Hoe vaak lezen we het niet in het nieuws? Wéér een datalek waarbij veel persoonsgegevens zijn betrokken. Of een computerhack, waarbij persoons- of bedrijfsgegevens worden gestolen en verkocht. Dat schaadt je bedrijf en is strijdig met de AVG. Vaak komen daardoor (soms heel vertrouwelijke) gegevens door een datalek of hack in verkeerde handen. Bewustzijn en het inzetten van ICT kunnen dat vaak voorkomen.
Als je wilt dat er binnen jouw organisatie en door jouw medewerkers zorgvuldig wordt omgegaan met gegevens, dan zal daarvoor voldoende bewustzijn aanwezig moeten zijn – dat is de basis. Dat bewustzijn creëer je onder andere door schriftelijke afspraken te maken met je medewerkers, en door dit onderwerp periodiek bij hen onder de aandacht te brengen. Als je je medewerkers hier stelselmatig op attendeert, blijven de AVG en het belang van bedrijfsbescherming ‘top of mind’.
Tekenen voor geheimhouding
Belangrijk is dat iedere medewerker is gehouden aan geheimhouding en daarvoor ook tekent. Daarbij gaat het niet alleen om geheimhouding over het eigen kantoor en de cliëntenkring als zodanig. Of over bijvoorbeeld ‘voor de buitenwacht’ zakelijk gezien interessante cliënten van je kantoor. Je maakt eveneens afspraken over persoonsgegevens, en dan met name over de zogeheten bijzondere persoonsgegevens, zoals van ziek personeel. Om je imago en goede naam te beschermen, wil je dat je medewerkers goed begrijpen en onthouden dat ze tekenen voor geheimhouding en waarom. Dit leg je vast in hun arbeidsovereenkomsten. Bij uitzendkrachten, stagiaires of zzp’ers neem je dit op in een specifiekdocument of contract. Ook is het mogelijk dit op te nemen in je bedrijfsreglement of medewerkershandboek.
Melding en registratie
Vindt er dan toch een keer een incident plaats over persoonsgegevens? Bijvoorbeeld bij het mailen van de jaar- of fiscale cijfers van een andere cliënt? Of verliest een collega een USB-stick met daarop allerlei financiële kantoor- of cliëntgegevens? In dat geval is het belangrijk dat de betrokken medewerker dit direct – en liefst aan de hand van een formulier – intern meldt. Maar onderneem eerst actie om verdere schade maximaal te vermijden: leg contact met de ontvanger van dat jaar- of fiscale rapport, waarbij je hem of haar verzoekt de bijlage niet te openen, om daar verder niets mee te doen, en ook om de mail direct op alle plaatsen te (laten) verwijderen. Bij dat laatste helpt het als de ontvanger weet op welke digitale plaatsen opslag plaatsvindt. Dit dient, net als bij jullie op kantoor, actueel te zijn vastgelegd in diens AVG-verwerkingsregister.
Veilig ICT-gebruik
ICT kun je prima inzetten om veilig om te gaan met gegevens. Gebruik bij voorkeur een portal voor de correspondentie met je eigen medewerkers en die van je cliënten over bijvoorbeeld hun loonstrookje, de arbeidsovereenkomst of het persoonlijke en vertrouwelijke verslag van een beoordelingsgesprek. Denk hierbij ook aan inkomens- en andere persoonlijke gegevens van de dga, maar ook aan instanties, zoals je verzekeringstussenpersoon, met wie je soms ook medische persoonsgegevens deelt.
“Je kunt ongelukken voorkomen door maximaal in te zetten op bewustzijn, digitale tools en afspraken, op basis waarvan je medewerkers en je relaties werken en communiceren” – Frank Troost
Vergeet ook veilig mailen niet; de applicatie waarmee het middels ICT lastiger of onmogelijk wordt gemaakt mails en/of bijlagen naar een verkeerde ontvanger te sturen en/of door hem te laten openen. En niet voor niets werken de meeste arbodiensten met zogeheten 2-factorauthenticatie (inloggen plus bevestigen middels een token of code op de mobiele telefoon). Tot slot: (personeel)dossiers en persoonsgegevens van medewerkers en cliënten sla je eveneens bij voorkeur digitaal op. Hierbij scherm je deze goed af van de buitenwereld en van medewerkers die er niets mee van doen hebben.
AVG-verwerkers
Niet alleen met je medewerkers leg je afspraken en ‘good practices’ vast om je bedrijfs- en de vele persoonsgegevens op de verschillende (digitale) opslagplaatsen met cliënten en je overige relaties te beveiligen en te beschermen. Je doet dit ook met de zogenoemde verwerkers in de zin van de AVG: de personen en bedrijven die persoonsgegevens van, voor of namens jou verwerken en waarbij jij bepaalt wanneer en hoe ze dat doen. Denk bijvoorbeeld aan je externe salarisadviseur.
“Om je imago en goede naam te beschermen, wil je dat je medewerkers goed begrijpen en onthouden dat ze tekenen voor geheimhouding en waarom” – Frank Troost
Maar ook met verzekeringstussenpersonen en softwareleveranciers leg je in een verwerkersovereenkomst bijvoorbeeld vast wat ze dienen te doen en te melden, als er aan hun kant sprake is van een datalek of (bijvoorbeeld) een computerhack. Ook maak je daarin afspraken over de veilige opslag van persoonsgegevensdocumenten, en over wat te doen als daarbij iets fout gaat. Dat aansprakelijkheidsvraagstuk wil je op voorhand helder hebben.
Veilige digitalisering
Hierboven is min of meer kernachtig uiteengezet hoe je afspraken met je medewerkers, bewustzijn en digitalisering – ofwel je bestaande en eventueel nog aan te schaffen ICT-middelen – kunt en dus eigenlijk ook moét gebruiken om bedrijfs- en persoonsgegevens te beschermen. Om ongelukken te voorkomen, die door deze maatregelen gelukkig vaak geen grote impact hebben en daardoor niet leiden tot aansprakelijkheidsclaims. Dat laat onverlet dat je dergelijke incidenten uiteraard liever voorkomt. Dit bereik je door maximaal in te zetten op bewustzijn, digitale tools en afspraken, op basis waarvan je medewerkers en je relaties werken en communiceren.
Frank Troost is adviseur en trainer AVG/privacy.
Deze bijdrage komt uit de tweede editie van het AV-magazine met het thema ICT en Kengetallen. Dit magazine is verschenen in juni 2023. Zie: https://www.accountancyvanmorgen.nl/kennisdoc/av2-2023-ict-en-kengetallen/
Geef een reactie