Achter de schermen werken aan de AVG

Het is nog maar ruim een maand te gaan tot de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018. Achter de schermen is bij Doc-Direkt al veel werk verzet.

De kern van de verordening is dat iedere organisatie, dus ook Doc-Direkt, volgens de geldende regels omgaat met persoonsgegevens. Nu moest dat al op basis van de Wet Bescherming Persoonsgegevens, maar vanaf 25 mei aanstaande moet iedere organisatie desgevraagd kunnen aantonen dat hij voldoet aan de AVG. Dat betekent vooral dat zaken die tot voor kort impliciet of niet waren geregeld nu helder in beeld moeten zijn en aantoonbaar geregeld moeten zijn.

Voor onze organisatie gaat dat bijvoorbeeld over vragen als:

  • Heeft Doc-Direkt geregeld dat alleen bevoegden een depot van Doc-Direkt in kunnen? En waar blijkt dat uit?
  • Heeft Doc-Direkt geregeld dat medewerkers die daar vanuit hun functie niets mee hoeven, geen rapportages in Synergy kunnen draaien waaruit blijkt welke collega hoe vaak ziek is geweest?
  • En is de autorisatietabel voor de rechten in Digidoc actueel, bijgewerkt en passend bij de functies van medewerkers die Digidoc-rechten hebben?

Allemaal aandachtspunten die volledig in beeld moeten zijn en waarvoor passende maatregelen zijn bedacht. 

Doc-Direkt is geen eigenaar

Doc-Direkt is geen eigenaar van informatie, maar bewerker ervan. De departementen zijn eigenaar van onze archieven en vanuit die verantwoordelijkheid stellen de departementen eisen aan Doc-Direkt als bewerker. Om ze daarbij te helpen hebben we een model uitgewerkt waarin onze dienstverlening volledig is weergegeven. Aan de hand daarvan kunnen de departementen hun mogelijk aanvullende eisen aan ons formuleren. Uiteindelijk leggen we de afspraken over de AVG met ieder departement vast in een bewerkersprotocol. Dit alles ronden we half mei af.

Bewustwording

Al met al een forse exercitie van alle betrokken partijen waar veel tijd in is gaan zitten en gaat zitten. Het heeft echter pas echt effect als medewerkers er ook naar handelen. Daarom besteden we de komende maand ook tijd aan bewustwording waar het gaat om omgaan met vertrouwelijke informatie zoals persoonsgegevens. Nu zit dat archiefmensen al behoorlijk in de genen, maar het kan nooit kwaad dit onderwerp nog eens uitvoering en expliciet aan de orde stellen en samen te praten over wat wel en wat niet kan. 

Op de vraag wat er nu voor medewerkers eigenlijk nieuw is, is het antwoord: weinig. Het effect van de komst van de AVG is vooral dat het ons allen wederom heel bewust maakt van onze verantwoordelijkheden waar het gaat om verantwoord handelen met vertrouwelijke informatie. Het effect is zeker ook dat een aantal niet zo strak geregelde zaken op dit terrein nu vol in beeld zijn en leiden tot bijsturing en alsnog organiseren. Niet onbelangrijk is tot slot dat de Autoriteit Persoonsgegevens die toeziet op de uitvoering van de AVG fors – in de vorm van hoge boetes – kan optreden tegen organisaties die het niet voor elkaar hebben. Maar ook zonder die dreiging, wil Doc-Direkt correct omgaan met de informatie die aan onze zorg is toevertrouwd.