Op 25 mei aanstaande treedt de Europese privacy wetgeving, de AVG of GDPR, in werking. Wij krijgen regelmatig de vraag wat iemand zelf moet doen om de formulieren ‘AVG proof’ te maken. Hieronder beschrijven we een aantal punten waar u rekening mee kunt houden of afwegingen die u kunt maken.
Toegang tot uw Formdesk account
Zorg er voor dat iedereen die toegang moet hebben tot uw account inlogt als individuele gebruiker en alleen de rechten heeft die nodig zijn voor het uitvoeren van zijn of haar taak. (informatie)
Bepaal welke beveiligingseisen u stelt aan het inloggen in uw account. (informatie)
Beveiligde e-mail berichten
Bepaal of u persoonsgegevens per email verstuurt en het wenselijk is deze berichten te beveiligen. Hoewel berichtenverkeer tussen mailservers steeds vaker versleuteld is (de Formdesk mailservers ondersteunen dit maar de ontvangende mailserver moet het ook ondersteunen), staan de berichten mogelijk onbeschermd in mailboxen of kunnen ze door de ontvanger doorgestuurd worden. Formdesk biedt de mogelijkheid de inhoud van een bericht op te nemen in een versleutelde bijlage. Dit kan een pdf- of een zip-bestand zijn. (Bij standaard abonnementen zijn deze mogelijkheden optioneel). (informatie)
Bewaartermijn
De AVG stelt dat u persoonsgegevens niet langer mag bewaren dan dat u deze nodig heeft of dit wettelijk verplicht is. U moet per toepassing of formulier een bewaartermijn bepalen en dit met motivatie vastleggen in het verwerkingsregister. En natuurlijk moet u conform deze bewaartermijnen de gegevens ook daadwerkelijk verwijderen.
Wilt u bij het bepalen van een bewaartermijn rekening houden dat verwijderde gegevens in Formdesk nog 1 maand in een ‘prullenbak’ aanwezig zijn? Dit is nodig zodat een onbedoelde of te vroege verwijderactie ongedaan gemaakt kan worden. Daarnaast zijn de gegevens nog aanwezig in de backups die we dagelijks van de database maken en die 1 maand bewaard blijven. Deze backups zijn nodig om bij een calamiteit de gehele database te kunnen herstellen. Dus na 2 maanden zijn verwijderde gegevens definitief en onherroepelijk weg bij Formdesk.
Formdesk biedt verschillende mogelijkheden om gegevens te verwijderen:
- Handmatig vanuit de resultaten pagina van een formulier. U kunt hier ingevulde formulieren stuk voor stuk verwijderen, in 1 keer de formulieren die u gefilterd heeft of alle ingevulde formulieren. (handleiding)
- Automatisch door het instellen van een bewaartermijn. (handleiding)
- Automatisch door een eigen applicatie gebruik te laten maken van de Formdesk API wat u de mogelijkheid biedt de gegevens eerst te downloaden. (informatie)
Lookups
Lookups stellen u in staat gegevens uit een ander formulier te halen waardoor een formulier sneller/efficiënter kan worden ingevuld. Het aantal toepassingen is talrijk maar zeker als u persoonsgegevens ophaalt moet u een risico-inschatting maken. Een voorbeeld: U maakt een formulier dat door uw collega’s moet worden ingevuld. Door het invullen van een personeelsnummer worden de overige gegevens er bij gezocht. Handig want uw collega’s hoeven dan niet al hun gegevens in te vullen maar iemand zou het personeelsnummer van anderen in kunnen vullen en zo inzicht kunnen krijgen in de gegevens.
Wees u bewust dat als u een formulier aanmerkt als lookup formulier ook collega’s die geen rechten hebben op uw formulier een lookup naar dit formulier kunnen maken en op die manier de invoerresultaten inzichtelijk kunnen maken.
Ingevulde formulieren publiceren
Formdesk biedt 2 mogelijkheden om ingevulde formulieren te publiceren namelijk ‘Invoer resultaten publiceren’ en ‘Enkel ingevuld formulier publiceren’. In beide gevallen komt er een speciaal internetadres beschikbaar waarmee het overzicht en het formulier opvraagbaar zijn. U kunt deze pagina’s met een vast wachtwoord beveiligen. Maakt u gebruik van deze mogelijkheden of overweegt u gebruik te gaan maken van deze mogelijkheden dan zult u het risico moeten afwegen dat het internetadres en eventueel het wachtwoord bekend wordt bij anderen dan aan wie u deze verstrekt hebt.
Verwerkingsovereenkomst
Tot slot willen we u nog attenderen op de model verwerkingsovereenkomst. We hebben u hierover in een eerdere nieuwsbrief geïnformeerd. De AVG verplicht u, als u de verwerking van persoonsgegevens uit besteedt aan een derde, met deze derde de afspraken rond de verwerking vast te leggen in een verwerkingsovereenkomst. Voor uw en ons gemak hebben we een modelovereenkomst opgesteld gebaseerd op een standaard overeenkomst die in het onderwijs wordt gehanteerd, de grootste gebruikersgroep binnen Formdesk. We verzoeken u vriendelijk deze overeenkomst te gebruiken omdat het door de grote hoeveelheid overeenkomsten, voor ons ondoenlijk is op kort termijn overeenkomsten van klanten te beoordelen.