Auteur: BerndSmit

Geplaatst op

032 / De 5 grootste fouten bij de omzetting van de AVG

Wat zijn de grootste fouten die voorkomen bij het omzetten van de AVG bij bedrijven?

Het correct implementeren van de AVG (Algemene Verordening Gegevensbescherming) kan een uitdagende taak zijn voor bedrijven. Er zijn veel voorkomende fouten die bedrijven maken bij het omzetten van de AVG.

Dit zijn de 5 waar u op moet gaan letten:

1.  Geen grondslag hebben voor de verwerking van persoonsgegevens: Bedrijven moeten altijd een legitieme grondslag hebben voor de verwerking van persoonsgegevens ( Artikel 6, AVG: Rechtmatigheid van de verwerking). Dit kan bijvoorbeeld toestemming zijn van de betrokken persoon, een contractuele verplichting, wettelijke verplichting, gerechtvaardigd belang of publiek belang. Als bedrijven geen grondslag hebben voor de verwerking van persoonsgegevens, zijn ze in strijd met de AVG.

2.  Geen adequate privacyverklaring: Bedrijven moeten transparant zijn over hun verwerking van persoonsgegevens. Zij moeten betrokkenen op de hoogte stellen van de manier waarop hun gegevens worden verwerkt. Dit gebeurt via de privacyverklaring. Als de privacyverklaring van een bedrijf niet adequaat is of niet voldoet aan de vereisten van de AVG, kunnen er problemen ontstaan.

3.  Geen adequaat beleid voor gegevensbescherming: Bedrijven moeten een adequaat beleid voor gegevensbescherming hebben dat voldoet aan de vereisten van de AVG. Dit beleid moet beschrijven hoe persoonsgegevens worden verwerkt, opgeslagen en beveiligd. Bedrijven moeten ook procedures hebben voor het melden van datalekken. Zij moeten reageren op verzoeken van betrokkenen om toegang tot hun persoonsgegevens.

4.  Geen Data Protection Impact Assessments uitvoeren: Een Data Protection Impact Assessment (DPIA) is een proces om de privacyrisico’s van een bepaalde gegevensverwerking te beoordelen. Bedrijven moeten een DPIA uitvoeren voordat ze een gegevensverwerking uitvoeren die waarschijnlijk een hoog risico oplevert voor de privacy van betrokkenen. Als bedrijven geen DPIA uitvoeren wanneer dit nodig is, kunnen ze in strijd zijn met de AVG.

5.  Geen functionaris voor gegevensbescherming aanstellen: Bedrijven die verplicht zijn een functionaris voor gegevensbescherming (FG) aan te stellen volgens de AVG, moeten dit ook daadwerkelijk doen. De FG is verantwoordelijk voor het adviseren van het bedrijf over de AVG. Verder moet de FG toezicht houden op de naleving van de AVG. Als bedrijven geen FG aanstellen terwijl dit wel verplicht is, kunnen ze in strijd zijn met de AVG. Heeft u vragen neemt u dan gerust met mij contact op.

Kortom, bedrijven moeten zich bewust zijn van de vereisten van de AVG en zorgvuldig te werk gaan bij het implementeren van de AVG. Dit zal hen helpen om te voldoen aan de AVG en de privacy van betrokkenen te waarborgen .

Geplaatst op

031 / Interne versus externe FG

Als externe functionaris gegevensbescherming zal ik natuurlijk meer argumenten voor de externe functionaris gegevensbescherming vinden dan tegen. Ik zal proberen gelijk ter zake te komen: het is gemakkelijker met de externe functionaris gegevensbescherming omdat de ervaring er is. Natuurlijk vereist de externe implementatie van de AVG een hoog niveau van kennis van bedrijfsprocessen, omdat elk bedrijf op de een of andere manier anders is.

Dat is wat DSBOK onderscheidt. Wij hebben branche-ervaring in bijna alle economische sectoren.

Werklast AVG in het bedrijf

De werkzaamheden voor de implementatie van de Algemene verordening gegevensbescherming (AVG) bestaat o.a. uit het opstellen van een register van verwerkingsactiviteiten, vastleggen van werkzaamheden en implementatie van de Verordening in de diverse bedrijfsprocessen. De functionaris gegevensbescherming, intern of extern, organiseert deze uitvoering en genereert dus interne tijdsbesteding. We maken daarbij onderscheid tussen opleidings- en implementatiekosten. (Bedenk: met een externe functionaris gegevensbescherming zijn er dus geen opleidingskosten van de persoon voor het bedrijf.)

Interne functionaris gegevensbescherming

Volgens onze berekeningen is de interne functionaris voor gegevensbescherming de moeite waard vanaf ongeveer 400 medewerkers. (Details van de rentabiliteitsberekening kunt u bij ons opvragen per e-mail: break-even-dsb@dsbok.de)

Interne kosten functionaris gegevensbescherming (voor bedrijven met 100-200 medewerkers)

De reguliere opleidingskosten voor een interne functionaris gegevensbescherming bedragen in het eerste jaar ongeveer 3.500 euro, de vervolgopleiding kost ongeveer 1.800 euro per jaar om te voldoen aan de wettelijke vereisten.

Daarnaast zijn er voor haar/hem de werktijden voor de interne implementatie van de AVG in het bedrijf, dus voor de bedrijf gerelateerde onproductieve uren. De inspanning is afhankelijk van het aantal medewerkers en ligt gemiddeld rond de 72 uur in het eerste jaar en 68 uur in het volgende jaar. Dit komt overeen met ongeveer 3.960 euro in het eerste jaar en ongeveer 3.740 euro elk volgend jaar (55 euro per uur verondersteld).

Hoewel de intern aangewezen functionaris gegevensbescherming vanwege zijn functie ontslagbescherming geniet, betekent de dubbele last van het implementeren van de vereisten van de AVG ook een verhoogde werkdruk voor 3-4 maanden per jaar, evenals wijzigingen in relevante IT-systemen of Cloud services of veranderingen in de wet.

Externe functionaris gegevensbescherming (voor bedrijven met 100-200 medewerkers)

De externe functionaris gegevensbescherming heeft ofwel een coördinator gegevensbescherming in het bedrijf nodig of bespreekt gegevensbeschermingskwesties rechtstreeks met de afdelingen. De prijs van een externe functionaris gegevensbescherming hangt af van deze twee factoren.

Kosten van externe functionaris voor gegevensbescherming

Een externe functionaris gegevensbescherming kost in het eerste jaar van samenwerking (afhankelijk van de omvang van de gegevensverwerking) minder dan een interne functionaris gegevensbescherming; ongeveer 4.350 euro in het eerste jaar; In de jaren daarna zijn de kosten met zo’n 2.560 euro ook beduidend lager.
> Vraag hier uw offerte voor een externe functionaris gegevensbescherming aan.

(Een andere mogelijkheid is dat de externe functionaris gegevensbescherming een interne functionaris gegevensbescherming ondersteunt in zijn taken bij de implementatie. Om een beeld te krijgen hoe dat in zijn werk gaat (financieel en organisatorisch), kunt u het beste met mij hierover contact opnemen. )

Ook zijn de interne uitvoeringskosten bij de inzet van een externe functionaris gegevensbescherming lager doordat het proces meer op ervaring is afgestemd.

De kosten voor een functionaris gegevensbescherming in het volgende overzicht hebben betrekking op bedrijven met 100-200 werknemers:

Vergelijken interne / externe functionaris gegevensbescherming:

1ste jaarvolgende jaren
Interne FG opleiding3.500 euro1.800 euro
Interne FG tijdbesteding3.960 euro3.740 euro
Gezamenlijke kosten7.460 euro5.540 euro
Externe FG4.320 euro2.560 euro
Inzet tijd intern met een CG* 1.800 euro600 euro
Gezamenlijke kosten6.120 euro3.160 euro
Het vergelijken FG en externe FG1ste jaarvolgende jaren
Interne FG7.460 euro5.540 euro
Externe FG6.120 euro3.160 euro
Afkortingen:
* (FG= Functionaris gegevensbescherming)
* (CG: Coördinator gegevensbescherming intern)

Calculatie Functionaris gegevensbescherming intern/extern

Geplaatst op

030 / Compensatie voor inbreuken op uw gegevensbescherming

Schendingen van de gegevensbescherming leiden al snel tot schadeclaims. Reden genoeg om de regels van gegevensbescherming zeer serieus te nemen.

€ 2.000 compensatie voor pijn en lijden is geen geringe zaak

Een Duits voorbeeld van dit jaar (maar zeker ook representatief voor Nederland): iedereen die op zijn werk e-mails verstuurt, moet de regels van het spel van gegevensbescherming kennen die van toepassing zijn. En: uiterst zorgvuldig werken is geboden! Dat had de medewerker van een zorgverzekeraar ter harte moeten nemen. Want vanwege een niet zo grote inbreuk op de gegevensbescherming moet zijn werkgever nu € 2.000,- schadevergoeding betalen voor pijn en lijden.

“Foutverzendingen” gebeuren heel snel met e-mails

Mails zijn sneller dan brieven en ook nog eens goedkoper. Dit geldt echter alleen als de e-mail naar het juiste adres gaat. Een “verkeerde bezorging” op het verkeerde adres kan voor behoorlijk wat problemen zorgen. Precies zo’n storing onderging de medewerker van een zorgverzekeraar.

Een medewerker maakt een fout in het e-mailadres

Een klant belde hem en vroeg hem haar de inhoud van haar gezondheidsdossier van de afgelopen drie jaar te sturen (zie hierover bijv. Art 15 van de AGV). De medewerker vroeg de klant of het ok was om het per e-mail te verzenden. De klant had eerst bedenkingen, maar uiteindelijk stemde ze toe.

Het was haar duidelijk dat ze een onversleutelde e-mail zou ontvangen. Ze vroeg om de documenten naar het e-mailadres “P1@abcdef.nl” te sturen. De medewerker schreef echter per ongeluk naar “P2@abcdef.nl”.

Natuurlijk verontschuldigt hij zich bij de klant

Pas toen de klant drie dagen later vroeg waar de post met haar documenten was, werd de storing opgemerkt. De bediende verontschuldigde zich bij de klant. Hij informeerde ook zijn superieuren. Er was geen economische schade, uiteindelijk is er “niets gebeurd”. Een paar maanden later nam een ​​medewerker van de zorgverzekeraar contact op met het bedrijf, dat in de twee e-mailadressen verborgen zit achter de domein afkorting “abcdef”. Het bedrijf “abcdef” verzekerde dat het e-mailaccount “P2@abcdef.de” nooit was gebruikt. Het e-mailadres is nu op verzoek verwijderd.

De klant vraagt ​​€15.000 en krijgt €2.000

Niettemin eiste de getroffen klant compensatie voor pijn en lijden. Haar idee: € 15.000,- plus juridische kosten natuurlijk. Het Rechtbank verminderde de verwachtingen van de klant aanzienlijk. De rechtbank kende haar echter een schadevergoeding van € 2.000 toe.

Het gaat om het balanceren van zorgen en angsten

Volgens de rechtbank moet de vergoeding de klant compenseren voor de zorgen en angsten waar zij last van heeft. Ze verloor immers maandenlang de controle over gevoelige gezondheidsgegevens. Bovendien waren sommige van deze gegevens zelfs extreem intiem (zie hierover bijv. Art. 9 van de AVG).

Op een fout wijzen helpt niet, het feit dat de medewerker duidelijk “slechts” een fout maakte, hielp niet. De rechtbank ging daar niet eens in detail op in. Het verklaarde eenvoudig dat het verzenden naar het verkeerde e-mailadres in strijd was met de gegevensbescherming.

Hoewel de klant ermee instemde dat de post werd verzonden, maar natuurlijk alleen naar het juiste e-mailadres. Aangezien de medewerker een ander e-mailadres gebruikte, blijft het zo dat er sprake was van een inbreuk op de gegevensbescherming.

Aandacht besteden aan gegevensbeschermingstraining is zinvol

De casus herinnert eraan dat privacytraining zeer zorgvuldig moet worden gevolgd. Zijn er misschien gegevens die helemaal niet per e-mail moeten worden verzonden? Hoe zorg ik ervoor dat het e-mailadres echt klopt? Als u hier goed op let en vragen stelt, beschermt u uw bedrijf tegen schadeclaims en uzelf tegen problemen!

Brievenpost kan net zo riskant zijn

Omdat alles via de e-mail zo drastisch mis was gegaan, stuurde de zorgverzekeraar de klant uiteindelijk de gevraagde documenten per brief. Begrijpelijk, want in dit geval hadden beide partijen genoeg van e-mails. Bedenk daarom: verkeerde adressering komt ook voor bij brieven, en niet zo zelden. Ook dan is een vergoeding verschuldigd!

Er hangt in ieder geval nog een waarschuwing in lucht

De zorgverzekeraar moet de € 2.000 betalen, niet de medewerker persoonlijk. Of zijn werkgever verhaal op hem kan nemen, hangt af van de regels van het arbeidsrecht. Aangezien de medewerker “slechts” onzorgvuldig heeft gehandeld, hoeft hij zijn werkgever waarschijnlijk niet terug te betalen.

Een officiële waarschuwing voor deze medewerker zou altijd terecht zijn. Als er in het verleden andere overtredingen zijn geweest, is beëindiging van zijn contract ook een optie… (maar dat is een beoordeling op een ander traject).

Geplaatst op

029 / Vier jaar AVG

Vandaag, 25 mei 2022, is het 4 jaar geleden dat in Europa de GDPR actief ingezet werd. Er is veel gebeurd in de afgelopen 4 jaar en meer dan ooit is een sterke en snelle handhaving cruciaal voor een consistente interpretatie van de AVG. Maar… zijn we wel in Nederland goed op koers?

Nederland is nog lang niet klaar met zijn omzetting naar de verordening. Vooral overheid en juist de gemeenten zien vaak de noodzaak er niet van in om snel, conform de Algemene Verordening Gegevensbescherming, het gebruik van persoonsgegevens in goede banen te leiden.

“We zijn er mee bezig” maar… we weten niet hoe

“Het gaat toch, zo hebben we altijd het gedaan!” of “We zijn er mee bezig”. Regelmatig kom ik die situaties tegen waar oude gewoontes en moeilijk meewerkende ambtenaren de implementatie vertragen. “Het niet weten hoe” kan na vier jaar eigenlijk niet meer gezegd worden, er zijn genoeg externe Fg’s die men kan inzetten. En het internet staat vol met hulp van de expert, de adviseur van menig bureau of gemakkelijk gezegd de “Kapitein aan wal”. We doen allemaal mee… Hoe scheid je dan het koren van het kaf?

Persoonsgegevens in de big city

Misschien zijn er te weinig Fg’s die juist ervaring hebben met de problematiek van een gemeente? Of gaat het op de “werkvloer” mis? Mooie VO’s en RVV’s maar geen sturing, begeleiding ter plekke. Zelfs NOS Nieuws van 24 Mei jl. maakte er melding van: Bits of Freedom geeft te kennen dat 9 van de 10 grootste steden van Nederland zich nog steeds niet houdt aan de privacywet. O.a. te weinig zicht op hun verwerkingen met persoonsgegevens en liever gelijk vol inzetten op nieuwe Technologie terwijl de basis er nog niet voor klaar is.

Na vier jaar AVG hebben we nog heel veel te doen in die hoek…     MB

Geplaatst op

028 / Recht op informatie bij rekeningafschriften?

Het recht op inzage is misschien wel het belangrijkste recht in de Algemene Verordening Gegevensbescherming (AVG). Maar zelfs dit recht heeft grenzen. Dit kan heel mooi worden weergegeven aan de hand van het voorbeeld van bankafschriften.

Het recht op informatie is erg belangrijk

Zoals bekend heeft een betrokkene recht op informatie over alle gegevens die hem betreffen. Het is ook duidelijk hoe belangrijk dit recht is. Pas als iemand weet of een bedrijf gegevens over hem verwerkt, kan hij controleren of alles in orde is.

Dit alles is geregeld in artikel 15 van de AVG. Ook is daar bepaald dat een betrokkene “een kopie van de persoonsgegevens” kan opvragen. Deze formulering leidde tot een geschil tussen een bank en een van haar klanten.

Het eerste exemplaar is gratis

De klant had zijn rekeningafschriften uiteraard correct ontvangen. Hij heeft echter de afschriften kwijtgemaakt. Dit bracht hem op het idee om zijn bank nogmaals om een ​​kopie van deze bankafschriften te vragen. In zijn gedachten zou het voor hem gratis moeten zijn. Artikel 15 van de AVG stelt immers ook dat de eerste kopie van gegevens gratis is. Alleen verdere kopieën mogen iets kosten.

De bank deed niet mee, maar…

De bank stond dit idee echter niet aan. Het ging haar waarschijnlijk minder om die ene specifieke klant. Ze was eerder bang om in de toekomst met dergelijke verzoeken te worden geconfronteerd. Al met al zou dat best duur voor haar zijn. Daarom wees ze het verzoek van de klant af.

De klant wilde het niet loslaten en legde het voor advies voor bij de desbetreffende onafhankelijke toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt. Uit dit resulteerde een interessant oordeel: “ja, maar…”

Het “ja” betekent dat de grote klant zijn bank daadwerkelijk kan vragen om een ​​gratis overzicht van de geldtransacties op zijn rekening. Dit vloeit voort uit de volgende overwegingen:

  • De rekeningbewegingen zijn persoonsgegevens. Omdat ze betrekking hebben op de persoon van de klant.
  • Dit betekent dat de bankcliënt recht heeft op informatie over deze rekeningbewegingen.

De bank moet deze gegevens gratis verstrekken. Iets anders zou alleen van toepassing zijn als de klant meerdere keren om één en dezelfde aanbieding vraagt ​​zonder dat daar een begrijpelijke reden voor is.

Er is echter geen recht op kopieën van “oude” rekeningafschriften

Het “maar” volgt echter direct: de bankcliënt kan niet eisen dat de bank een overzicht van rekeningtransacties in de vorm van rekeningafschriften aanlevert. In plaats daarvan kan ze een tabel met rekeningverplaatsingen voor hem achterlaten.

De motivatie:

  • Rekeningafschriften zijn een speciaal voorbereide vorm van rekeningverplaatsingen.
  • Het recht op informatie geeft een bankcliënt niet het recht om op deze manier opgestelde rekeninggegevens te ontvangen.
  • De bank heeft aan haar verplichting voldaan als zij de gegevens in een geordende vorm, zoals een spreadsheet, aan hem ter beschikking stelt.
  • Alles wat verder gaat is een dienst die niets te maken heeft met het recht op informatie onder de AVG.
  • Of de bank een dergelijke dienst überhaupt aanbiedt, is voor hen evenzeer een zaak als de vraag of zij er een speciale vergoeding voor vragen.

Geen trucs!

Alles moet echter eerlijk en zonder trucs zijn. De bank kan dus ook aan het informatierecht van de cliënt voldoen door hem kopieën van zijn “oude” rekeningafschriften te verstrekken. Zij mag dan echter geen kosten van hem verlangen. Het is daarom noodzakelijk om onderscheid te maken:

  • Als de bank uit eigen beweging informatie verstrekt door kopieën van “oude” rekeningafschriften aan de klant ter beschikking te stellen, kan zij daar niets voor terugvragen.
  • Als zij de gegevens echter daadwerkelijk in een andere vorm wil aanleveren, bijvoorbeeld als tabel, en vervolgens op uitdrukkelijk verzoek van de klant kopieën van de eerdere opgaven verstrekt, kan zij dit laten vergoeden.

De klant kan geen verwerking van gegevens vragen

Het is alleen belangrijk dat hij volledige informatie krijgt. Indien dit het geval is, kan hij geen bijzondere verwerking van die gegevens verlangen. De klant heeft dus geen recht op een door hem zelf bepaalde vorm/verwerking van informatie, als deze afwijkt van de verstrekte “basisvorm” van de te verstrekken informatie.

Wilt u hier meer over weten? Voor verdere informatie over dit item kunt u met mij gerust contact opnemen: stel uw vraag(en) en ik neem spoedig met u contact op.

Geplaatst op

027 / Smartphone-apps & gegevensbescherming

Tijdens de pandemie is het belang van mobiele apparaten en applicaties nog verder toegenomen. Het aantal geïnstalleerde apps op smartphones en tablets groeit en groeit. Maar hoe zit het met gegevensbescherming in mobiele toepassingen? Het antwoord is niet altijd gemakkelijk.

Er is een app voor…

Mobiele games, leerprogramma’s, kantoorapplicaties: Nederlanders gaven in 2021 meer geld uit aan mobiele apps dan ooit tevoren. Volgens de Duitse digitale vereniging “Bitkom” werd bijvoorbeeld alleen al in Duitsland in 2021 in totaal 2,9 miljard euro aan omzet gegenereerd met smartphoneprogramma’s.
Het aanbod aan apps neemt toe – ze vervangen de digitale camera, de boekenplank, de gameconsole“, zegt Dr. Sebastian Klöß, hoofd consumententechnologie bij de digitale vereniging “Bitkom”. “Vooral tijdens de Corona-crisis brachten mensen meer tijd door met hun smartphone. Ze probeerden nieuwe apps uit en gaven daarbij meer geld uit, bijvoorbeeld om fit te blijven met betaalde onlinecursussen, de tijd te doden met games of om nieuwe talen te leren.

Apps zijn beschikbaar voor geld of data

Iedereen die nu denkt dat apps gratis zijn en misschien daarom zo populair zijn, heeft deels gelijk. In feite zijn de meeste mobiele applicaties beschikbaar zonder ervoor te betalen. Maar of de aanbieder zijn app ook werkelijk onbezorgd ter beschikking stelt, is een tweede.

Veel apps worden gefinancierd door reclame. Om de advertenties zo relevant en dus succesvoller mogelijk te maken, verzamelen veel van deze apps gegevens over hun gebruikers. Daar zou niets mis mee zijn als de gebruikers hiervan op de hoogte waren en ermee instemden.

In feite verzamelen en evalueren de apps vaak gebruikersgegevens zonder dat de gebruikers hiervan op de hoogte worden gesteld of hun toestemming hebben gegeven. Dit is niet alleen het geval bij gratis apps. Betaalde apps kunnen ook gegevens verzamelen om extra omzet te genereren.

Waar is het privacy beleid?

Of een app gegevens verzamelt, welke gegevens hij verzamelt en met welk doel dit gebeurt, maar ook wie de gegevens van de gebruiker ontvangt, dit alles moet worden teruggevonden in een privacyverklaring, die zichtbaar moet zijn voordat de app wordt geïnstalleerd.

Maar ook na installatie van de app moet het mogelijk zijn om de privacyverklaring in te zien. Vooral met een update van de app kan er iets zijn gebeurd dat gevolgen heeft voor de gegevensbescherming.

Als u op zoek bent naar een privacyverklaring voor apps, vindt u helaas niet altijd wat u zoekt, integendeel!

Vraag gegevensbescherming: in de app store en in de app zelf

Of een app een privacy beleid heeft of niet, moet beslissen of u de app überhaupt installeert en gebruikt. De app-stores zoals Google Play voor Android-apps hebben meestal een link in de app-beschrijving die leidt naar de verklaring inzake gegevensbescherming. Helaas is deze link niet zo makkelijk te vinden, bijvoorbeeld in de contactgegevens van de app-ontwikkelaar.

Het is nog moeilijker als je de app al hebt geïnstalleerd. Hier lijkt het meer een uitzondering als een app ook een sectie privacy beleid heeft. Zelfs bij bekende apps kan niet worden aangenomen dat ze echt uitgebreide informatie over gegevensbescherming bieden.

Dus als u niet wilt betalen voor een app met uw gegevens zonder precies te weten wie wat te weten komt en met welk doel, moet u apps zonder gegevensbeschermingsverklaringen vermijden. Veel apps willen zelfs meer leren dan nodig is.

Het klassieke voorbeeld zijn apps met een zaklampfunctie die toegang willen tot locatiegegevens en foto’s. Het moet voor u toch wel duidelijk zijn dat een app mogelijk probeert gebruikersgegevens te verzamelen.

Hoe zit dat met de privacy en de AVG? Mocht u meer willen weten over de AVG, dan kunt u via deze link direct de Algemene Verordening Gegevensbescherming nalezen.

Geplaatst op

026 / Privé PC’s als noodstrategie: homecomputer vs zaken laptop

Als de bedrijfscomputer opeens niet meer werkt: privé pc of laptop als noodstrategie?

De door de werkgever ter beschikking gestelde computer start niet op. Maar dringend projectwerk laat op zich wachten. De gedachte om het privé notebook te gebruiken komt al snel op. Het is een noodgeval. Maar is het AVG correct qua gegevensbescherming?

Wanneer er haast is

Hoe kan het anders zijn? Het concept zou om elf uur bij het afdelingshoofd moeten zijn, maar de pc die de werkgever voor het thuiswerken heeft voorzien start niet op. Nog maar twee uur tot de levering…

Het gebruik van privé-IT-apparaten bij het thuiswerken is eigenlijk niet toegestaan. De werkgever heeft daarom extra speciale pc’s aangeschaft en bij de werknemers thuis laten bezorgen. Maar nu is er een soort noodsituatie ontstaan: de bedrijfscomputer wil niet, dus je zou het privé apparaat kunnen gebruiken. Dat is tenminste het idee dat bij me opkomt. “Het privé notebook was tenslotte duur, het is zeer professioneel, moet ik zeggen…”

De pc-aanval en de gevolgen

Als je gewoon je eigen notebook gebruikt om het concept te voltooien, haal je misschien de deadline voor indiening, maar je overtreedt de richtlijnen die de werkgever heeft gesteld voor thuiswerken.

Ga er niet vanuit dat een “deadline” alle middelen rechtvaardigt. Het concept kan op tijd bij het afdelingshoofd zijn. Maar het vertrouwelijke concept met de klantgegevens kwam op een privéapparaat terecht. Ze hebben het daar bewerkt en vanaf daar gemaild.

De werkgever verbood het gebruik van het privétoestel niet zomaar. Daar zijn goede redenen voor. De werkgever heeft geen overzicht van:

  • of de privé notebook is voorzien van alle updates,
  • of de beveiligingssoftware voldoet aan de eisen,
  • of de e-mail beveiligd is verzonden,
  • of bijvoorbeeld de privé notebook zo is ingesteld dat alle bestanden erop automatisch worden overgebracht naar een cloud voor gegevensback-up, die niet voldoet aan de vereisten voor gegevensbescherming.

Vraag eerst en zorg voor bescherming

Iedereen die zonder overleg afwijkt van de veiligheidsrichtlijnen van de werkgever moet op problemen rekenen, ook als het een urgent begrip is en als je een uitzondering wilt maken voor een calamiteit.

Bescherm uzelf altijd en vraag uw leidinggevenden of u in uitzonderlijke gevallen uw privétoestel mag gebruiken. Maar denk dan ook eens aan het beveiligen van de data.

Zo mag de werkgever het zakelijk gebruik van eigen (home) apparatuur, ook wel BYOD (Bring-Your-Own-Device) genoemd, alleen goedkeuren als de beveiligings- en gegevensbeschermingsmaatregelen voor het apparaat correct zijn. Hetzelfde hoge beveiligingsniveau moet gelden als bij het gebruik van de bedrijfs-pc.

Als de werkgever de uitzondering goedkeurt, moeten alle beschermende maatregelen worden genomen om de toegang tot het bedrijfsnetwerk te beveiligen en ervoor te zorgen dat er geen bedrijfsgegevens achterblijven op privé-apparaten.

Als de uitzondering niet de regel is

Als de werkgever je eenmaal toestemming heeft gegeven om je privé apparaat te gebruiken, mag dit echter geen regel worden omdat je liever met bijvoorbeeld je privé-notebook werkt.

Geplaatst op

025 / Wie heeft een FG nodig?

Veel bedrijven stellen zichzelf deze vraag. Helaas is het antwoord niet 100% duidelijk, zelfs niet wanneer de juridische teksten worden geraadpleegd, althans niet in het geval van kleinere bedrijven. Ik doel hier uitsluitend op de regelgeving vanaf 25.5.2018 en niet-overheidsinstanties.

In het algemeen is het aanstellen van een functionaris gegevensbescherming gangbaar voor bedrijven die doorgaans* meer dan 20 personen in dienst hebben (inclusief uitzendkrachten) die betrokken* zijn bij het verzamelen, verwerken of gebruiken van (bijzondere categorie) persoonsgegevens (Art 9 van de AVG) in een geautomatiseerde (computer)verwerking. Bedenk: in veel personeelsdossiers worden juist die bijzondere categorieën persoonsgegevens verwerkt.

Als de verantwoordelijke of de verwerker een verwerking van persoonsgegevens uitvoert die onderworpen is aan een GEB (*zie onder) of als u persoonsgegevens commercieel verwerkt met het oog op doorgifte, anonieme verzending of met het oog op markt- of opinieonderzoek, heeft u een (functionaris) gegevensbeschermingsverklaring nodig, ongeacht het aantal werknemers. (AVG art. 37). M.a.w. u zult een Fg moeten aanstellen.

Wat betekent dat concreet?

Aangezien persoonsgegevens bijna overal in bedrijven worden verwerkt en in de meeste bedrijven alle werknemers toegang hebben tot computers, zou elk bedrijf met meer verwerkingen van persoonsgegevens een functionaris gegevensbescherming moeten aanstellen. Bedenk: zelfs een klantenkaart bevat gegevens zoals naam, adres, telefoonnummer en gedetailleerde informatie over projecten, vertegenwoordigt persoonlijke gegevens.

Maar hoe zit het met bedrijven met 2, 3 of 4 medewerkers?

Het antwoord ligt in de vraag of er in het bedrijf voorbereidende werkzaamheden op de loonadministratie worden verricht. Dit betekent dat er bijzondere persoonsgegevens van de werknemers zijn, die meestal worden doorgegeven aan de belastingadviseur of de salarisadministratie. In ieder geval zou een gegevensbeschermingseffectbeoordeling vereist zijn en daarom de aanstelling van een functionaris gegevensbescherming noodzakelijk.

Veel kleinere bedrijven zullen waarschijnlijk wachten tot de eerste boetes worden uitgedeeld. Experts vermoeden dat juist het uitblijven van de aanstelling van de functionaris voor gegevensbescherming de belangrijkste reden voor boetes zal zijn.

Twijfel: doe de AVG check

Als u niet zeker weet of u een functionaris gegevensbescherming voor uw bedrijf moet aanstellen, gebruik de AVG-check.

Klik hieronder en neem de test:

Een GEB | gegevensbeschermingseffectbeoordeling is een hulpmiddel om gegevensbeschermingsrisico’s te identificeren voordat persoonsgegevens worden verwerkt. Naar aanleiding van deze GEB kunnen vervolgens (aanvullende) maatregelen worden genomen om de gegevensbeschermingsrisico’s te verkleinen. In het Engels wordt een GEB een “Data Protection Impact Assessment” (DPIA) genoemd.

* Doorgaans: het is al voldoende als een persoon regelmatig (“niet incidenteel”) verwerkingstaken uitvoert die zich af en toe voordoen volgens hun functiebeschrijving of het organisatieplan van de verantwoordelijke instantie en deze taak niet vanaf het begin uitvoert voor een korte periode, bijvoorbeeld als vervanging voor vakantie .

* Wat betekend “betrokken bij” : doorslaggevend voor tewerkstelling in die zin, is dat de persoon taken uitvoert die verband houden met de verwerking van persoonsgegevens. Het gaat dus niet alleen om vaste medewerkers als onderdeel van het personeelsbestand, maar ook om uitzendkrachten, stagiaires, stagiaires, stagiaires, vrijwilligers of zelfs de directeur zelf.

Geplaatst op

024 / Wat is de AVG?

Afkorting AVG dat staat voor…?

De AVG | Algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Oorspronkelijk gepubliceerd op 27 April 2016. Van toepassing vanaf 25 mei 2018! In deze AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. (Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp)).

In het kort: De Algemene Verordening Gegevensbescherming is vastgesteld om natuurlijke personen te beschermen bij het verwerken van persoonsgegevens en om het vrije verkeer van persoonsgegevens te waarborgen (AVG / artikel 1, 2 en 3).

Wat zijn nu persoonsgegevens?

Lees hier wat er precies wordt bedoeld met “persoonsgegevens

De verwerking zelf is geregeld in artikel 2, eerste lid: “Volledig en gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgeslagen in een bestandssysteem of bestemd zijn om in een bestandssysteem te worden opgeslagen”.

(Dit suggereert nu dat de klassieke dossiers (bedrukt papier) hiervan uitgesloten zijn. Helaas is dat niet het geval.)

Dit zou in wezen duidelijk maken wat er op het spel staat, maar op wie heeft dit precies betrekking? Misschien is het makkelijker om te omschrijven voor wie het niet geldt:

  • Activiteiten die niet binnen het kader van de Unie vallen
  • Activiteiten van natuurlijke personen om uitsluitend persoonlijke of familiale activiteiten te verrichten
  • Autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of handhaving, met inbegrip van de bescherming tegen en het afwenden van bedreigingen voor de openbare veiligheid.

Concreet betekent dit dat strikte naleving van de AVG gevolgen heeft voor bedrijven, gemeenten, organisaties, commerciële personen, artsen en zelfs verenigingen.

Bijzondere categorieën “Persoonsgegevens”

Bijzonders streng zijn de voorschriften voor het hanteren van gegevens volgens AVG-artikel 9: het gaat daar specifiek om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt, evenals de verwerking van genetische of biometrische gegevens, gezondheidsgegevens of gegevens over het seksleven of seksuele geaardheid).  Bedenk: als werkgever met werknemers, worden sommige van deze gegevenscategorieën in de verwerkingen toegepast.

Naar mijn mening zou elk bedrijf dat loongegevens en dergelijke beheert en verwerkt, gewoon moeten doen wat hen aan de “veilige kant” plaatst: een externe functionaris voor gegevensbescherming inschakelen om de vereisten (inclusief AVG-artikel 9) te controleren en uit te voeren. (Voor kleine bedrijven hoeft dit niet echt duur te zijn.)

Ik mijn volgende blog ga ik in op de vraag wie er nu een FG daadwerkelijk nodig heeft…

Verdere informatie kunt u vinden op de site van de Autoriteit Persoonsgegevens.

• Wat is het verschil tussen een wet en een verordening? Lees hier verder.

Geplaatst op

023 / Dropbox, Google Drive etc… daarom kan eigen initiatief gevaarlijk zijn!

Als u uw gegevens opslaat in cloudopslag zoals Google Drive, kunt u deze overal via het internet openen. Dit is ideaal voor flexibel werken in het thuiskantoor of onderweg. Voor gegevensbescherming ziet het er echter heel anders uit.

Het doel: gegevens opslaan, uitwisselen en beveiligen

Iedereen die in het thuiskantoor of onderweg werkt moet soms creatief zijn, zo lijkt het. Veel mogelijkheden die op kantoor bestaan zijn buiten het bedrijf niet beschikbaar. Als u bijvoorbeeld belangrijke gegevens wilt opslaan lijkt het opslaan op de notebook of tablet alleen niet voldoende. Wat gebeurt er bij verlies van het eindapparaat? Dan blijkt al het werk tevergeefs.

Op kantoor kunt u uw gegevens opslaan in een directory in het netwerk. Ook collega’s die met de data aan de slag moeten, kunnen daar gemakkelijk bij. Bent u echter onderweg of in het thuiskantoor, dan ontbreken deze opties soms voor opslag in het netwerk en voor gegevensuitwisseling. Regelmatige back-ups zijn ook niet zo eenvoudig centraal uit te voeren als u onderweg of in je thuiskantoor werkt.

Als het bedrijf niet de juiste ondersteuning biedt of als u de voorgestelde oplossingen voor gegevensopslag en gegevensoverdracht niet kent, wordt u snel inventief. Er zijn oplossingen zoals Google Drive of Dropbox die zich privé al hebben bewezen. Herkent u u weer? U staat hierin niet alleen – helaas vanuit het oogpunt van gegevensbescherming.

Het probleem: de zogenaamde schaduw-IT

Kiest u als gebruiker de oplossingen waarmee u data wilt opslaan en uitwisselen, dan zorgt u voor zogenaamde schaduw-IT. Dit betekent IT-oplossingen die de verantwoordelijke afdeling in het bedrijf niet heeft gecontroleerd en goedgekeurd.

Als u ongecontroleerde en operationeel niet goedgekeurde oplossingen gebruikt, kunnen risico’s voor de data, die niet bekend zijn bij de IT-afdeling, in het bedrijf worden aangesloten. En daarom kunnen deze risico’s niet worden afgewend met de benodigde IT-beveiligingsoplossingen. Dit is vooral het geval bij cloudopslag, waar iedereen snel, gemakkelijk en meestal gratis gebruik van kan maken.

De dringende aanbeveling: neem a.u.b. geen initiatief in gegevensopslag

Normaal gesproken is elk bedrijf blij met het initiatief van de medewerkers. Maar als het om databeveiliging en data protectiecompliance gaat, is het niet goed en ook niet wenselijk om zelf naar oplossingen te zoeken.

Operationele gegevens mogen alleen worden opgeslagen en uitgewisseld in oplossingen die zijn goedgekeurd door het bedrijf. Anders kunnen de gegevens in gevaar komen omdat de beveiliging van oplossingen voor privédoeleinden niet voldoet aan de hoge eisen van een bedrijf. Daarnaast kan het, zeker bij cloudopslag, voorkomen dat de persoonsgegevens worden doorgegeven aan een land dat niet simpelweg het noodzakelijke niveau van gegevensbescherming biedt.

Gebruik daarom alleen bedrijfsgoedgekeurde applicaties, ook in het thuiskantoor en onderweg! Als je de oplossing niet weet, vraag het dan.