Waarom u uw AVG compliance op orde moeten hebben

In mei is de Algemene Verordening Gegevensbescherming (AVG) twee jaar van kracht. De meeste bedrijven weten inmiddels dat zij rekening moeten houden met de privacy van bijvoorbeeld (potentiële) klanten en hun eigen werknemers. Hoe er binnen het bedrijf concreet met de AVG moet worden omgegaan is echter vaak onduidelijk. Onjuiste omgang met persoonsgegevens leveren een risico op voor uw bedrijf. Er komen namelijk steeds meer klachten binnen bij de Autoriteit Persoonsgegevens. Daarnaast bestaat het risico dat u slachtoffer wordt van internetcriminelen die persoonsgegevens buitmaken, zoals recentelijk gebeurde bij de Universiteit Maastricht. In beide gevallen kunt u claims verwachten van bijvoorbeeld (voormalige) werknemers. Om dat te voorkomen is het belangrijk dat u aan de AVG voldoet en ook uw beveiliging goed op orde hebt.

Welke gegevens worden door de AVG beschermd?

De AVG draait kort gezegd om het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een bepaald persoon. Het gaat hier bijvoorbeeld om namen en telefoonnummers van klanten die staan opgeslagen in uw administratie. Daarnaast verwerkt u ook natuurlijk ook gegevens van uw eigen medewerkers en mensen die bij u komen solliciteren, zoals adres, bankrekeningnummer of een CV. Uw bedrijf verwerkt waarschijnlijk ook bijzondere persoonsgegevens. Daarbij kunt u denken aan het BSN nummer of foto’s van uw medewerkers. Dit soort gevoelige gegevens worden door de AVG extra goed beschermd.

Het personeelsdossier

Veel ondernemers komen tijd tekort om het personeelsdossier, met daarin de gegevens van de werknemers en sollicitanten, goed bij te houden. Daardoor kan het gebeuren dat er nog oude gegevens van ex-werknemers in het dossier zitten. De (voormalige) werknemer heeft het recht om deze gegevens in te zien en hij mag ook verzoeken om deze gegevens na einde van het dienstverband te laten verwijderen. Soms blijken er ook gegevens in het personeelsdossier te zitten die hier helemaal niet thuishoren: denk aan informatie over gezondheidsklachten van de werknemer, medicijngebruik of persoonlijke problemen. Als u dat soort gegevens in het personeelsdossier heeft, raden wij u aan om dit zo snel mogelijk te verwijderen, ook als uw werknemer die informatie zelf heeft verstrekt. Na het einde van het dienstverband mag u veel gegevens van werknemers slechts 2 jaar bewaren. Gegevens van sollicitanten moet u in principe binnen 4 weken na de sollicitatieprocedure wissen.  

Wat zijn de gevolgen van een schending van de AVG?

Als u niet voldoet aan de regels van de AVG dan is dat een risico voor uw bedrijf. (Voormalige) werknemers kunnen een klacht indienen bij de Autoriteit Persoonsgegevens en dan riskeert u een boete. Mensen zijn inmiddels goed op de hoogte van hun rechten en klagen gebeurt dan ook steeds vaker. Als u niet voldoet aan de AVG dan kunnen (voormalige) medewerkers ook naar de rechter stappen en schadevergoeding eisen. Indien u de controle verliest over persoonsgegevens dan kan de rechter al snel een schadevergoeding toewijzen van enkele honderden euro’s, zo blijkt uit twee uitspraken uit eind 2019.

Onlangs werd de Universiteit Maastricht bijvoorbeeld slachtoffer van ransomware waarbij de gegevens van vele duizenden mensen gestolen kunnen zijn. Onderzoek moet nog uitwijzen of dat ook daadwerkelijk is gebeurd. Als blijkt dat de beveiliging niet op orde was dan kan de Universiteit Maastricht hoge boetes en schadeclaims verwachten. Niet alleen grote organisaties, maar ook het MKB wordt steeds vaker slachtoffer van cyberaanvallen en ransomware. Wanneer dit bij uw bedrijf gebeurt moeten er vaak hoge bedragen aan losgeld worden betaald om uw computersysteem weer vrij te geven. Als er daarnaast ook nog persoonsgegevens zijn buitgemaakt dan kunnen (voormalige) medewerkers naar de rechter stappen. U bent dan dubbel slachtoffer: naast het betalen van losgeld kunt u dan ook nog rekenen op een schadevergoeding van enkele honderden euro’s per persoon.

Hoe kunt u claims voorkomen en voldoen aan de AVG?

Een belangrijk punt is dat de beveiliging van uw bedrijfssystemen goed op orde moet zijn. Zo geeft u internetcriminelen geen kans. Wanneer er toch persoonsgegevens lekken of gestolen worden, dan moet u dat ook registeren en vastleggen welke actie u onderneemt. In ernstige gevallen heet dit een datalek en dat moet binnen 72 uur gemeld worden aan de Autoriteit. In het kader van de AVG moet u ook een verwerkingsregister opstellen waarin u bijhoudt welke gegevens u verwerkt. Als dat eenmaal duidelijk is moet u de betrokken personen daarover informeren via het privacy beleid en de privacy verklaring. Daarin moet u de betrokken personen ook wijzen op hun rechten, zoals inzage in de informatie en het indienen van een klacht over de verwerking door uw bedrijf.

Masterclasses Privacy voor het MKB

Bent u nog steeds niet begonnen of klaar met de AVG implementatie? Of wilt u meer weten over Privacy ten opzichte van uw werknemers? Kom dan naar onze Masterclass AVG management aankomende 6 februari of onze Masterclass Privacy en werknemers aankomende 9 april 2020.

Masterclass AVG management 6 februari 2020:
Meer informatie en aanmelden.

Masterclass Privacy en werknemers 9 april 2020
Meer informatie en aanmelden.

Bring Your Own Device en de juridische (privacy) regels

Bring Your Own Device (breng uw eigen apparatuur mee), oftewel BYOD. Een term die al langer bestaat maar tegenwoordig gebruikelijk is op de werkvloer als het gaat om het meenemen van privé-apparatuur, zoals een laptop, tablet of smartphone, die worden gebruikt om werktaken uit te voeren. Met de opkomst van de clouddiensten en webbased systemen (denk aan een online time-tracking of taken systeem, CRM-systeem, wordt BYOD steeds logischer. BYOD valt daarom niet meer weg te denken uit het bedrijfsleven en lopen werk en privé gemakkelijker in elkaar over.

Wat zijn de voor- en nadelen van BYOD?

Kostenbesparing en voorkeursvrijheid

Voor werkgevers geldt natuurlijk het voordeel dat het een kostenbesparing met zich meebrengt. Er hoeft geen apparatuur meer voor de werknemer aangeschaft te worden. Voor de werknemer geldt dat deze keuzevrijheid heeft en het apparaat kan aanschaffen waarmee zij het beste kunnen omgaan.

Plicht en onkostenvergoeding BYOD?

Als werkgever ben je niet verplicht om onkostenvergoeding te betalen voor het gebruik van eigen apparatuur. Daarentegen kan de werknemer ook niet verplicht worden om zijn eigen apparatuur te gebruiken of aan te schaffen voor de uitvoering van zijn werkzaamheden. Als de werknemer weigert dan is de werkgever verplicht om een alternatief aan te bieden of te accepteren dat werknemer niet werkt met de systemen en mobiele apparatuur. Binnen organisaties waarin veel gebruik wordt gemaakt van BYOD zie je toch wel dat de werknemer een maandelijkse onkostenvergoeding krijgt voor het gebruik van zijn eigen apparatuur. Dit dekt de gebruikskosten zoals onderhouds- en vervangingskosten, reparatie en abonnementskosten. In sommige gevallen krijgt de werknemer een budget voor de aanschaf van bijvoorbeeld een telefoon of laptop.

Botsende appratuur en systemen

Het nadeel van een BYOD beleid is dat de meeste ICT-afdelingen binnen organisaties een hekel hebben aan BYOD omdat er een versprokkeling ontstaat van verschillende apparaten en systemen. Mocht ergens iets misgaan dan is het vaak lastig om te achterhalen waar de fout zit en tevens moet de helpdesk ook beschikken over kennis van de verschillende apparaten en systemen.

Beveiligingsrisico

Een ander nadeel van BYOD is het beveiligingsrisico van het zakelijk gebruik van privé apparatuur. Onbevoegden kunnen hierdoor veel gemakkelijker bij de zakelijke gegevens komen.

Verder is er door de werkgever geen goede controle mogelijk op de software, antivirus, firewalls op de apparatuur die de werknemer gebruikt. Ook dat brengt wel beveiligingsrisico’s met zich mee dat onbevoegden bij de zakelijke en vertrouwelijke gegevens kunnen.

Aansprakelijkheid

Een ander nadeel is dat gezien de bijzondere relatie tussen werknemer-werkgever, de werkgever aansprakelijk is voor de schade die de werknemer krijgt aan zijn apparatuur bij uitvoering van zijn werkzaamheden.

Overigens moet er wel sprake zijn van schade die valt binnen de uitvoering van de arbeidsovereenkomst. Wanneer de werknemer een virus binnenhaalt op zijn mobiele telefoon bij het lezen van zijn werkmail is de werkgever voor eventuele gevolgen aansprakelijk. Aan de andere kant, wanneer de werknemer datzelfde virus binnenhaalt via het openen van een Facebook bericht (waarbij we ervan uit gaan dat Facebook alleen voor privédoeleinden wordt gebruikt) is de werkgever niet aansprakelijk voor de gevolgen. Het is echter vaak lastig om dat allemaal te achterhalen.

Scheiding werk en privé

Met name door de hoge toename van smartphones dreigt de grens tussen werk en privé te vervagen en dat levert ook nadelen op. Het is immers gemakkelijker om in je vrije tijd gestoord te worden door werkgerelateerde zaken.  Denk aan het ontvangen van emails laat in de avond en nog even in het weekend werken. Op deze manier wordt de vrije tijd van de werknemer makkelijk in beslag genomen door werk en vergoot de kans op uitval (bijvoorbeeld overspannenheid). Er is echter wetgeving in behandeling die deze risico’s gaat inperken.

Privacy en BYOD

Als bedrijf ben je onder de AVG verplicht om passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens. Zo ook ten opzichte van het gebruik van eigen apparatuur en de (zakelijke) persoonsgegevens die de werknemers verwerken op hun eigen apparatuur. Het gaat dan o.a. om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens. Hoe kunt u als werkgever hier in de praktijk het beste mee omgaan?

1. Stel een BYOD protocol op

Stel altijd een intern privacy beleid op waarin u uw werknemers instrueert en informeert over hoe u omgaat met hun gegevens en hoe zij moeten omgaan met de persoonsgegevens van anderen zoals klanten, collega’s, etc. Voeg daar ook een apart BYOD protocol bij als bijlage omdat dit specifiek ziet op het gebruik van eigen apparatuur. Hierin kunnen beveiligingsvoorwaarden gesteld worden aan het gebruik zoals dat de apparatuur voorzien moet zijn van toegangsbeveiliging, een virusscanner, firewall, gps-systeem, etc. Verder kunnen hier praktische regels in worden opgenomen, zoals het verbod tot opslaan van bedrijfsgegevens op de harde schijf van een computer, de telefoon, de tablet, over het gebruik van wachtwoorden, (onrechtmatige) toegang en gebruik door derden en eventuele sancties.

2. Train het personeel!

Naast het hebben van een intern privacy beleid met de nodige protocollen zoals het HR protocol, rechten van betrokkenen protocol en het datalek protocol is dus het BYOD-protocol van belang. In plaats van te verwachten dat uw personeel deze protocollen allemaal doorleest, is het inplannen van een trainingsmoment een veel praktischer instrument. Dit creëert bewustwording waardoor de risico’s op een inbreuk flink worden beperkt.

Heeft u een template BYOD-protocol of een pragmatische privacy awareness training nodig dan kunt u bij ons terecht voor deze producten voor een vaste prijs.

Mail dan naar info@thelegalprivacycompany.com

Wilt u als HR afdeling of als HR manager in zijn algemeenheid meer weten over privacy en werknemers? Wij organiseren 10 oktober 2019 de Masterclass Privacy en werknemers.  Wij verzorgen deze training ook op locatie. Mocht u hier interesse in hebben mail dan naar: info@thelegalprivacycompany.com.  

Persbericht: MKB kennis AVG ‘redelijk voldoende’, maar nu nog doorpakken in de praktijk

Amstelveen, 24 mei 2018 – 9 van de 10 MKB-ondernemers weet dat alleen al het opslaan van persoonsgegevens betekent dat de onderneming persoonsgegevens verwerkt. En dat de AVG (Algemene Verordening Gegevensbescherming) meer omvat dan enkel het beveiligen van persoonsgegevens. Maar in de praktijk gaat het nog vaak mis: slechts 20% van de bedrijven geeft aan dat zij een data-lek protocol hebben. Ook heeft slechts 15% privacy awareness trainingen voor het personeel georganiseerd – dé manier om het personeel te instrueren over de risico’s bij de beveiliging en waarborging van persoonsgegevens.

 

Dat blijkt uit de ‘AVG Zelfkennis en Voorbereidingstest’ die MKB privacy expert TLPC (The Legal Privacy Company) in samenwerking met branche organisaties, waaronder MKB Belangen, Accountancy Vanmorgen, Clean Totaal, Meer Business en lokale MKB partijen zoals de Amstelveens Ondernemersvereniging, in de afgelopen twee weken uitvoerde. MKB-ondernemers deden massaal mee met 2500 deelnemers. In de test werd onderscheid gemaakt tussen kennis en praktijk. Vanaf 25 mei a.s. moeten bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

 

MKB privacy pilot

Vergelijkbare ervaringen blijken uit een pilot met vier MKB-bedrijven in de afgelopen maanden en een beta-versie van een door TLPC ontwikkeld digitaal privacy portaal dat op 25 mei a.s. live zal gaan.

Gebleken is dat de combinatie van praktische begeleiding door een privacy expert, samen met een digitale tool met de benodigde functionaliteiten om privacy proof te worden en te blijven bij het MKB het beste werkt.

 

Doorpakken in de praktijk

Mr. Hella Vercammen, directeur TLPC en CIPP/E gecertificeerd privacy jurist legt uit: “Ondanks vele berichten dat het MKB bedrijfsleven niet klaar is voor de AVG en de focus op boetes bij het in gebreke zijn, zien wij een positief beeld. Alhoewel men de zaak complex vindt en tegen de uitvoering aanhikt, begrijpt het MKB heel goed dat ze de AVG en de rol van privacy serieus moeten nemen. Wij zien inmiddels dat bij een belangrijk deel van het MKB de kennis én de wil aanwezig is, maar het schort nog bij het doorpakken in de praktijk. Toch kan een MKB ondernemer met enige hulp en een aantal tools, redelijk snel en tegen relatief geringe kosten privacy verantwoord ondernemen. Daarmee worden uiteindelijk boetes en het mislopen van opdrachten voorkomen, maar men kan hieruit ook een USP creëren. Ook kan dit een rol spelen bij de verkoop van een onderneming”.

 

Fonville schoonmaakbedrijven

Marcel Mink van Fonville Schoonmaakbedrijven BV: “Wij waren met dit voor ons belangrijke onderwerp bezig omdat we met 1800 mensen werken en dus veel persoonsgegevens hebben. De combinatie van een privacy masterclass, een nulmeting en een speciaal software tool van TLPC hebben ons daarbij heel goed geholpen. We hebben hierdoor zelf de benodigde documentatie kunnen opstellen en het is met één privacy dashboard veel overzichtelijker geworden. De implementatie en het management van de AVG is daarmee een stuk duidelijker en behapbaar geworden.”

 

‘Lichte onvoldoende’

Uit de AVG test bleek verder dat kennisvragen bij 64% van de deelnemers een voldoende opleverde, maar dat bij praktijkvragen laag werd gescoord (30%). Hier valt uit op te maken dat MKB-ondernemers wel over kennis van de AVG beschikken, maar dat men met de toepassing in de praktijk minder ver is. De gemiddelde score was een ‘lichte onvoldoende’. Bij de kennisvragen bleek dat, naast de eerder genoemde  positieve resultaten, vooral de ‘meldplicht datalekken’ het slechtst scorende onderwerp. Dat is opvallend omdat de meldplicht datalekken al op 1 januari 2016 is ingegaan. Wat in de praktijk beter gaat is het uitvoeren van een data-inventarisatie waarmee inzicht wordt verschaft in welke persoonsgegevens de onderneming verwerkt, op welke wijze en of dat ook rechtmatig is. Ook bleek de instructie over hoe om te gaan met de veiligheid van persoonsgegevens van anderen op de werkplek redelijk op orde te zijn via bijvoorbeeld clean desk policies.

 

Invoering AVG

Vanaf 25 mei 2018 dient het bedrijfsleven, waaronder het MKB,  te voldoen aan de Europese privacy wetgeving via de AVG (Algemene Verordening Gegevensbescherming). Op naleving van de AVG wordt toegezien door toezichthouder Autoriteit Persoonsgegevens (AP). Onder de nieuwe regelgeving heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel en met de juiste wettelijke grondslag. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

 

The Legal Privacy Company

The Legal Privacy Company (TLPC) in Amstelveen is een Europees gecertificeerd privacy expert kantoor gericht op het ‘privacy proof’ maken van het Nederlandse MKB. TLPC – en haar team van privacy juristen en consultants – wil met de juiste juridische privacy producten en oplossingen, zoals haar privacy portaal (theprivacyportal.com) ervoor zorgen dat MKB ondernemingen kunnen voldoen aan de complexe privacy wetgeving en privacy verantwoord kunnen ondernemen. Het kantoor is in 2003 opgericht om als juridische afdeling te fungeren voor MKB-ondernemingen (zonder eigen juristen) en dat praktisch en betaalbaar te maken.