4 tips om Service Management AVG-compliant te maken

Deze blog is getagged met de volgende categorieën:

01 januari 2020

Legt jouw onderwijsinstelling persoonsgegevens vast? Dan moet je sinds 25 mei 2018 voldoen aan de Algemene verordening gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR). De aandacht voor dit onderwerp is de afgelopen jaren sterk toegenomen; in vakbladen en op LinkedIn wordt er veel over gediscussieerd.

Het is dan ook begrijpelijk dat een functioneel beheerder van een grote ROC-instelling onlangs de vraag stelde hoe hij dit binnen TOPdesk het beste kan aanpakken. In dit blog volgen 4 concrete tips om de TOPdesk-omgeving AVG-proof in te richten.

Niet alle beschikbare informatie over de AVG/GDPR blijkt praktisch toepasbaar voor onderwijsinstellingen. Het is vaak lastig om stap voor stap de TOPdesk-omgeving zelf compliant te maken met de nieuwe wetgeving. Terwijl juist daar de behoefte ligt: concrete handvatten om binnen de applicatie alles goed te regelen.

Bij deze onderwijsinstelling wordt TOPdesk ingezet voor de ondersteuning van zowel medewerkers als studenten. Door het grote jaarlijkse verloop in accounts en daarmee in persoonsgegevens, was er behoefte aan duidelijke richtlijnen. Daarom zijn we samen aan de slag gegaan en hebben we de volgende vier stappen gezet om de TOPdesk-omgeving compliant te maken:

1. Wees kritisch op wat je registreert

Met TOPdesk ondersteun je je dienstverlening. Daarvoor leggen onderwijsinstellingen gegevens vast van medewerkers, klanten en leerlingen zoals naam, e-mailadres en telefoonnummer. Soms zien we dat klanten veel meer persoonsinformatie vastleggen dan noodzakelijk is. Enerzijds gaat het dan om de informatie in accounts, maar denk daarnaast ook aan wat je vastlegt in meldingen en aanvragen.

De AVG verplicht ieder bedrijf dat werkt met persoonsgegevens ‘rechtmatig en zorgvuldig’ met die data om te gaan. Het bedrijf moet dat ook kunnen aantonen. Registreer daarom alleen wat je echt nodig hebt voor je dienstverlening. Hiervan moet je vastleggen waarvoor je deze informatie gebruikt en dat vervolgens ook transparant maken richting de betrokkenen.

2. Ruim oude gegevens op

De AVG geeft geen concrete bewaartermijn voor persoonsgegevens. De regels voor bewaartermijnen die nu onder de Wet bescherming persoonsgegevens (Wbp) gelden, veranderen dus niet. Leerlingendossiers mogen bijvoorbeeld nog steeds maar 2 jaar worden bewaard nadat een leerling van school is gegaan. Dezelfde termijn geldt ook voor personeelsdossiers na uitdiensttreding

De AVG noemt wel een opslagbeperking voor persoonsgegevens. Wat dit betekent? Persoonsgegevens mogen alleen worden bewaard als dit nodig is voor het doel waarvoor de gegevens zijn vastgelegd. Het opruimen van verouderde gegevens is nog niet overal goed ingeregeld. In veel TOPdesk-omgevingen zien we dat er al wel gebruik wordt gemaakt van archiveren, maar dan wordt de informatie nog steeds bewaard. Om te voldoen aan de wetgeving hebben we functionaliteiten ingebouwd voor het anonimiseren van oude persoonsinformatie.

Functioneel beheerders van TOPdesk kunnen (vanaf versie 8.02.13) in TOPdesk instellen na welke termijn gegevens worden geanonimiseerd. Hierbij zijn diverse opties beschikbaar, voor zowel het anonimiseren van accounts als de inhoud van meldingen. Zeker met een grote hoeveelheid studenten die ieder jaar starten en afstuderen is dit heel wenselijk!

3. Richt toegang tot de software goed in

Niet alle behandelaars in TOPdesk hebben dezelfde informatie nodig. Om te voorkomen dat mensen meer zien dan noodzakelijk, is het belangrijk om een goede inrichting te hebben van de autorisaties. Je kan dit binnen TOPdesk zelf organiseren met behulp van rechten en filters.

Het beheer van autorisaties in verschillende systemen kan vooral bij grote organisaties veel tijd kosten. In die gevallen is het interessant om te kijken naar oplossingen om te koppelen met een centraal Identity Access Management (IAM) systeem. In de TOPdesk Marketplace vind je meer informatie over bestaande oplossingen en integraties met onze partners.

4. Zet TOPdesk in ter ondersteuning van processen en communicatie

Voor veel uitdagingen rond de AVG bestaat een eenvoudige oplossing binnen TOPdesk. Denk bijvoorbeeld aan het inrichten van een proces rondom veiligheidsincidenten in de module Meldingenbeheer. Het kennissysteem en de selfserviceportal zijn erg geschikt om te documenteren welke gegevens waarom worden vastgelegd en dat inzichtelijk te maken aan de klant.

Het gaat natuurlijk over meer dan alleen de bovengenoemde punten. Wil je meer weten over de nieuwe privacywetgeving? Dan kan je hier meer informatie over de GDPR lezen. Hier vind je 12 handige tips over correct gebruik van TOPdesk in relatie tot de AVG.

Functioneel beheerders van TOPdesk die toegang hebben tot ons Extranet vinden hier diverse andere kennisitems over het onderwerp.

Meer onderwijs tips?

Deze AVG tips hebben verschillende klanten van al vaker geholpen de piekdrukte het hoofd te bieden. Wil je meer weten? Je mag altijd contact met ons opnemen of bezoek onze onderwijs website!