Oei, een datalek! AVG en documenten voor verenigingen

Nog een goed half jaar en dan gaat de nieuwe AVG wetgeving in. Voldoen jouw datastromen en bijbehorende opslag van documenten aan de privacy-eisen die ook aan de ledenorganisatie worden gesteld? Sterker nog, waar sla jij de privacygevoelige documenten op? Gewoon in de brandkast of heb je ze digitaal? Voor digitale opslag is het zaak om de toegangsrechten goed te regelen.

Nieuwsbericht-Oei-een-datalek-AVG-en-documenten-voor-verenigingen

Heb jij documenten en/of persoonsgegevens opgeslagen?

Iedere vereniging verwerkt documenten. Ook documenten met persoonsgegevens. Een eenvoudig voorbeeld zijn de arbeidscontracten van de medewerkers op het bedrijfsbureau. Of de inschrijfformulieren waarmee de leden zich hebben aangesloten bij de vereniging. Mogelijk werkt jouw vereniging met een contributiegrondslag die samenhangt met een bedrijfsgrootte in personeelsleden, omzet of oppervlakte van het terrein. Dit zijn allemaal voorbeelden van (privacy)gevoelige gegevens die worden verwerkt en mogelijk moeten voldoen aan de regels die de AVG en de Meldplicht Datalekken voorschrijft.

Kaartenbak, harddisk, OneDrive of SharePoint

Het administreren van gegevens, en dus ook documenten, willen we zo eenvoudig mogelijk maken. Gemak dient de mens uiteindelijk. Alles in de kaartenbak of in de safe is natuurlijk een heel veilige oplossing, maar de gebruiksvriendelijkheid laat erg te wensen over. Tegenwoordig hebben of maken we alle documenten digitaal. En dus slaan we ze ook zo op. De tijd dat documenten alleen maar op die ene pc op de administratie staan is niet meer. We zijn met meer mensen en we zijn verbonden. Dus hebben we een netwerk en delen we het nodige met elkaar. Daarin schuilt nu juist het gevaar. 

Het delen van allerhande documenten via het netwerk of in een cloudoplossing is superhandig, je kunt er overal bij. Maar het maakt de kans op een datalek ook bijzonder groot.

Wet persoonsgegevens: wie mag wat zien en gebruiken?

De eerste stap die je nu moet zetten is het in kaart brengen van alle documenten die jouw ledenorganisatie gebruikt. Geef daarbij meteen aan of daar persoonsgegevens in voorkomen. Op deze manier is het eenvoudig om verschillende groepen of categorieën documenten te benoemen. Die kun je namelijk gebruiken om de toegang tot de documenten op de juiste manier te organiseren. Krijgt iemand toegang tot een bepaalde groep documenten of niet? Moet hij/zij dit toegang ook echt hebben voor het werk wat ze doen? Is beschreven wat er met deze persoonsgegevens gedaan wordt. Waarom is dat? En wat houdt die toegang in: mag deze persoon alleen het document lezen of ook veranderen? Verwijderen? 

Door het op deze manier te benaderen, krijg je verschillende groepen documenten en groepen gebruikers. Dat is de basis van een uitstekende definitie voor de beveiliging van de documenten. De netwerk- en/of serverbeheerder kan hiermee de juiste instellingen maken zodat de stagiaire niet ineens alle personeelsdossiers kan lezen. Of de omzetten van de verschillende leden. Alle vertrouwelijke informatie kunnen op deze manier goed beschermd worden, en je hebt er op deze manier alles aan gedaan om datalekken te voorkomen en zo te voldoen aan de AVG Privacywetgeving.

De impact van datalekken

Privacywetgeving krijgt een steeds prominentere rol. Ook voor verenigingen. Boetes die vanuit de GDPR, of AVG, worden opgelegd zijn niet mals. Voorkom dus dat datalekken optreden, je bent namelijk zelf verantwoordelijk om deze direct (binnen 72 uur) te melden.

Sneller en efficiënter werken met een DMS

Nu is al die beveiliging allemaal goed en wel, gemakkelijker wordt het er niet op. Een document raadplegen doe je namelijk met een reden, bijvoorbeeld om de voortgang van het inschrijftraject te monitoren. Klanten van CCI Groep gebruiken het pakket Livits, waar een Document Management Systeem een standaard onderdeel van is. Een DMS in het kort. 

Een DMS staat je toe om die groepen documenten te koppelen aan personen en daar rechten aan toe te kennen. Net als bij de beveiliging van een server. Een DMS gaat alleen een stapje verder. In het CRM staan alle lidmaatschapsgegevens en personen opgeslagen. Vanuit daar kun je via een rechtstreekse link naar een document in het DMS. Doordat het allemaal binnen dezelfde software-omgeving gebeurt, is de toegang tot het document transparant geworden. Je hoeft dus niet te switchen naar een ander systeem of een andere netwerkomgeving. Alles is direct toegankelijk.

Ook het DMS heeft een rechtenstructuur

Op deze manier lijkt een DMS natuurlijk het beste sinds gesneden brood. In de praktijk moet je uiteraard nog steeds groepen documenten en groepen gebruikers definiëren. Meer dan één, anders streeft het DMS ook zijn doel voorbij. De standaardinstellingen voor ‘everyone’ en ‘everything’ geven namelijk iedereen ongelimiteerde toegang tot alles. In de praktijk komen wij dat helaas nog maar al te vaak tegen. Hoe is dit bij jouw ledenorganisatie geregeld? Weet je het niet zeker, neem dan voor de zekerheid contact op. Wij kunnen dit snel nagaan. Net zo goed als dat we je kunnen bijstaan bij het definiëren van die gebruikers- en documentengroepen. Tot slot hebben we zelf een AVG professional in dienst die jullie kan begeleiden door dit lastige traject en hebben we de whitepaper geschreven “De impact van de Meldplicht Datalekken op uw Vereniging”.

Download de whitepaper Meldplicht Datalekken