Waarom jij ook op de hoogte moet zijn van privacywetgeving!

AVG Privacy

Niet alleen de ICT afdeling moet kennis hebben van de AVG, maar iedereen die in aanraking komt met persoonsgegevens.

Nu heeft iedere zichzelf respecterende organisatie dit op de agenda staan en zijn het vaak ict-afdelingen en juridische afdelingen die worden ingelicht/opgeleid. Maar hoe zit het met andere medewerkers? Degenen die uiteindelijk deze informatie verwerken? Jij of je collega’s op het secretariaat bijvoorbeeld. Een secretaresse kan bijvoorbeeld de signalerende rol vervullen. De meeste mails met persoonsgegevens komen immers binnen op het secretariaat.

Jouw eigen privacy

Privé lijken we steeds minder om onze privacy te geven en zijn we gewend om risico’s te lopen. We WhatsAppen, Facebooken en delen van alles en nog wat op Instagram met de rest van de wereld. Bedenk echter voordat je zo’n ‘gratis’ product gebruikt als Whatsapp of Facebook: Neem ik een product af? Of zijn mijn gegevens het product?”.
Gratis betekent in dit geval al lang niet meer gratis. Voor niets gaat immers alleen de zon op… Je betaalt in feite met je gegevens. We lijken hier nauwelijks nog bij stil te staan ondanks alle aandacht hiervoor in de media. Kennelijk zijn de producten zo interessant dat we het bijhouden van onze persoonlijke data voor lief nemen. Maar de impact kan aanzienlijk zijn. Met als ergste variant: identiteitsdiefstal. Als anderen bijvoorbeeld een huurcontract of telefooncontract afsluiten op jouw naam.

Internet of things

En de hoeveelheid data die gevolgd kan worden neemt alleen maar toe door the internet of things: slimme en handige gadgets voor in en om het huis. En die hebben allemaal wifi nodig; de deurbel, de slimme thermostaat, beveiligingscamera’s, een horloge of een stappenteller die via je telefoon verbinding legt met internet. Op al die apparaten staat privacygevoelige informatie. Maar vervelender is dat de beveiliging van die producten vaak veel te wensen over laat. Veelal zijn ze matig of niet beveiligd, maar dat is door de consument vaak niet te controleren. En dat is iets wat je eigenlijk niet zou moeten accepteren. Maar ook hier gaan we de risico’s uit de weg onder het mom van “dat gebeurt mij toch niet…”.

AVG Wetgeving

We zijn dus van huis uit gewend om risico’s te nemen – en ze (makkelijk) weg te wuiven. Jij bepaalt zelf in je persoonlijke leven hoe zorgvuldig of onzorgvuldig je bent. Het gaat immers om jouw eigen persoonsgegevens die op straat komen te liggen. Naast je eigen verantwoordelijkheid kunnen je gegevens ook gestolen worden via een virus zijn dat je per ongeluk binnenhaalt op je telefoon, tablet of computer. Dat je virusscanner up to date moet zijn valt dus ook onder jouw eigen verantwoordelijkheid.

Maar zakelijk gezien ben je bezig met de persoonsinformatie van anderen en daar bestaat wetgeving voor. Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) gehandhaafd. De boetes kunnen oplopen tot in de miljoenen en dus is het zaak je aan de wet te houden. Eén van de maatregelen die jij kunt nemen is het minimaliseren van privacyrisico’s. Dit doe je door verstandig om te gaan met gegevens en kritisch te kijken naar zaken als binnenkomende mail en je huidige werkwijze.

Gegevensbescherming en vernietiging

Waar sla je bijvoorbeeld een binnengekomen mail met persoonsgegevens op? Als het secretariaat de mail doorstuurt naar een collega en vervolgens de originele mail naar een mapje in Outlook sleept, heb je al 2 locaties waar deze persoonsgegevens staan. Dan hebben we het nog niet over meerdere collega’s die dezelfde mail hebben behandeld en misschien zelfs geprint of in de cloud hebben opgeslagen. Persoonsgegevens mogen volgens de AVG maar beperkt worden bewaard en moeten na die termijn vernietigd worden. Met deze werkwijze moet je heel wat locaties af om de gegevens te verwijderen. Dat moet dus anders en daar zal binnen de organisatie over overlegd en beslist moeten worden.

Datalekken

Naast de AVG is er in Nederland nog een wet waar je rekening mee moet houden: de Meldplicht Datalekken. Het is ons allemaal wel een keer (of meerdere keren) gebeurt dat je een mail hebt opgesteld en bij AAN de naam van de ontvanger begint te typen en je het voorgestelde mailadres in Outlook accepteert en op de knop verzenden klikt. En net als je geklikt hebt, realiseer je je dat het voorgestelde adres niet van de juiste persoon is…

Wist je dat een verkeerd verstuurde e-mail al een datalek kan zijn? Uiteraard afhankelijk van wat er precies in staat, maar als er al een (persoonlijk) mailadres van bijvoorbeeld een klant in staat, dan heb je dat nu gelekt. Moet je dit nu gaan melden bij de Autoriteit Persoonsgegevens? En zo ja, wie moet dat dan doen binnen de organisatie? Allemaal vragen waar je nu als organisatie, maar ook als medewerker, echt een antwoord op moet hebben.

Maak beleid en instrueer medewerkers

Nu de AVG gehandhaafd gaat worden en er flinke boetes op de loer liggen is het dus zaak dat je als organisatie alle zaken omtrent privacywetgeving op orde hebt. En dat begint met het opstellen van beleid (waar slaan we bestanden op, wie signaleert, wie vernietigd, wie doet de meldingen). Daarnaast moeten alle medewerkers van de nieuwe spelregels worden doordrongen. En dat kan op een aantal manieren.

AVK heeft naast de Security Awareness Training ook de eLearning Digitaal Veilig Werken ontwikkeld die beiden geschikt zijn om medewerkers volledig te informeren over online gevaren en risico’s, alsook omgaan met de AVG en de meldplicht.

Kom je daar wegens tijdsgebrek niet aan toe, dan kun je ook onze 2 minuten leren methode gebruiken. Hierbij ontvang je om de dag een korte video met praktijkvoorbeelden en handige tips en tricks over de AVG. Op die manier leer je steeds een klein beetje bij en blijft de opgedane kennis veel beter hangen!