Zaterdag 28 januari was het weer de jaarlijkse Europese Dag van de Privacy. Helaas geen officiële feestdag, maar wel een dag om stil te staan bij zorgvuldige omgang met persoonsgegevens. Het doel van deze dag is om Europese burgers beter te informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Het privacy-team van DVAN draagt daar natuurlijk graag haar steentje aan bij met 5 privacy tips.
Tip 1: Leg de mogelijkheid tot controle van uw werknemers vast
Als werkgever heeft u de bevoegdheid uw werknemers te controleren, bijvoorbeeld door inzage in e-mailbestanden of internetverkeer. Het is een open deur, maar uiteraard moet u daarbij wel de regels van de Wbp (Wet bescherming persoonsgegevens) in acht nemen. Het recht op privacy bestaat namelijk óók op de werkvloer. Veel werkgevers vergeten vaak dat ze de werknemers vooraf moeten informeren over de mogelijkheid van een controle, onder welke voorwaarden en hoe die plaats zal vinden. Het is dus belangrijk om in een protocol, in de arbeidsvoorwaarden of in een privacyreglement de voorwaarden voor controle vast te leggen. Als u dit document heeft opgesteld, is het van belang dit goed met uw werknemers te communiceren. Voor werkgevers met een ondernemingsraad, geldt dat ze vooraf instemming moeten vragen voor het vastleggen van dergelijke controlemogelijkheden.
Tip 2: Let op bij zieke werknemers
Hoewel de laatste jaren flink wat aandacht is besteed aan het verwerken van gegevens van de zieke werknemer, gaan veel werkgevers nog steeds in de fout. Onlangs heeft de Autoriteit Persoonsgegevens een stichting een last onder dwangsom opgelegd. De stichting zou volgens de Autoriteit in strijd met de Wbp hebben gehandeld bij de registratie van ziekmelding van haar werknemers. De stichting verwerkte namelijk de aard en oorzaak van de ziekte, en zwangerschap. En zij registreerde een “ziektepercentage”, zonder tussenkomst van de bedrijfsarts. Beide verwerkingen zijn in strijd met de Wbp, aangezien deze zijn voorbehouden aan de bedrijfsarts.
Controleer in uw systemen dus goed wat u precies over uw zieke werknemers vastlegt. Leg geen gegevens vast over de aard van de ziekte of de mate van arbeidsongeschiktheid, maar laat de bedrijfsarts eventueel bepalen wat de mogelijkheden zijn.
Tip 3: Voorkom boetes en blijf alert op datalekken
In 2016 zijn 5.500 datalekken gemeld aan de Autoriteit Persoonsgegevens. De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten). De Autoriteit Persoonsgegevens heeft in tientallen gevallen diepgaand onderzoek aangekondigd. De kans dat de Autoriteit boetes op gaat leggen is groot.
De meest voorkomende datalekken zijn veroorzaakt door onbevoegde inzage in klant- of werknemersportalen en datalekken als gevolg van verloren usb-sticks of laptops vol (onversleutelde) persoonsgegevens. U kunt dit soort datalekken eenvoudig voorkomen door uw IT-beveiliging op peil te houden en te werken met deugdelijke versleutelings- of encryptie systemen.
Tip 4: Maak goede afspraken met gegevensverwerkers gevestigd buiten de EU
Doorgifte van persoonsgegevens naar een onderneming buiten de EU is alleen onder strikte voorwaarden toegestaan. Als u bijvoorbeeld gebruik maakt van een CM- of loonadministratie systeem waarvan de aanbieder buiten de EU is gevestigd, is waakzaamheid geboden. De hoofdregel is namelijk dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Buiten die gevallen is doorgifte slechts toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Veiligheid en Justitie. Als de organisatie is gevestigd in de Verenigde Staten kunt u mogelijk persoonsgegevens doorgeven op grond van het EU-VS privacy shield.
Tip 5: Bereid u voor op de nieuwe privacy-verordening
Op 25 mei 2018 wordt de algemene verordening gegevensbescherming in Europa van kracht. Deze verordening heeft grote impact op alle organisaties die persoonsgegevens verwerken. De komst van de verordening vergt van iedere onderneming een zeer scherpe blik op hun privacy beleid. De verordening stelt bijvoorbeeld kritische eisen aan de inhoud van privacy-verklaringen: deze moeten veel meer gedetailleerde informatie bevatten dan nu verplicht is. Ook bestaat de kans dat uw onderneming verplicht is een functionaris gegevensbescherming aan te stellen. Schending van de verordening kan tot forse boetes leiden.
meer informatie & contact
Mocht u vragen hebben over deze of andere privacy onderwerpen dan kunt u terecht bij het privacy team van DVAN. Zij staan u graag vrijblijvend te woord. Contactpersoon: Joost Mosselman, advocaat gespecialiseerd in ICT- & Privacyrecht. Joost is bereikbaar op nummer +31 6 43 37 61 23 of per e-mail via joost.mosselman@dvan.nl. U kunt Joost ook volgen op LinkedIn.
'data-klapper'
Wist u al dat u bij DVAN een overzichtelijk stappenplan kunt opvragen over wat te doen bij een (mogelijk) datalek?