenten ontstaat die een van deze doorzochte zoektermen bevat.
3. Speciaal ontwikkelde tooling zorgt er vervolgens voor dat verdachte pagina’s kunnen worden gecontroleerd en verwijderd.
4. Na opschoning van de documenten worden deze weer teruggeplaatst in het archief.

Laat je vrijblijvend informeren over de AVG in relatie tot jouw documentenarchief

Techxx Bright Answers is gespecialiseerd in procesautomatisering en online dienstverlening voor woningcorporaties. Rakké en zijn collega’s kennen de corporatieorganisatie als geen ander. Zij zijn bovendien al met de AVG bezig sinds de contouren van deze privacywetgeving bekend werden.