Hoe het zit met de verantwoordelijkheid voor en eigenaarschap van informatie binnen een organisatie?
Beste Zaalberg,
Naar aanleiding van de Roadmap over de implementatie van de AVG ben ik benieuwd hoe het zit met de verantwoordelijkheid voor en eigenaarschap van informatie binnen een organisatie. Hoe dien je die te beleggen? Met name rondom basis-, bron- en kerngegevens die door meerdere processen gebruikt worden. Maak je een centrale I&A afdeling eigenaar? En hoe zit het met informatie in systemen zoals outlook, DMS en een zaaksysteem?
Antwoord
Wanneer persoonsgegevens centraal worden opgeslagen en door meerdere processen worden gebruikt, zal de verantwoordelijkheid voor die informatie dus ook bij meerdere proceseigenaren liggen. In samenwerking met de Functionaris Gegevensbescherming dienen zij ervoor te zorgen dat de persoonsgegevens enkel voor de juiste doeleinden worden verwerkt (dataminimalisatie). Puur praktisch maak je ICT in samenwerking met de CISO verantwoordelijk voor de gegevensbescherming. Een centrale afdeling als I&A zal de tijdige vernietiging van gegevens vanuit een DMS of Zaaksysteem uitvoeren en de vernietigingslijst zal altijd ondertekend worden door de betreffende proceseigenaar.
Er is dus een gedeelde verantwoordelijkheid die door een goede inventarisatie duidelijk dient te worden belegd en periodiek dient te worden geëvalueerd.
De bron van persoonsgegevens die verwerkt worden in een DMS of Zaaksysteem zal per zaaktype verschillen. Zo heb je bij een extern getriggerd zaaktype te maken met persoonsgegevens die afkomstig zijn van een burger en bij een intern geïnitieerd zaaktype met een burger als betrokkene heb je te maken met persoonsgegevens die afkomstig zijn uit een externe (basis)registratie of een interne registratie. Daarom is het van belang om dit per zaaktype te inventariseren en niet per informatiesysteem.
Informatie die in mails in Outlook zit verborgen blijft een probleem, omdat die informatie bijvoorbeeld niet gewaardeerd wordt en niet tijdig (op grond van een Selectielijst) wordt vernietigd. (Los van het feit dat de betreffende informatie onvoldoende beschikbaar is binnen de organisatie.) In een ideale wereld zou die informatie worden opgeslagen in een centraal informatiesysteem en na een zekere tijd worden verwijderd uit Outlook, maar de werkelijkheid ziet er nu eenmaal anders uit.