26 May 2020
blog

Thuiswerken en de Algemene Verordening Gegevensbescherming (AVG)

Blog

Als gevolg van de corona(maatregelen) werken er op dit moment meer werknemers thuis dan voorheen. Op grond van artikel 32 AVG dienen zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Werkgevers dienen maatregelen te treffen om ervoor te zorgen dat het thuiswerken van hun medewerkers geen verzwakking van de beveiliging van de persoonsgegevens tot gevolg heeft.

Wat kan een werkgever concreet doen om ervoor te zorgen dat er veilig thuis kan worden gewerkt? Hier onder enkele tips.

  • Zorg ervoor dat medewerkers zo veel mogelijk kunnen werken op de server van de organisatie. Laat stukken die relevant zijn voor de thuiswerkende medewerker opslaan op de server, en laat de papieren dossiers en (versleutelde) USB-sticks zo veel mogelijk op kantoor.
  • Indien het noodzakelijk is om te videobellen, dan verdient het de voorkeur om gebruik te maken van een beveiligde optie die ter beschikking wordt gesteld door de organisatie zelf. Is die optie er niet, controleer dan welke videobel-app geschikt en veilig is en schrijf die optie voor aan de thuiswerkende werknemers. De Autoriteit Persoonsgegevens (AP) heeft diverse apps onderzocht. Dit heeft de AP uitsluitend gedaan op basis van wat bedrijven zelf zeggen over hun videobel-apps. Een uitgebreid onderzoek naar de veiligheid van de videobel-apps is niet gedaan. Zie voor de constateringen van de AP: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/keuzehulp_privacy_videobellen.pdf
  • Indien uw organisatie een zorginstelling is, houdt dan rekening met de tips voor het videobellen van NEN, KNMG en LVVP .
  • Zorg ervoor dat er, voor zover dat niet noodzakelijk is, geen gevoelige persoonsgegevens worden besproken via een videobel-app. Omdat er geen uitgebreid onderzoek is gedaan naar de veiligheid van die apps, kan er niet vanuit worden gegaan dat de apps voldoende beveiliging bieden. Refereer, voor zover dat mogelijk is, naar personen door te verwijzen naar een nummer, een agendapunt of een ander pseudoniem.
  • Zorg ervoor dat er (vooraf) toestemming wordt gevraagd voor het videobellen aan de persoon met wie er wordt gecommuniceerd en zorg ervoor dat die persoon op de risico’s wordt gewezen van deze vorm van communiceren.
  • Let op phishingmails en wijs werknemers er op dat er (meer) phishingmails circuleren. Een bekend voorbeeld daarvan is een mail met gebruik van de gegevens van de directeur van het bedrijf met het verzoek om met spoed een betaling aan een derde te verrichten.
  • Vraag bij werknemers (nog eens) extra aandacht voor het datalekprotocol van de organisatie. In dat protocol wordt beschreven wat een datalek is en hoe er in het geval van een datalek gehandeld dient te worden. Als gevolg van het vele thuiswerken is er minder rechtstreeks contact met en tussen werknemers, waardoor er een groter risico bestaat dat er een datalek plaatsvindt zonder dat dit wordt opgemerkt. Van een datalek kan bijvoorbeeld sprake zijn in geval van de verzending van een e-mail naar een verkeerde ontvanger.
  • Stel, rekening houdende met het voorgaande, richtlijnen op voor thuiswerkende werknemers. Laat die richtlijnen circuleren en plaats ze (indien mogelijk) op intranet. Neem in deze richtlijnen ook praktische tips op. Daarbij kan worden gedacht aan de tip om thuis een clean desk beleid te hanteren. Dit voorkomt dat huisgenoten en bezoekers kennis kunnen nemen van vertrouwelijke informatie.

Dat er wordt thuisgewerkt hoeft niet te betekenen dat de persoonsgegevens die worden verwerkt door uw organisatie minder goed worden beveiligd. Het is wel noodzakelijk om passende maatregelen te nemen om de beveiliging te waarborgen.

Keywords

Autoriteit persoonsgegevens
Datalekprotocol
Phishing
Privacyrecht
Videobellen

Auteur(s)