Veel organisaties gebruiken Excel voor hun lotingsprocessen. Praktisch, vertrouwd en snel opgezet. Maar vanuit privacy-perspectief is een Excel-loting een mijnenveld. De Autoriteit Persoonsgegevens handhaaft steeds actiever, en een spreadsheet met persoonsgegevens op een gedeelde schijf is een tikkende tijdbom.
Risico 1 en 2: Onbeveiligde opslag en te brede toegang
Het eerste risico is de opslag zelf. Een Excel-bestand met namen, adressen en mogelijk BSN-nummers van honderden aanvragers staat vaak op een gedeelde netwerkschijf of in een persoonlijke OneDrive. Zonder versleuteling, zonder toegangscontrole en zonder logboek van wie het bestand heeft geopend.
Het tweede risico hangt hier direct mee samen: te brede toegang. Iedereen met toegang tot de map kan het bestand openen, kopiëren of doorsturen. De AVG vereist dat persoonsgegevens alleen toegankelijk zijn voor medewerkers die ze nodig hebben voor hun taak.
Eerlijke subsidieverdeling in de praktijk: een handleiding voor overheden
Risico 3 en 4: Geen verwerkingsregister en bewaartermijn
Artikel 30 van de AVG verplicht organisaties om een register bij te houden van verwerkingsactiviteiten. Een Excel-loting wordt daar zelden in opgenomen, terwijl het wel degelijk een verwerking van persoonsgegevens is.
Daarnaast ontbreekt vaak een bewaartermijn. Het Excel-bestand blijft op de server staan, lang nadat de loting is afgerond. Persoonsgegevens die u niet meer nodig heeft, moet u verwijderen. Bij Excel vergeet u dat bijna gegarandeerd.
“Na een audit bleek dat lotingsbestanden van drie jaar geleden nog op onze server stonden. Dat was een dure les.”
Risico 5, 6 en 7: Geen logging, geen DPIA en datalekrisico
Een Excel-bestand houdt niet bij wie het heeft geopend, gewijzigd of gedeeld. Dat is risico vijf: geen audit trail. Bij een datalek kunt u niet aantonen wie toegang had tot de gegevens.
Risico zes: bij grootschalige lotingen met gevoelige gegevens is een Data Protection Impact Assessment (DPIA) verplicht. Bij een Excel-oplossing wordt dit vrijwel nooit uitgevoerd.
Het zevende risico is het meest concrete: datalekken. Een verkeerd geadresseerde e-mail met het lotingsbestand als bijlage is een datalek dat u moet melden bij de AP. Met een beveiligd lotingssysteem met rolgebaseerde toegang voorkomt u dit scenario.
De oplossing: privacy by design
Een professioneel lotingssysteem is gebouwd volgens het principe van privacy by design. Gegevens worden versleuteld opgeslagen, toegang is rolgebaseerd, alle acties worden gelogd en gegevens worden automatisch verwijderd na de ingestelde bewaartermijn. Dat is geen luxe, het is wat de AVG van u verwacht.
