AVG Cloud Register bedient klanten uit verschillende segmenten,
Van ICT’ers, accountants, nutsbedrijven tot zelfstandige privacy consulenten.
Recent kregen we echter bezoek van een heel bijzondere klant,
Sinterklaas was op onze website beland!
Via ons contactformulier zagen we zijn bericht:
“Beste mensen, Hoe voldoe ik aan de AVG-documentatieplicht?
Want mijn pieten hebben een AVG-cursus gevolgd en gebruiken nu Excel,
Maar het is zo onwerkbaar, een hoop kommer en kwel”.
Arme Sint, hiervoor had hij natuurlijk helemaal geen tijd.
Helaas, ook hij zit in de EU en heeft daarmee een AVG verantwoordelijkheid.
Daarom hebben we maar meteen met hem getelefoneerd,
En daarbij gezamenlijk veel over zijn organisatie gedocumenteerd.
DPO Piet is sindsdien te spreken over het gemak van de tooling en de fijne interface,
En daarom presenteren wij de komende dagen(uiteraard met toestemming) onze Sinterklaas Use Case!
Mocht je nou denken dat Sinterklaas alle administratie in zijn boek noteert,
Nou, dan zit je toch wel aardig verkeerd.
De gegevens van 17 miljoen mensen in 1 boek, dat past natuurlijk niet.
Dat boek is puur voor de sier, voor het echte werk heeft Sint een Database-piet.
25 mei is er in zijn team verplicht een DPO Piet bijgekomen
Gezien zijn verwerkingen schreef de AVG dat voor, zo had Sint vernomen
Er is namelijk sprake van een grootschalige verwerking, vaker dan incidenteel
Zowel van kinderen, leveranciers als ook het pieten personeel
“Goed”, vroeg Karlijn van de AVG Cloud support aan de Sint,
“Wat zijn het exact voor persoonsgegevens dat zich in jullie database bevindt?
En zijn er daarnaast ook bijzondere persoonsgegevens aanwezig? “
Nou.. met die opsomming waren we wel even bezig.
______________________________________________________________
Sint verzamelt heel veel data over de Nederlanders, uit verschillende gegevensbronnen
Verlanglijstjes in schoenen, social-mediapagina’s, doorzoekingen van huizen en pieten-spionnen.
“Want”, zo verdedigt de Sint zich tegen Karlijn,
“Hoe anders kunnen die cadeautjes, surprises en gedichten zo toepasselijk op de persoon zijn?”
“Sint, waarom denk jij op deze manier zoveel data te mogen vergaren?
Want niet alles lijkt mij onder gerechtvaardigd belang te scharen?
Data van minderjarigen vallen onder de noemer gevoelig binnen de AVG
En er moet de juiste grondslag worden opgenomen in je verwerkingsdossier”
Karlijn vroeg zich bovendien af hoe de Sint de kinderen en ouders gaat informeren.
Zodat één ieder middels toestemming voorkomt dat de Sint ze moet negeren.
Hiermee hebben we de Sint aan het denken gezet,
En lieten wij hem stil staan bij dit aspect van de wet.
De Sint kwam met het volgend idee op de proppen
Zodat hij wegens sancties of boetes niet noodgedwongen hoeft te stoppen
”Eureka!”, schreeuwde hij, “Ik stop een Privacy Policy in ieders schoen
Zodat iedereen exact weet wat ik met hun gegevens ga doen!
Dat doe ik alvorens de wensenlijst weer mee te nemen
Dan kom ik qua AVG uitvoering daarmee niet in de problemen”
Uiteraard zal ik ook verwijzen naar de gegevens van onze DPO piet
Duidelijk opgenomen in onze privacy policy, zodat één ieder dat ziet
Via die weg kunnen ze ook een beroep doen op recht op vergetelheid
En krijgt men van de gegeven toestemming niet zomaar spijt
Want als iemand een verzoek indient, zullen we er zorgvuldig mee omgaan
Verwijderen wij hun gegevens en zullen wij er niet meer langsgaan
Wettelijk moet ik onder meer bonnetjes volgens bepaalde termijn bewaren
En kan ik niet alle informatie van vergetelheid vrijwaren
Het recht op inzage zijn we wettelijk ook nog aan gebonden
In conclaaf met de pieten is het volgende wat we daar van vonden
______________________________________________________________
Wil een kind of ouder weten wat database-piet van ze heeft
Dan gaan we hier niet omslachtig mee om, maar juist heel beleefd
Ik beloof, wij zullen zelfs voorzien in een export in computerformaat
Voor het geval een deserteur liever naar de Kerstman gaat
“Maar”, vroeg Karlijn, “ga je ook een verwerkersovereenkomst aan?
Met de leveranciers of andere instanties die met jullie data in handen staan”
Leveranciers ontvangen geen persoonsgegevens, wist de Sint te vertellen
En voor database onderhoud hebben we een IT-bureau aan weten stellen
Waarin wij verantwoordelijke zijn, en zij de rol van verwerker vervullen
Zorg ik dat zij de verwerkingsovereenkomst ondertekenen zullen
Ik zal ze vragen om aanvullende technische maatregelen te treffen
Bijvoorbeeld om gebruik van gemakkelijke wachtwoorden op te heffen
Deze maatregelen kan ik via jullie software dan netjes bijhouden
Met de eenvoud van de tool durf ik dat DPO piet toe te vertrouwen
______________________________________________________________
Mijn reputatie staat op het spel, dat kan ik niet vergooien
Dus pieten op privacy cursus, zodat ze het niet zullen verklooien
Of als ik dan toch ergens het Sinterklaasboek eens vergeet
Een aanwezige piet voorkomt dat geen ander er aandacht aan besteedt
Zo voorkomen we een eventuele datalek
En ga ik dan toch eens spreekwoordelijk op mijn bek
Dan zal ik dit conform wetgeving netjes gaan documenteren
Zal hopelijk zelfs de Autoriteit Persoonsgegevens mij gaan vereren
- ± 4 minutes
LinkedIn
