Bent u voorbereid op Data Subject Access Requests (DSARs)?

Een verzoek tot toegang voor een betrokkene, ofwel een Data Subject Access Request (DSAR’s) is geen "nieuw" recht binnen de AVG. Echter, moet men wel bewust zijn van de potentiële gevolgen die dergelijke verzoeken met zich meebrengen voor organisaties. Om ervoor te zorgen dat uw organisatie beter is  voorbereid op deze verzoeken, zijn de volgende suggesties van belang.

Ken uw data en identificeer persoonlijke gegevens

Gegevensbescherming in deze context is niet van toepassing op alle soorten gegevens die u bewaart. Het heeft specifiek te maken met ‘persoonsgegevens’, welke betrekking hebben op een levend individu. Deze kan worden geïdentificeerd hetzij in de oorspronkelijke vorm, hetzij samen met andere informatie die waarschijnlijk in het bezit van uw organisatie komt. De gegevens omvatten onder andere:

  •        Naam
  •        Adres
  •        Geboortedatum

Er zijn persoonsgegevens die worden geclassificeerd als gevoelig. Voor dit soort gegevens is een extra goedkeurig vereist van de betrokken persoon en deze dienen extra beschermd te worden. Deze gegevens bestaan onder andere uit:

  •        Seksuele geaardheid
  •        Medische dossiers
  •        Lidmaatschap van vakbonden

Om te zorgen dat u een effectief, verdedigbaar en efficiënt proces beheerst, ondersteunen de volgende stappen uw organisatie om te reageren op DSAR's:

  1.     Breng datastromen in kaart van de verschillende bedrijfsprocessen en zet informatieregisters op.
  2.     Stel vast welke processen herhaald kunnen worden om gegevens te identificeren, te filteren en op te stellen.
  3.     Overweeg om software te implementeren om u hierin te ondersteunen.

Organisaties hebben 30 dagen de tijd om te reageren op een DSAR. Hierdoor is er weinig ruimte om informatie te verzamelen, te filteren en op te stellen voor de betrokkene. Wanneer een organisatie nog niet eerder een DSAR heeft moeten beantwoorden, wordt aangeraden een simulatie uit te voeren. Hiermee wordt  inzichtelijk gemaakt hoe de organisatie is voorbereid op dergelijke vragen en welke impact dit kan hebben op de dagelijkste werkzaamheden.                                                       

Zorg voor correcte identificatie

Uw organisatie kan in de problemen komen met de toezichthoudende autoriteit als er op een DSAR wordt gereageerd zonder dat de betrokken persoon op de juiste manier is geïdentificeerd. Een organisatie hoeft niet aan de DSAR te voldoen voordat de informatie is ontvangen waarmee de betrokkene kan worden geïdentificeerd. Dit kan bijvoorbeeld een geldige identificatiebewijs zijn.

DSAR's mogen geen invloed hebben op de rechten en vrijheden van andere personen

Hoewel de wet voorschrijft dat u op een DSAR moet reageren mogen de rechten en vrijheden van andere personen niet beïnvloed worden met een dergelijk verzoek (tenzij u toestemming hebt gekregen van de betreffende personen). Dit betekent dat u de gegevens over andere personen zal moeten anonimiseren. U kunt ervoor kiezen om software te gebruiken of een werknemer aan te stellen die de data kan aanpassen. 

Houd uw administratie bij

Het wordt aangeraden om bij te houden welke zoekopdrachten u hebt voltooid. Dit maakt het gemakkelijker wanneer u vervolgvragen krijgt over een DSAR. Daarnaast geeft het uw organisatie een verdedigbare positie voor het geval dat er een klacht wordt ingediend bij de toezichthoudende autoriteit. Het hebben van dergelijke gegevens zal weinig ruimte laten voor externe kritiek op uw proces en procedures. 

Hoewel het bovenstaande advies een goed uitgangspunt is zal elke organisatie anders zijn en moet de behoefte hierop worden afgestemd.

Bron: BSI

Data Privacy Congres

Op dinsdag 18 september vindt de vierde editie van het Data Privacy Congres plaats, hier zal Conor Hogan,Senior Privacy & Information Governance Manager bij BSI. Hij zal hier een interessante break-out sessie geven  "Setting the Global Standard" over onder andere de AVG, privacy wetgeving. Benieuwd of u al voldoet aan de 'Global Standard'?
Meld u aan en woon deze - en andere interessante keynotes - bij op het het gebied van Data Privacy.