Op 25 mei 2018 is de AVG in werking getreden. Als het goed is, heb je voor die datum nagedacht over hoe je met privacygevoelige gegevens omgaat en een beleidsplan gemaakt. Nu is het tijd om je plannen in de praktijk toe te passen en ervoor te zorgen dat ál je medewerkers voorzichtig blijven omgaan met persoonlijke data. Compliance officer Nathanja de Kruijff van Twinfield helpt je op weg met deze blog ’10 tips voor het veilig omgaan met persoonlijke data.’
Als boekhouder, accountant of ondernemer heb je veel gevoelige gegevens van je klanten (en als werkgever ook van je medewerkers). Natuurlijk ga je daar zorgvuldig mee om. Maar kleine vergissingen kunnen ervoor zorgen dat jouw data op straat komt te liggen: een datalek. Als dit binnen je bedrijf gebeurt, heb je de plicht dit te melden bij de Autoriteit Persoonsgegevens (AP).
Datalekken zijn namelijk bepaald niet ongevaarlijk. Wanneer persoonsgegevens in de verkeerde handen vallen, kunnen ze worden gebruikt voor allerlei soorten van fraude en oplichting. Zelfs met gegevens als namen, adressen en telefoonnummers kan kwaad worden aangericht, laat staan wat er kan gebeuren met bijvoorbeeld kopieën van identiteitsbewijzen of de belastingaangiftes van je klanten.
Privacy: opslaan van persoonsgegevens
De AVG zorgt ervoor dat mensen meer rechten kunnen uitoefenen om hun persoonsgegevens te beschermen. Als een klant dat wil, moet je hem precies kunnen vertellen wat voor persoonsgegevens je van hem opslaat en hoe lang je deze bewaart. In bepaalde gevallen kan hij of zij je ook verzoeken alles te verwijderen.
Klanten die vinden dat je onzorgvuldig met hun persoonsgegevens omgaat, kunnen een klacht indienen bij de AP. Die kan, als de klacht gegrond is, boetes uitdelen. Er zijn sinds de AVG werd ingevoerd, al duizenden klachten ingediend en ook al wat boetes uitgedeeld. Daarnaast hebben je eigen medewerkers recht op bescherming van hun persoonsgegevens.
Meer informatie? Lees ook onze blog over gegevensverwerking onder de AVG.
Onvoorzichtig omgaan met data en persoonlijke gegevens
Goed, het belang van gegevensbescherming is duidelijk. Toch weet nog lang niet iedereen hoe je veilig met persoonsgegevens omgaat. Persoonsgegevens belanden vaak op straat omdat mensen foutjes maken of niet voorzichtig genoeg zijn. Ze vergrendelen hun computers niet als ze even gaan lunchen en laten printjes met allerlei personeels- of klantgegevens bij de printer liggen. Of ze gebruiken gratis cloudsoftware om bestanden op te slaan of te versturen en ze denken dat niemand kan meelezen met een e-mail. Helaas kunnen persoonsgegevens hierdoor in verkeerde handen terechtkomen.
Wees je ervan bewust dat extra handelingen nodig zijn om veilig met privacygevoelige gegevens om te gaan. Dat geldt ook voor je medewerkers. Elke dag moet daar aandacht voor zijn.
Veilig omgaan met data: 10 tips
Deze tips helpen jou en je medewerkers of klanten om veilig met data en persoonlijke gegevens om te gaan:
- Check je e-mails.
Verreweg de meeste datalekken gebeuren door foutjes met e-mailen: een bestand wordt bijvoorbeeld gestuurd naar een verkeerde ontvanger met dezelfde achternaam, of er wordt een tikfout gemaakt in het e-mailadres. Wanneer je privacygevoelige data verzendt, is even dubbel checken zeker niet overbodig. Vraag medewerkers kritisch te kijken naar de inhoud van hun e-mails, vooral als ze berichten doorsturen. Welke gegevens staan daar in, en zijn die relevant voor de volgende ontvanger? - Wees voorzichtig met e-mailbijlagen.
Een document vol persoonsgegevens als bijlage naar iemand anders e-mailen is niet volledig veilig. Daarom kun je bijlagen met grote hoeveelheden persoonlijke informatie het beste vergrendelen met een wachtwoord. Deel dat wachtwoord niet in de e-mail, maar bijvoorbeeld separaat per sms of telefoon. Vind je dit in bepaalde gevallen ondoenlijk? Maak dan goede afspraken met je klant of je medewerkers, zodat zij zorgvuldig met de gegevens omgaan en de verwachtingen duidelijk zijn. Houd daarbij in je achterhoofd dat de AVG altijd uitgaat van een ‘risicogebaseerde aanpak’: hoe groter de privacyrisico’s, hoe meer veiligheidsmaatregelen de AVG van jou verwacht en omgekeerd. - Gebruik software om wachtwoorden op te slaan.
Veel verschillende wachtwoorden onthouden is lastig. Veel mensen, waarschijnlijk ook sommige van jouw medewerkers, gebruiken daarom steeds dezelfde wachtwoorden, laten de laptop of smartphone wachtwoorden onthouden of ze slaan ze op in een mail of document. Dat is niet veilig. Er bestaat allerlei software die helpt bij het onthouden van moeilijke maar veilige wachtwoorden, zoals Lastpass of 1Password. Zorg dat iedereen hiermee kan werken en dit vervolgens ook doet. - Maak duidelijke afspraken over welke software je als kantoor gebruikt.
In je dagelijks werk gebruik je diverse soorten software. Denk aan software om bestanden te delen, zoals WeTransfer en Dropbox. Goed om te weten: de betaalde versie van Dropbox biedt betere bescherming dan de gratis versie. Betaalde software van Microsoft, zoals Office 365, is in veel gevallen veiliger dan gratis software (waarbij je vaak betaalt met je data). Let op! Dit betekent niet dat software waarvoor je betaalt automatisch veiliger is dan gratis software. Dit moet je echt per geval (laten) beoordelen. - Print veilig en vergrendel je apparaat.
Print persoonlijke documenten alleen via een printer met een pincode of een persoonlijke pas. Zo kan alleen degene die de documenten heeft afgedrukt, ze ophalen bij de printer. Vraag medewerkers die met gevoelige data werken hun computer altijd – echt altijd – te vergrendelen als zij er niet achter zitten. - Gebruik goede wachtwoorden.
Zorg dat je medewerkers een goed wachtwoord gebruiken voor hun computer of laptop. Wachtwoorden als ‘welkom1234’ of de naam van je kind zijn niet veilig. Goede wachtwoorden zijn lang en bestaan uit letters, hoofdletters, cijfers en/of speciale tekens. Extra tip: vervang in je wachtwoord bepaalde letters door tekens die erop lijken. Bijvoorbeeld: Ditis€€nG0€d_W@chtw00rd! - Werk buiten de deur via een veilige verbinding.
Even in de trein de vergadering voorbereiden? Als je je computer aan een openbaar wifinetwerk verbindt zonder een VPN-verbinding te gebruiken kunnen anderen heel gemakkelijk toegang krijgen tot je laptop en alle bestanden. Verbied het je medewerkers dus om, als zij met de bedrijfslaptop elders werken of in de trein zitten, openbare wifi-netwerken te gebruiken zonder VPN. Het is vaak mogelijk bedrijfssoftware zo in te stellen dat het alleen werkt als er een VPN-verbinding is. - Herken hackers en oplichters.
Leer je medewerkers de trucs van hackers en oplichters te herkennen. Kwaadwillenden kunnen zich bijvoorbeeld voordoen als IT-medewerkers en zo per telefoon om inloggegevens vragen. Daar mag jouw personeel nooit op ingaan. - Wees alert op phishing e-mails.
Train je medewerkers in het herkennen van phishing e-mails: dat zijn allang geen knullige teksten meer vol taalfouten, maar vaak heel professioneel uitziende e-mails van bedrijven als Apple of ING. Als medewerkers de afzender van een mail niet kennen of de mail ziet er verdacht uit: leer ze dan nooit te klikken op de links. Wees ook alert als men in een mail om geld of gegevens vraagt of als het verzoek spoed heeft. Open in geen geval bijlagen en voer nooit inloggegevens in via een link uit de e-mail. Je kunt je medewerkers hier alerter op maken door hen een online training te laten volgen. Extra tip: kijk op de website van de Consumentenbond voor diverse voorbeelden van phishing e-mails. - Gebruik geen (onbekende) USB-sticks.
Vertel al je medewerkers dat zij nooit een onbekende USB-stick in hun computer mogen steken. Als er een wordt gevonden, laat hem dan onderzoeken door de IT-afdeling, als die er is. Inbreken via een USB-stick is een methode die veel hackers gebruiken.
Tot slot: wat te doen als accountant of ondernemer?
Loop dit jaar je privacyprocessen na en breng waar nodig zaken op orde. Laat privacywerkzaamheden waar je al eerder aan begonnen bent niet liggen. Zie de AVG daarbij als een kans om je bestaande processen te heroverwegen en te vernieuwen. En bedenk dat klanten eerder kiezen voor bedrijven die privacy en databescherming hoog op de agenda hebben staan.
Nathanja de Kruijff is Compliance Officer bij Twinfield, Wolters Kluwer Tax & Accounting
Over Twinfield
Met Twinfield werken accountants, boekhouders en ondernemers slim en gemakkelijk online samen. Twinfield is de grondlegger van het online boekhouden in Europa en werkt 100% in de cloud. Werken met Twinfield is professioneel en veilig: Twinfield Boekhouden heeft onder andere het keurmerk Zeker-Online. Ook is Twinfield gekoppeld aan vele andere pakketten. Twinfield is een onderdeel van Wolters Kluwer.
Geef een reactie