CorporatieGids Magazine
59 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 4, 2018 58 WWW.CORPORATIEGIDS.NL Honderdduizenden bewijsstukken Maar het dichtdraaien van de kraan betekende niet dat DUWO direct aan de AVG voldeed. “Wat doen we namelijk met alle legitimatiebewijzen die we over de jaren heen hebben opgeslagen? En hoe gaan we om met de pasfoto’s die op andere documenten staan?” Het betekende een grote schoonmaak in de databases. Jolieke: “We hadden honderd- duizenden bewijsstukken opgeslagen met een nummer zodat je niet kon zien of het een legitimatie- of studiebewijs is. Alle documenten één voor één bekijken om te zien welke verwijderd moesten worden zou enorm veel tijd innemen, dus hebben we gezocht op steekwoorden. Daarvoor moesten de documenten doorzoekbaar worden gemaakt. Middels optische tekenherkenningssoftware hebben we de juiste documenten kunnen filteren.” “Om te zorgen dat we het kind niet met het badwater weg- gooien, hebben we bij het verwijderen van de documenten een handmatige actie toegevoegd. Nadat er automatisch een selectie werd gemaakt van de te verwijderen documenten, zijn we die handmatig langsgelopen.” Pasfoto’s Een andere uitdaging voor DUWO was het omgaan met pasfoto’s. “Een foto is een bijzonder persoonsgegeven omdat het iets kan zeggen over iemands ras of geloofsovertuiging. Als corporatie willen we alle persoonsgegevens die niet noodzakelijk zijn niet opvragen of opslaan. We hebben echter wel de studiebewijzen nodig omdat onze huurders moeten kunnen aantonen dat ze student zijn. Hiervoor worden vaak kopieën van een collegekaart gestuurd, met pasfoto. In samen- werking met onze softwareleveranciers worden foto’s nu auto- matisch herkend en vervaagd, zodat de foto onherkenbaar is.” Nauwe samenwerking Bij het aanpakken van de AVG-uitdagingen heeft DUWO nauw samengewerkt met haar softwareleveranciers. “Onze DMS- leverancier Van Dinther heeft met ons meegedacht hoe we legitimatiebewijzen uit ons systeem konden verwijderen. Ze zijn ook nauw betrokken geweest bij het opnieuw inrichten van hun oplossing E-Content waar nu bewaartermijnen zijn ingesteld, zodat documenten automatisch worden vernietigd na het verstrijken ervan. Daarnaast heeft Van Dinther voor ons een tool ontwikkeld die een document genereert waar de metadata van de documenten van een huurder in staan, dat we kunnen gebruiken voor het recht op inzage.” “Met Van Dinther, onze klantportaalleverancier Zig Websoft- ware en ERP-leverancier Aareon hebben we regelmatig bij elkaar gezeten om de processen langs te lopen waarin we te maken hebben met persoonsgegevens. Samen hebben we een Privacy Impact Assessment gemaakt waarin we voor elk persoonsgegeven hebben gekeken of het noodzakelijk is om het op te vragen en op te slaan. Dit heeft voor ons de basis gevormd om AVG-ready te worden.” Makkelijker werken Volgens Jolieke heeft het voldoen aan de AVG het werk voor DUWO makkelijker gemaakt. “De data die noodzakelijk is om onze woningen goed te verhuren wordt beter gestructureerd bewaard tot het niet meer nodig is. Daarna wordt deze verwijderd. Zo is ook het zoeken naar gegevens in E-Content sneller en makkelijker geworden.” Leren van fouten DUWO heeft daarbij ‘geleerd van haar fouten’, legt Jolieke uit. “We slaan nu bijvoorbeeld niet langer alle bewijsstukken in één map op, maar in aparte mappen. Dit helpt ons makke- lijker te voldoen aan bewaartermijnen. Studiebewijzen bewaren we bijvoorbeeld tot zeven jaar nadat de huurder vertrokken is, terwijl inkomensbewijzen twee jaar na ontvangst worden verwijderd. Omdat de documenten automatisch worden verwijderd, weten we zeker dat we aan de wetgeving voldoen.” Continue aandacht “Ik denk niet dat je ooit helemaal klaar zult zijn met de AVG,” sluit Jolieke het gesprek af. “Je kunt veel regelen en binnen processen verwerken, maar er moet continu aandacht voor blijven. Bijvoorbeeld voor medewerkers, maar ook bij leveranciers en andere partijen waarmee we samenwerken. Er worden met regelmaat nieuwe samenwerkingsovereen- komsten of -convenanten tussen partijen afgesloten, zoals met de gemeente, politie of hulpverlenende partijen. Daar moet je behoorlijk wat tijd en energie in steken. Momenteel zijn we bezig met de laatste opschoonacties in ons DMS en proberen meteen de verkenner en mailboxen van medewerkers mee te nemen. Voor de AVG hebben we ook een SharePoint- omgeving ingericht. Hier kunnen we op een veilige manier documenten met veel persoonsgegevens sturen naar derde partijen. Verder zijn we wijzigingen aan het aanbrengen in het versturen van bulk e-mails over algemene zaken en zijn we bezig onze testomgeving te pseudonimiseren zodat we straks alleen testen met fictieve gegevens. Op deze manier blijven we alert en zijn we steeds bezig met het beschermen van persoonsgegevens.”
RkJQdWJsaXNoZXIy Mzg5Mzg=