Als je persoonsgegevens verwerkt van een betrokkene, dan ben je onder GDPR ook verplicht om te beantwoorden aan Data Subject Access Requests (DSAR).
Zo’n DSAR is een formele vraag van een betrokkene, die graag wilt weten welke persoonsgegevens verwerkt. Elke data subject kan op ieder moment zo’n DSAR opvragen. Het beantwoorden van zo’n verzoek is iets dat veel tijd in beslag kan nemen, en daar ligt nu net de uitdaging.
In veel organisaties ligt bepaalde informatie vaak diep verscholen in de krochten van een database; We delen graag 5 tips om je leven iets makkelijker te maken wanneer je dan toch een DSAR binnenkrijgt.
Privacy alert team
De eerste stap in het vlot behandelen van een verzoek is het correct identificeren van een verzoek. Een verzoek kan namelijk op verschillende manieren binnenkomen; De meest gebruikte route is via e-mail, maar een betrokkene kan ook mondeling of schriftelijk een request doen. Ze hoeven hiervoor ook niet de woorden “recht op toegang” of “artikel 15 GDPR” gebruiken. Meer zelfs, het verzoek hoeft zelfs niet gericht zijn aan de dienst of persoon die hiervoor instaat. Zo kan zélfs een bericht via sociale media gelden als een verzoek om toegang.
Dit heeft als gevolg dat verschillende personen en departementen binnen de organisatie, die niet noodzakelijk dagelijks bezig zijn met gegevensbescherming, een verzoek kunnen ontvangen. Zeker zonder voorkennis van privacy, wordt het dan moeilijk om deze actie op een adequate manier te vervullen.
Daarom is aangepaste en recurrente training van enorm groot belang. Je hoeft je personeel niet in privacy-experts om te toveren. Wél moeten je ze aanleren hoe ze op een correcte manier met deze requests moeten omgaan, en naar welke (juiste) dienst of persoon ze het verzoek best doorverwijzen.
Pas wanneer iedereen binnen de organisatie weet wat ze moeten doen bij een DSAR, heb je een goed-functionerend Privacy Alert Team!
Workflow voor inkomende DSARs
Het behandelen van een verzoek gaat vaak gepaard met chaos; dit is dan het gevolg van het ontbreken van een zorgvuldig uitgedachte workflow voor inkomende DSARs.
Zonder deze flow, kan twijfel ontstaan over hoe en door wie het verzoek behandeld moet worden. Creëer daarom een concreet stappenplan met verantwoordelijke stakeholders voor iedere stap. Eens je zo’n proces uitgedacht hebt, zorg er dan ook voor dat iedereen hier ook van op de hoogte is (bvb. Door een sharepoint, policy of via opleiding). Dit zal productiviteit en focus verhogen, terwijl de foutenmarge verkleint.
Wat kan je in zoal in de workflow opnemen? We schetsen een klein voorbeeld:
- Allereerst moet duidelijk zijn wie de persoon die die het verzoek zal behandelen. Krijgt marketing een verzoek binnen via hun mailbox? Dan zijn weten zij dat ze dit naar de bevoegde privacy persoon binnen de organisatie moeten doorsturen.
- In een volgende stap, leg je dan vast dat je de verzoeker gaat identificeren, en op welke manier je dit zal doen. Let op dat je hier niet tè rigide in te werk gaat. Onlangs nog, volgde er een uitspraak door de Autoriteit Persoonsgegevens in Nederland, nadat DPG Media hun verzoekers vroeg een kopie van hun identiteitsbewijs op te sturen ter identificatie; niet proportioneel.
- Eens de verzoeker geïdentificeerd is, kan je overaan tot de classificatie van het verzoek en de eventuele uitzonderingen die van kracht zijn. Dit zou de werknemer toelaten om efficiënt alle nodige informatie te verzamelen en indien wettelijk vereist bepaalde informatie weg te laten.
Eens al deze stappen doorlopen werden kan de informatie, mogelijk gebruikmakend van een antwoordtemplate, naar de verzoeker worden verstuurd.
Data Subject Request Templates
Zoals vermeld in de vorige tip, kan het voordelig zijn om te investeren in het uitdenken van één of meerdere antwoordtemplates. Er kan namelijk veel tijd kruipen in het telkens opnieuw formuleren van een antwoord op een verzoek zonder enige houvast.
Zeker wanneer je organisatie regelmatig verzoeken behandelt, kan een template er ook voor zorgen dat enige uniformiteit bestaat in het antwoord dat aan de verzoeker verstrekt wordt.
Een template kan bijkomend aangepast worden naargelang de verschillende situaties waarmee de organisatie geconfronteerd wordt. Er kunnen namelijk verschillende templates aangemaakt worden, bijvoorbeeld voor een verzoek afkomstig van een personeelslid, een klant, een whistleblower, een personeelslid die eveneens klant is,…
Het is een feit dat er in het opmaken van een template veel tijd kruipt. Er is namelijk vaak een samenwerking van verschillende departementen binnen de organisatie nodig om bruikbare templates te creëren.
Een template blijft echter vaak, met enkele aanpassingen doorheen de tijd, jaren meegaan. Je zou dus eerder van een relatief eenmalige investering van tijd kunnen spreken.
Register van verwerkingsactiviteiten
De makkelijkste manier om gegevens terug te vinden binnen een organisatie, is door het register van verwerkingsactiviteiten raad te plegen. Een goed opgesteld en onderhouden register zal je namelijk een overzicht geven van alle gegevens die binnen de organisatie verwerkt worden. Deze informatie zal je dan op zijn beurt op de juiste weg helpen in het correct lokaliseren van alle relevante gegevens.
Bovendien zal het register je kunnen bijstaan in het beantwoorden van bijkomende vragen die de verzoeker zou kunnen stellen na het verkrijgen van de informatie. Een correct onderhouden register bevat namelijk een heleboel informatie over de gegevens die verwerkt worden.
Wist je trouwens dat je, naast de verplichte informatie die het register moet bevatten, je ook vrij bent om andere nuttige informatie toe te voegen? Op deze manier kan het register een compleet overzicht bevatten van alle relevante data binnen je organisatie. 2 vliegen in 1 klap.
DPO
Het is mogelijk dat je organisatie strikt wettelijk bekeken geen Data Protection Officer (DPO) hoeft aan te stellen. Kiezen voor het aanstellen van een Privacy verantwoordelijke kan echter helpen in het tijdig beantwoorden van verzoeken.
Deze persoon kan namelijk meer dan enkel het uitrollen van een workflow op zich nemen. Ze kunnen de noodzaak van templates onderzoeken en deze opmaken indien nodig. Ze kunnen ook uw personeel up-to-date houden en indien je hierom vraagt kunnen ze een verwerkingsregister bijhouden.
De DPO zal ook kunnen nagaan of er bewerkingen nodig zijn aan de gegevens die verzocht worden en of er een uitzondering bestaat op de verplichting om de gegevens te verstrekken.
Conclusie
Kortom, het vergemakkelijken van het beantwoorden van verzoeken tot toegang vereist een gecoördineerde aanpak, waarbij bewustzijn, gestructureerde processen, templates, een register van verwerkingsactiviteiten en mogelijk een Data Protection Officer samenwerken om een efficiënte en consistente reactie op verzoeken te waarborgen.
