Omgaan met persoonsgegevens: 5 privacy tips
Zaterdag 28 januari was het weer de jaarlijkse Europese Dag van de Privacy. Helaas geen officiële feestdag, maar wel een dag om stil te staan bij zorgvuldige omgang met persoonsgegevens. Het doel van deze dag is om Europese burgers beter te informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Het privacy-team van DVAN, partner van CLC-VECTA, draagt daar natuurlijk graag haar steentje aan bij met 5 privacy tips.
Tip 1: Leg de mogelijkheid tot controle van jouw werknemers vast
Als werkgever heb je de bevoegdheid jouw werknemers te controleren, bijvoorbeeld door inzage in e-mailbestanden of internetverkeer. Het is een open deur, maar uiteraard moet je daarbij wel de regels van de Wbp (Wet bescherming persoonsgegevens) in acht nemen. Het recht op privacy bestaat namelijk óók op de werkvloer. Veel werkgevers vergeten vaak dat ze de werknemers vooraf moeten informeren over de mogelijkheid van een controle, onder welke voorwaarden en hoe die plaats zal vinden. Het is dus belangrijk om in een protocol, in de arbeidsvoorwaarden of in een privacyreglement de voorwaarden voor controle vast te leggen. Als je dit document hebt opgesteld, is het van belang dit goed met jouw werknemers te communiceren. Voor werkgevers met een ondernemingsraad, geldt dat ze vooraf instemming moeten vragen voor het vastleggen van dergelijke controlemogelijkheden.
Tip 2: Let op bij zieke werknemers
Hoewel de laatste jaren flink wat aandacht is besteed aan het verwerken van gegevens van de zieke werknemer, gaan veel werkgevers nog steeds in de fout. Onlangs heeft de Autoriteit Persoonsgegevens een stichting een last onder dwangsom opgelegd. De stichting zou volgens de Autoriteit in strijd met de Wbp hebben gehandeld bij de registratie van ziekmelding van haar werknemers. De stichting verwerkte namelijk de aard en oorzaak van de ziekte, en zwangerschap. En zij registreerde een 'ziektepercentage', zonder tussenkomst van de bedrijfsarts. Beide verwerkingen zijn in strijd met de Wbp, aangezien deze zijn voorbehouden aan de bedrijfsarts.
Controleer in jouw systemen dus goed wat je precies over jouw zieke werknemers vastlegt. Leg geen gegevens vast over de aard van de ziekte of de mate van arbeidsongeschiktheid, maar laat de bedrijfsarts eventueel bepalen wat de mogelijkheden zijn.
Tip 3: Voorkom boetes en blijf alert op datalekken
In 2016 zijn 5.500 datalekken gemeld aan de Autoriteit Persoonsgegevens. De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten). De Autoriteit Persoonsgegevens heeft in tientallen gevallen diepgaand onderzoek aangekondigd. De kans dat de Autoriteit boetes op gaat leggen is groot.
De meest voorkomende datalekken zijn veroorzaakt door onbevoegde inzage in klant- of werknemersportalen en datalekken als gevolg van verloren usb-sticks of laptops vol (onversleutelde) persoonsgegevens. Je kunt dit soort datalekken eenvoudig voorkomen door jouw IT-beveiliging op peil te houden en te werken met deugdelijke versleutelings- of encryptie systemen.
Tip 4: Maak goede afspraken met gegevensverwerkers gevestigd buiten de EU
Doorgifte van persoonsgegevens naar een onderneming buiten de EU is alleen onder strikte voorwaarden toegestaan. Als je bijvoorbeeld gebruik maakt van een CM- of loonadministratie systeem waarvan de aanbieder buiten de EU is gevestigd, is waakzaamheid geboden. De hoofdregel is namelijk dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Buiten die gevallen is doorgifte slechts toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Veiligheid en Justitie. Als de organisatie is gevestigd in de Verenigde Staten kun je mogelijk persoonsgegevens doorgeven op grond van het EU-VS privacy shield.
Tip 5: Bereid je voor op de nieuwe privacy-verordening
Op 25 mei 2018 wordt de algemene verordening gegevensbescherming in Europa van kracht. Deze verordening heeft grote impact op alle organisaties die persoonsgegevens verwerken. De komst van de verordening vergt van iedere onderneming een zeer scherpe blik op hun privacy beleid. De verordening stelt bijvoorbeeld kritische eisen aan de inhoud van privacy-verklaringen: deze moeten veel meer gedetailleerde informatie bevatten dan nu verplicht is. Ook bestaat de kans dat jouw onderneming verplicht is een functionaris gegevensbescherming aan te stellen. Schending van de verordening kan tot forse boetes leiden.
Stappenplan
Bij onze partner DVAN kun je kosteloos een overzichtelijk stappenplan opvragen over wat te doen bij een (mogelijk) datalek.
Meer informatie & contact
Mocht je vragen hebben over deze of andere privacy onderwerpen, neem dan contact op met Joost Mosselman, advocaat (gespecialiseerd in ICT- & Privacyrecht) bij onze partner DVAN Advocatuur & Notariaat, via joost.mosselman@dvan.nl of +31 (0)6 - 43 37 61 23.
Bron: DVAN Advocatuur & Notariaat