nieuws

‘Blijf hameren op privacy’

Arbeidsrecht

‘Blijf hameren op privacy’

45 procent van de datalekken komt doordat een werknemer een mailtje met persoonsgegevens naar de verkeerde stuurt. “Het is dus zaak om werknemers er goed op te wijzen dat ze het moeten melden als dit gebeurt.”

Dit is het dringende advies van advocaat Stefan Jansen van De Voort Advocaten, die donderdag 14 december in het Beatrixgebouw in Utrecht honderd HR-professionals klaarstoomde voor de nieuwe privacywet. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (AP). “Dus als je werknemers bijvoorbeeld een laptop of iPad verstrekt, moet je ze hier op wijzen. En herhaal dat ook steeds. Je moet blijven hameren op privacy.”

De AP zal bij zo’n mailtje dat bij de verkeerde terechtkomt, niet meteen flinke boetes uit gaan delen, zo stelt hij de zaal gerust. “De AP zal dan met name onderzoeken of het een permanent lek is, dus of het risico bestaat dat het vaker gebeurt.” In zo’n geval kan de AP een bedrijf opleggen om bepaalde maatregelen in te voeren om dit soort datalekken te voorkomen.

Privacy en mobiele telefoons

Een ander risico vormen mobiele telefoons. “De beveiliging van mobiele telefoons moet je als werkgever echt goed regelen”, aldus Jansen. Mobiele telefoons bieden immers vaak toegang tot de mail of zelfs privacygevoelige  bestanden van het bedrijf. Als een werknemers op zijn privételefoon hier dus toegang toe heeft, weet je niet of hij zijn telefoon goed beveiligd heeft. “Verstrek je als werkgever dus mobiele telefoon aan al je medewerkers, dan heb je het voor de volle honderd procent zelf in de hand. Je kunt de telefoons dan zelf beveiligen en het zo regelen dat ze de code er niet zelf af kunnen halen. Of je kunt het bijvoorbeeld zo doen dat als ze buiten kantoor zijn, ze niet bij alle privacygevoelige bestanden kunnen. “

Verliest een werknemer zijn onbeveiligde telefoon, dan is het dus ook zaak om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. “Wat veel mensen niet weten, is dat je een iPhone op afstand kunt wissen. De AP wijst organisaties hier dan ook op. Ook bij een datalek via een mobiele telefoon zal de Autoriteit altijd kijken naar het risico. Hoe meer data, hoe groter het risico. Het is zaak om als werkgever goed te blijven handhaven en controleren.  En om medewerkers steeds te blijven trainen. Het is een continu proces.”

Tip! Lees ook: Privacy: vier stappen voor HR

Passende maatregelen nemen

In rap tempo neemt Jansen de belangrijkste punten uit de Algemene Verordening Gegevensbescherming (AVG) door: welke gegevens van werknemers je mag verwerken, of je hiervoor toestemming moet hebben, hoe het zit met de verwerking van persoonsgegevens door derden, bijvoorbeeld een externe loonadministratie en hoe je dit allemaal moet inrichten in de organisatie. Hij móét er overigens ook wel de vaart in houden, omdat elk punt wel een vraag oproept bij de deelnemers. Het geeft aan dat HR op privacygebied nog wel zoekende is en zich druk aan het voorbereiden is. (Lees ook: Privacybeleid: dé kans voor HR)

privacy

Advocaat Stefan Jansen praat de deelnemers bij.

Het gaat er volgens de advocaat vooral om dat je als bedrijf kunt aantonen dat je passende technische en organisatorische maatregelen hebt genomen. “Dat zijn communicerende vaten. Al heb je het technische 100% geregeld en het organisatorische voor 10%, dan zit je toch nog helemaal fout. Op beide vlakken moet je 100% scoren.”

Als voorbeelden van grote fouten noemt hij niet-uitgevoerde software-updates, oude virusscanners, toegangspasjes die na het vertrek van een werknemer niet ingenomen worden en mailadressen die niet geblokkeerd zijn nadat iemand is vertrokken. “Maar denk ook aan de papieren personeelsdossiers die in open kasten liggen of een serverruimte die vrij toegankelijk is. En zorg vooral dat je het inloggen vanuit huis goed op orde hebt”, benadrukt Jansen.

Wanneer is privacy-officer vereist?

In de AVG staat duidelijk beschreven wanneer een privacyfunctionaris vereist is. Zo zijn overheidsorganisaties verplicht er een aan te stellen en bedrijven die zich bezighouden met observaties van personen, denk aan detectives of beveiligingsbedrijven. Ook als een organisatie zich bezighoudt met grootschalige verwerking van persoonsgegevens is zo’n functionaris verplicht, bijvoorbeeld een zorgverzekeraar.

‘Je moet als privacy-officer in een rapport

kunnen schrijven dat het een teringzooi is’

Een functionaris van binnenuit heeft de voorkeur, zegt Jansen. “Die weet immers wat er speelt in de organisatie, wat de risico’s zijn. Maar extern iemand inhuren, kan eventueel ook. Bijvoorbeeld voor twee dagen in de week.” Het moet in ieder geval iemand zijn die onafhankelijk is. “Wij hebben net de datamarketeer aangewezen als privacy-officer. Is dat slim?”, vraagt een deelnemer. “Dat denk ik niet. Waar het om gaat, is dat je als privacy-officer onafhankelijk moet zijn. Je moet in een rapport kunnen schrijven dat het een teringzooi is.”

Bewaartermijnen: hoe zit dat?

Dat er voordat de Europese privacywet, de GDPR,  op 25 mei van kracht wordt, nog veel moet gebeuren  staat wel vast. Als discussieleider Marco Hendrikse ’s middags vraagt aan de zaal  of HR klaar is voor de nieuwe privacywet, steekt slechts een enkeling weifelend zijn hand op.

privacy

Het panel moet flink wat vragen beantwoorden.

De leden van het expertpanel- Wilko Andelbeek, privacy-officer bij de Politie Zeeland-West-Brabant en Christien Kalteren die bij het internationale incassobureau Intrum Justitia verantwoordelijk is voor de GDPR-implementatie – krijgen dan ook flink wat vragen op zich afgevuurd. Vooral over het bewaren van personeelsdossiers of gegevens van sollicitanten. Hoe lang mag je bepaalde gegevens bewaren? Daar heerst nogal wat onduidelijkheid over.

Soms kan het immers slim zijn om bepaalde gegevens wel langer dan de gebruikelijke vijf jaar te bewaren. “Neem nou een loonbeslag”, aldus een deelnemer. “Bij een ambtenaar is herhaaldelijk loonbeslag namelijk reden voor ontslag. Hier geldt dus een andere bewaartermijn.“ Kalteren adviseert om voor de bewaartermijnen het Vrijstellingbesluit van de huidige Wet Bescherming Persoonsgegevens te hanteren. “Dat is een handige lijst. Gebruik hem gewoon totdat het anders wordt. Dit zijn nu nog de geaccepteerde termijnen.”

Een ding staat voor Andelbeek en Kalteren als een paal boven water: je moet als HR niet ook de taak van privacy-officer op je nemen. “Dat moet je echt niet willen. Je kunt het er gewoon niet bij hebben.” Net als Jansen benadrukken ze het belang van de onafhankelijkheid.

Zieke werknemer kaartje sturen

“Pff, het wordt er allemaal niet makkelijker op”, verzucht een deelnemer in de zaal als ze hoort dat je zelfs toestemming moet hebben om het adres van een zieke werknemer te geven aan attente collega’s die een kaartje willen sturen. “Ik raad altijd aan om het zekere voor het onzekere te nemen en vooraf even met de zieke te bellen .‘Vind je het goed als we je collega’s je adres doorgeven?’ Dat moet je gewoon vragen”, zegt Kalteren. En natuurlijk, vult Andelbeek aan, mag je de adresgegevens van een zieke best doorgeven aan een bloemist. “Een bloemetje sturen naar een zieke kun je dan gewoon zien als goed werkgeverschap.”

Een heikel punt is volgens het panel de onbeperkte mailboxen in veel organisaties. Dit zorgt er namelijk voor dat je , vooral als HRM’er, mailtjes met persoonsgegevens veel te lang bewaart. “Je moet in zo’n geval na twee jaar gewoon alle oude mailtjes automatisch  vernietigen. Dat is een ingewikkeld IT-project, maar je moet het wel doen”, drukt Kalteren de zaal op het hart. “Maar je laptop wordt er toch niet zwaarder van?’, zo werpt iemand uit de zaal tegen. “Nee, maar je verantwoordelijkheid wel”, pareert Andelbeek. “Hoe meer data, hoe meer risico.”

Heeft u het congres gemist? Op  17 april vindt het congres De nieuwe Privacywetgeving weer plaats.  

Reageer op dit artikel