FAQ

Terug naar overzicht
Privacyprofessional

Audits en inspecties, welke persoonsgegevens mag ik delen?

Informatieverstrekking derden

Casus

Binnen organisaties worden regelmatig inspecties en audits uitgevoerd bij teams en afdelingen. Dat kunnen interne maar ook externe audits zijn (bijvoorbeeld wettelijk verplichte inspecties, zoals die door de Arbeidsinspectie, de Onderwijsinspectie of de accountant). Wat doe je als men toegang vraagt tot systemen, applicaties of documenten waarin (gevoelige) persoonsgegevens zijn opgeslagen?

Antwoord

Er kan voor inspectiedoeleinden inzage worden gevraagd in zeer uiteenlopende documenten, van salarisstrook tot examendossier. Die inzage is een verwerking volgens de definitie van de AVG. Het is belangrijk alleen informatie te tonen die daadwerkelijk nodig is voor het doel van de inspectie.

Het is aan te raden om intern in beleid vast te leggen hoe je omgaat met dit soort auditmomenten. Een belangrijk verschil is de manier van auditen: het ter plekke inzien (bekijken) is minder risicovol dan het digitaal verstrekken van bewijsmiddelen met persoonsgegevens.

Tips voor je interne proces

Met onderstaande tips speel je in op zowel dat wat de auditor nodig heeft en de optimale bescherming van de persoonsgegevens van personeel of student:

  • Verleen alleen inzage in applicaties en documenten waar dit noodzakelijk is voor de betreffende controleur om het werk uit te voeren. Bijvoorbeeld voor het mbo kan het nodig zijn om bij een maatwerkopleiding te controleren of de conclusie tot toelating op de juiste manier tot stand is gekomen. De intake is de maatstaf voor toelating tot zo’n maatwerkopleiding (zoals bij de mbo-maatwerkopleiding tot opticien), zodat inzage in de intake noodzakelijk is. Voor andere opleidingen zijn die overwegingen misschien niet relevant.
  • Als de controlerende instantie inzage in als strikt vertrouwelijk geclassificeerde persoonsgegevens nodig acht, moet daarvoor een aantoonbaar belang of noodzaak zijn. Die inzage stel je dus niet zonder meer open om het privacybelang van de betrokkene te waarborgen.
  • Laat de noodzakelijke inzage in strikt vertrouwelijke persoonsgegevens bij voorkeur zoveel mogelijk beperkt plaatsvinden. Laat bijvoorbeeld degene die vanuit zijn/haar functie toegang tot die gegevens heeft (begeleider, (opleidings)manager of eventueel een vertrouwenspersoon) bevestigen dat een bepaald stuk aanwezig is, zonder de inhoud kenbaar te maken.
  • Zorg ervoor dat je digitale bewijsstukken alleen geanomiseerd verstrekt. Dit kan het geval zijn als je na een audit of inspectie stukken moet nasturen. Stukken met strikt vertrouwelijke informatie volgens de classificatie van de organisatie stel je nooit digitaal beschikbaar (ook niet geanonimiseerd).
  • Je vraagt de auditor te werken met geanonimiseerde gegevens in verslagen en rapporten.
  • Laat externe auditeurs een geheimhoudingsverklaring ondertekenen als dat nodig is (soms is die geheimhouding al via een ander contract geregeld).
  • Een controleur wil weten óf er een VOG is verstrekt, maar hoeft deze niet in te zien. Bewaar als organisatie geen kopie van een VOG, maar zorg voor een register.
Gerelateerd
Privacyprofessional

Moet onze organisatie een kopie van VOG's van medewerkers bewaren voor een audit?

Informatieverstrekking derden

Veel organisaties bewaren een kopie van de VOG's van medewerkers zodat ze tijdens een audit kunnen aantonen dat er is gecontroleerd of een vereiste VOG aan de werknemer is verstrekt. Het is alleen niet aan te raden een kopie-VOG te bewaren. In de eerste plaats is die kopie niet rechtsgeldig en in tweede plaats is deze verklaring strikt persoonlijk. Dat is ook de reden waarom de medewerker deze persoonlijk, fysiek krijgt thuisgestuurd (en zelf kan kiezen of het een digitale VOG mag zijn), ook al betaal je als organisatie meestal voor de VOG. Ten slotte past het bewaren van een...

Lees meer