AVG = Absoluut Veel Gebeurd

AVG

De AVG is ruim 1 jaar geleden doorgevoerd maar ben jij als medewerker ook echt op de hoogte van wat wel en niet mag?

Oké, de taart is op, en het kaarsje voor de eerste verjaardag van de AVG is uitgeblazen. Nou, veel organisaties gingen ook even uitblazen! Tjee wat een hoop e-mails met verwerkingsovereenkomsten en vragen over of ze je gegevens mochten houden en gebruiken… Goed, die inbox is weer leeg, iedereen weer aan het werk.

Ook in jouw organisatie zijn diverse maatregelen getroffen om de privacy van ons allen te waarborgen. Wat ik echter merk is dat de bewustwording van de AVG bij medewerkers wat minder tot niet aan de orde is gekomen… het gedrag van jou en je collega’s verandert echter niet met een papieren beleidsstuk waarin is opgenomen hoe de organisatie omgaat met het verwerken van gegevens.

Wist je dat er in 2018 maar liefst 11.000 klachten zijn binnengekomen bij de Autoriteit Persoonsgegevens? Deze gingen vooral over de schending van privacyrechten, zoals het recht op inzage. In 2019 zijn er tot 1 mei al 9.000 klachten binnengekomen… Veel van deze klachten hadden voorkomen kunnen worden als de medewerkers die dagelijks persoonsgegevens onder ogen krijgen, beter op de hoogte waren van de nieuwe spelregels.

De meesten van ons zijn zich wel bewust van de AVG maar hoe die nu in te passen in hun dagelijkse werk? Daar worstelen er nog veel mee. Velen ervaren het als lastig of hebben niet in de gaten dat bepaalde handelingen in strijd zijn met het AVG beleid van hun eigen organisatie. En dat is ook lastig want je bent onwijs druk met je werk en er is te weinig tijd om je echt te verdiepen in alle regelgeving. En dan heb ik het nog niet eens over hoe lastig het is om bestaande patronen en procedures te doorbreken…

Een paar voorbeelden:

Hoe ga je om met e-mails die persoonsgegevens bevatten?

Stel: Er is een sollicitatieprocedure opgestart. Eindelijk extra handjes! Oké, nu wel even meer werk maar dat mag de pret niet drukken. De cv’s stromen je inbox binnen, daar zit jouw toekomstige collega tussen. Hé…die sollicitant kennen we toch? Even doorsturen naar mijn collega wat zij er van vindt. De sollicitatiemail verplaats je naar het mapje “sollicitaties” en weer verder. Nu blijkt ineens dat deze cv al in 3 mappen staat…3? Ja, in je eigen mailbox in de map sollicitaties, in je verzonden items en bij je collega in haar inbox of de map verwijderde items (of heeft zij de mail ook nog doorgestuurd??).

Zoals hierboven geschreven heeft HR wellicht een verwerkingsregister. Hierin staat beschreven hoe jullie als organisatie met deze gegevens omgaan….en daar staat niet in dat het mailtje op minimaal 3 plekken moet staan, maar ja dat wist jij niet…jij deed gewoon je werk. Onbewust staan er nu zeer persoonlijke gegevens op verschillende plekken, waar ze straks allemaal verwijderd moeten worden. De vraag is alleen of alle locaties nog te achterhalen zijn door degene die ze moet verwijderen.

De Autoriteit Persoonsgegevens (AP) zegt hier over: Heeft een sollicitant de functie niet gekregen? Dan is het gebruikelijk dat de organisatie zijn gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijdert. Succes!

Mag je nog wel persoonlijke dingen vragen aan je collega’s?

Stel: Je hebt een zieke collega. Volgens de richtlijnen van de AVG mag bijvoorbeeld de bedrijfsarts niet meer met de organisatie communiceren over de aard van de ziekte. En eigenlijk mag jij als directe collega daar ook niet bij je collega naar vragen (tenzij dat in de privé sfeer gebeurt). Oh en Andres, mag je eigenlijk wel een kaartje rond doen op kantoor? Dat iedereen er iets leuks op zet, of een bloemetje sturen? Dit zijn praktijkvoorbeelden waar iedereen wel eens mee te maken krijgt maar waarvan bijna niemand op de werkvloer weet hoe het nu precies zit.

Hoe voorkom je dat ‘derden’ bij je gegevens kunnen?

Er is veel gebeurd aan de technische kant binnen organisaties, heel veel. Natuurlijk heb je wel gemerkt dat er wat dingetjes veranderd zijn… Misschien moet je nu wel met 2 codes inloggen, de zogenaamde 2 factor authenticatie? Wellicht vind je dat vooral irritant maar het is bedoeld om de persoonsgegevens van anderen beter te beschermen. Tegen een hackerscollectief kun je uiteraard niet op, maar jouw inbox en documenten zijn nu wel een stuk beter beveiligd.

En wat is nu eigenlijk slimmer…documenten delen of mailen? Als ik ga delen met een collega, hoelang kan hij of zij dan bij het bestand? En wie kan het bestand nog meer zien als die collega de link naar het bestand weer doorgeeft aan een ander? Weet je….ik mail het document wel gewoon. Maar dan ben je het dus wel uit het oog verloren en is niet meer te achterhalen hoeveel kopieën er rondzwerven. Tijd om duidelijke afspraken te maken en medewerkers te trainen in een andere manier van werken want alleen dan kun je gewend gedrag veranderen.

Hoe herken je phisingmails?

Je kunt in het kader van de AVG wel alles dubbel beveiligen maar als je vervolgens klikt op een link in een mailtje waar een malafide URL achter zit heeft dat niet zoveel nut… Ook dit blijkt nog voor veel medewerkers lastigte zijn. Want wat is dat nu eigenlijk; veilig digitaal werken? Wat is Phishing en Spoofen? Hoe kan je het voorkomen en herkennen? We weten allemaal inmiddels wel dat een bank je nooit om je pincode vraagt via de mail en ook dat je beter niet die 500 euro kunt overmaken om beschikking te kunnen krijgen over die buitenlandse erfenis van een paar miljoen.

Tip! Veel mensen weten ondertussen wel dat je op je pc of laptop met je muis kan “zweven” boven een link…je zal dan het adres zien, waar je naar toe geleid wordt (de daadwerkelijke URL). Hoe doe je dat op je mobiel dan? Daar hebben we geen muis en kunnen we niet “zweven”. Klik de link niet aan, maar houd je vinger even iets langer op de link, het webadres komt nu onderaan je scherm tevoorschijn.

Blog AVG absoluut veel gebeurd screenshot

Hierboven zie je nu dat het lijkt alsof de link in de mail (ja naar mijn moeder) naar www.ing.nl gaat. In werkelijkheid gaat ze naar www.ikwiljegeld.nl.

Hoe herken je een datalek?

Wil je graag een keer op een ontspannen, leuke en ludieke manier de impact van de AVG duidelijk maken voor je collega’s? Geïnspireerd door de vele populaire Escape rooms hebben de trainers van AVK het spel “Ontdek het Datalek” ontwikkeld. Je gaat dan met je team in een kantoor op zoek naar  datalekken. Maar doe dit wel snel want een datalek moet direct gemeld worden anders volgt er een stevige boete!

Dit spel maakt deel uit van de Security Awareness training. In deze training zorgen we bij de “gewone” medewerker voor bewustwording van hoe je nu digitaal veilig werkt en omgaat met de AVG regelgeving.

Wil je graag eens kosteloos en snel weten wat jouw kennis is over de AVG en veilig digitaal werken? Doe de test op onze website! Ik ben benieuwd naar je score…