Tips & tricks - opgeruimd op vakantie!

Nog heel even en dan begint de zomervakantie.

Het afgelopen (school)jaar heeft u binnen uw organisatie vast ook stappen gemaakt op het gebied van het verder verbeteren van beleid over de privacybescherming en informatiebeveiliging. Een belangrijk onderdeel daarin is om gemaakte afspraken naar de werkvloer te brengen. Zo zorgen we ervoor dat beleid ook wordt toegepast. Een organisatie moet er bijvoorbeeld voor zorgen dat persoonsgegevens in de daarvoor aangewezen systemen worden verwerkt en dat persoonsgegevens niet langer worden bewaard dan wettelijk bepaald of noodzakelijk is.

Opruimdag   

Wie opgeruimd op vakantie gaat, komt ook opgeruimd weer terug. In dit kader is het goed om rond de zomervakantie een gezamenlijke opruimdag in te plannen. En nee, niet iedereen wordt heel blij van een opruimdag, maar vele handen maken licht werk.

“Wie weet heb ik het nog eens nodig” en “opruimen is saai” of “ik heb hier geen tijd voor”. Thuis hoort u het uzelf en uw kinderen al zeggen. Vergelijkbaar klinkt het binnen organisaties. Vaak is er bij veel medewerkers de wens of gewoonte om gegevens langer te bewaren dan noodzakelijk. Dat komt bijvoorbeeld doordat men zaken wil kunnen verantwoorden, bijvoorbeeld in het kader van rapportages, analyses of een audit. De AVG vraagt dan ook een tegengestelde beweging: het systematisch weggooien van gegevens. Anderzijds is het weggooien van te veel persoonsgegevens ook niet wenselijk. Indien persoonsgegevens die bewaard hadden moeten worden, permanent niet beschikbaar zijn, dan is er ook sprake van een beveiligingsincident!

Het belang van opschonen

Met het opschonen van persoonsgegevens kunt u er met elkaar voor zorgen dat er geen fysieke of digitale, verouderde persoonsgegevens ten onrechte, te lang bewaard blijven. Ook zorgt men er samen voor dat persoonsgegevens op de daarvoor bestemde plek, veilig worden bewaard.

Het belang van opschonen is met name relevant in het kader van:

1. Dataminimalisatie;
2. Beveiliging;
3. Het voorkomen van datalekken.
   
   

Ad 1. Dataminimalisatie

Eén van de belangrijkste principes van de Algemene Verordening Gegevensbescherming (AVG) is dataminimalisatie (art. 5 lid 1 onder c AVG), in combinatie met de ‘opslagbeperking’.

Dit vereist dat ervoor gezorgd moet worden dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het niet te lang bewaren én dus opschonen van persoonsgegevens is dus een wettelijke verplichting die op uw organisatie rust. Het niet voldoen aan deze wettelijke verplichting kan leiden tot een boete van de Autoriteit Persoonsgegevens.

Ad 2. Beveiliging

Een andere wettelijke verplichting die op uw organisatie rust, is de plicht om persoonsgegevens op een goede manier te beveiligen. Op deze wijze kan men ervoor zorgen dat deze niet in verkeerde handen vallen. Zeker als het gevoelige persoonsgegevens betreft (zoals leerling resultaten of BSN-nummers) of bijzondere persoonsgegevens (zoals gezondheidsgegevens) gelden er zware eisen. De meest veilige manier om deze gegevens te bewaren is in de systemen die hiervoor geschikt zijn, zoals het Leerling Administratie Systeem (LAS), bijvoorbeeld ParnasSys, Esis, Magister en Somtoday. Dit zijn de zogenaamde ‘primaire' systemen van de onderwijsinstelling en u moet ervoor zorgen dat er geen schaduwdossiers worden aangelegd in OneDrive of Outlook.

Ad 3. Het voorkomen van datalekken

Door met regelmaat, organisatie breed uw persoonsgegevens op te schonen, kunt u grote stappen maken in het voorkomen van datalekken.

Waar te beginnen?

Om u wat op weg te helpen hebben wij onderstaand wat tips op een rij gezet, onderverdeeld in drie rubrieken:

1. Opschonen van ongestructureerde persoonsgegevens;
2. Opschonen van gestructureerde digitale persoonsgegevens;
3. Opschonen van gestructureerde fysieke persoonsgegevens.

Ad 1. Opschonen van ongestuctureerde persoonsgegevens

Persoonsgegevens die nog ‘verstopt’ zitten in bijvoorbeeld berichten en documenten, noemt men ongestructureerde persoonsgegevens. Ongestructureerde persoonsgegevens zitten vooral a) in mailboxen en b) in eigen en gedeelde mappen. Ongestructureerde persoonsgegevens omvat ook c) losse documenten in bureaulades of stapels in kasten etc.

a) Mailboxen
Voor veel medewerkers is e-mail meer dan een communicatiemiddel. Het is vaak ook een persoonlijk archief en kennissysteem. Medewerkers beschikken vaak over grote hoeveelheden persoonsgegevens. Denk daarbij aan e-mails over leerlingen, bijlagen bij mail of bestanden met leerling gegevens en leerresultaten. Maar ook e-mails of gegevens m.b.t. de gezondheid van leerlingen, gegevens over medewerkers, sollicitanten, ziekmeldingen etc.

Het bewaren van persoonsgegevens in een mailbox is niet veilig. E-mail is niet een geschikt middel voor het bewaren van persoonsgegevens.

Houd er rekening mee dat ook uw organisatie slachtoffer kan worden van een geslaagde hackpoging op mailboxen. Wanneer daarbij niet met zekerheid uit te sluiten valt dat daarbij persoonsgegevens zijn buitgemaakt, is er sprake van een datalek en moet er melding worden gedaan aan de Autoriteit Persoonsgegevens én (meestal ook) aan al degenen waarvan de persoonsgegevens in de mailbox voorkomen. Daarom is het belangrijk om geen persoonsgegevens in een mailbox te bewaren en al zeker niet langer dan strikt noodzakelijk is.

Tips voor de mailbox:

• E-mails met persoonsgegevens verwijderen uit de inbox, verzonden items, verwijderde items en archiefmappen. Denk daarbij aan e-mails die leerling namen, resultaten, gezondheidsgegevens, sollicitaties, beoordelingen bevatten etc. Zorg daarnaast ook dat de prullenbak en download map automatisch worden leeggemaakt.
• E-mail toch bewaren? Sla het op/exporteer naar, (op) een veilige plaats (in de daarvoor geschikte systemen) en verwijder daarna de e-mail uit de mailbox.
• Check na het verwijderen de map ‘verwijderde items’ en maak die ook leeg als daar de verwijderde e-mails in staan.
• Ruim niet alleen de persoonlijke mailboxen op maar ook de gedeelde-/groeps mailboxen.
• En na de opschoon actie? Zorg er continu voor dat er geen persoonsgegevens in de mailbox blijven staan. Leer uzelf aan om iedere keer een e-mail met persoonsgegevens te verwijderen (of eventueel op een daarvoor geschikte, veilige plaats te bewaren).
• Liever delen dan mailen: informatie delen of communiceren via Teams is altijd veiliger dan het gebruik van e-mail. Als u deelt in plaats van mailt, dan hoeft u sowieso geen mail meer te verwijderen.
• Automatische schoning van e-mails met persoonsgegevens: plan voor het komende (school)jaar een moment in waarop ICT alle gegevens ouder dan twee jaar automatisch uit de mailboxen zal verwijderen.
• Vraag de schoolleiders in hun managementoverleg op te roepen tot het opschonen van mailboxen. Vraag vervolgens het management om dit weer met de teamleiders te bespreken etc.

b) Eigen en gedeelde mappen
Een scanapparaat, als voorbeeld, scant documenten die vervolgens vaak worden geplaatst op een netwerkschijf. Vaak is het mogelijk om door mappen van collega’s te bladeren. Schoon de (eigen) mappen op. Verwijder de scan van je paspoort die je nodig had in verband met je naderende vakantiereis.

c) Documenten in bureaulades, stapels in kasten etc.
Dit is misschien wel de makkelijkste categorie. Neem uw bureaulades eens onder handen. Ruim stapels in kasten op. Denk aan rondslingerend papier in vergaderruimtes. Wachtwoorden op Post-its zijn niet de bedoeling. Verwijder dan ook Post-its van het bureau, uit vergaderruimtes en printerkamer.

Ad 2. Opschonen van gestructureerde digitale persoonsgegevens       

Van gestructureerde persoonsgegevens is sprake als de persoonsgegevens gerubriceerd, eenvoudig opgeruimd en geordend zijn. Denk daarbij bijvoorbeeld aan digitale gegevens in applicaties die de kern van het bedrijfsproces ondersteunen, zoals het:

• Leerling Administratie Systeem (LAS - bijvoorbeeld ParnasSys, Esis, Magister en Somtoday);
• Personeelsadministratiesysteem;
• Financiële systeem.

De meeste van deze applicaties beschikken over een database, waarin gegevens in gestructureerde, doorzoekbare records zijn opgeslagen.

Aandachtspunt is de aanwezigheid van gebruikersdatabases of logfiles met persoonsgegevens. Een ander aandachtspunt is gegevensuitwisseling tussen applicaties middels ‘tussenbestanden’ die vaak permanent op de file share worden opgeslagen.

Probeer in te regelen dat zowel de databases, logfiles als tussenbestanden jaarlijks geautomatiseerd worden opgeschoond. Dit opschonen moet met kennis van de samenhang van de applicaties worden gedaan. Zo heeft het bijvoorbeeld weinig zin om het ene systeem/applicatie op te schonen, wanneer de persoonsgegevens ’s nachts teruggezet worden dankzij een synchronisatie met een andere applicatie. Betrek daarom uw ICT-dienstverlener hierbij, zodat storingen voorkomen worden. Laat daarbij ook (validatieregels van) technische interfaces nalopen en zonodig aanpassen zodat opschoning ondersteund wordt in hele proces.

Ad 3. Opschonen van gestructureerde fysieke persoonsgegevens                

Van gestructureerde fysieke persoonsgegevens is sprake als de persoonsgegevens gerubriceerd, eenvoudig opgeruimd en geordend zijn. Denk daarbij bijvoorbeeld – indien nog aanwezig - aan (archief)kasten en geordende dozen of ordners met documenten die persoonsgegevens bevatten.

Loop de (archief)kasten, dozen en/of ordners etc. door. Filter en gooi weg, wat weg kan. Bewaar wat behouden moet blijven. Ook vraagt schoning van individuele (personeels)dossiers in deze archieven periodiek aandacht.

Digitalisering
Sommige fysieke documenten moeten nu eenmaal bewaard blijven. Toch is het misschien goed om eens na te denken over digitalisering (van het overgrote deel) van de fysieke archieven. Software gericht op bewaartermijnen kan in dit kader heel efficiënt zijn en helpt bij het op tijd verwijderen van bepaalde persoonsgegevens. Zo wordt ook de kans op datalekken verkleind.

Verwijderen van fysieke persoonsgegevens
De wijze waarop fysieke persoonsgegevens veilig worden verwijderd is relevant. Veilig verwijderen zorgt ervoor dat de fysieke persoonsgegevens niet in de verkeerde handen terecht kunnen komen. Zo kan men kiezen voor een betrouwbare “AVG-proof” papiervernietiger zoals een DIN P-3 shredder. Sommige organisaties brengen documenten die persoonsgegevens bevatten naar een speciaal vernietigingsbedrijf. Ook kan men een papiercontainer plaatsen met een slot erop, die periodiek wordt opgehaald door zo’n vernietigingsbedrijf.

Hebt u een vraag? Neem contact met ons op, we helpen u graag.

We wensen u een goede, opgeruimde zomervakantie toe!

Heeft u vragen of kunnen wij iets voor u betekenen?
Bel ons op 033- 200 30 83 of stuur een mail naar post@privacyteam.nl.

• Home
• Tips & Tricks - opgeruimd op vakantie!