AVG Special – 3. Een datalek voorkomen

AVG Special – 3. Een datalek voorkomen

Zoals in het vorige artikel aangegeven kun je niet ieder datalek voorkomen. Waar mensen werken worden fouten gemaakt.Je hebt echter als verwerker van persoonsgegevens op grond van artikel 5 lid 2 AVG een verantwoordingsplicht om aan de beginselen van de AVG te voldoen. Dit betekent dat je wel al het mogelijke, binnen zekere proporties, moet doen om een datalek te voorkomen. Wat betekent dat in de dagelijkse praktijk?

Een datalek voorkomen door procedure
Start met een procedure datalekken in de organisatie. Dit geeft je houvast op het moment dat er sprake is van inbreuk op persoonsgegevens. Je weet dan hoe te handelen. De grootste valkuil bij een datalek is dat er op dat moment nog nagedacht moet worden wat te doen en dan gaat het juist mis. Al om te beginnen omdat dit tot onnodige vertraging zorgt waardoor de schade wellicht groter kan worden dan nodig is, maar bovenal het risico bestaat dat melding bij de Autoriteit Persoonsgegevens (AP), voor zover nodig, te laat gebeurt. Je hebt hiervoor namelijk slechts 72 uur de tijd na het ontdekken van een datalek.

Register datalekken
Een procedure c.q. beleid is dan ook noodzakelijk. Zorg tevens voor een register waarin inbreuken in verband met persoonsgegevens worden geregistreerd en wordt vastgelegd hoe de inbreuk is opgelost, welke aanpassingen er zijn gedaan in processen om een inbreuk in de toekomst te voorkomen en of er wel/geen melding bij betrokkene of de AP heeft plaatsgevonden en waarom. Dit draagt ook bij aan het leren van ‘fouten’. Daarnaast het advies om het ook bespreekbaar te maken in de organisatie.

Interne bewustwording
Het voorkomen van datalekken is zeker niet alleen een papieren exercitie. Waar het om gaat is dat alle medewerkers die persoonsgegevens verwerken goed geïnformeerd en bewust zijn dat ze met persoonsgegevens bezig zijn. Vraag hier dan ook bij ieder werkoverleg aandacht voor. Deel situaties met elkaar en leer van elkaar. Medewerkers moeten zich vrij voelen om een ‘fout’ te melden, zodat hierop direct actie kan worden genomen. Dit betekent delen en elkaar niet afrekenen op een fout.

In een personeelshandboek of gedragsregels kun je de afspraken opnemen en hier eventueel een boete clausule aan toevoegen. Niet om direct al een boete op te leggen bij een overtreding, maar juist om medewerkers bewust te maken van het belang behoorlijk en zorgvuldig om te gaan met persoonsgegevens en zich te houden aan wet- en regelgeving.

Vergeet de techniek niet
Tenslotte is er natuurlijk ook de technische component die een belangrijke rol speelt. Denk hierbij onder meer aan het volgende:

  • Zorg ervoor dat medewerkers, die persoonsgegevens verwerken, tot niet meer gegevens toegang hebben dan strikt noodzakelijk is voor hun functie.
  • Laat controles plaatsvinden op het verwerken van persoonsgegevens, maar bovenal of de systemen goed beveiligd zijn en de beveiliging up to date wordt gehouden.
  • Zorg dat alle medewerkers een eigen wachtwoord hebben, dat sterk is en regelmatig (denk aan 2-3 maandelijks) gewijzigd moet worden en niet gedeeld mag worden met anderen.
  • Weet dat duo-authenticatie een goede beveiliging is, die in de huidige tijdsgeest standaard zou moeten zijn.
  • Verder kun je denken aan het niet e-mailen van persoonsgegevens via bijvoorbeeld loonstroken of jaaropgaven etc. Het beste is de systemen en processen zo in te richten dat medewerkers deze gegevens in een beveiligde portal kunnen downloaden.

Datalekken en verwerkers
Als er zich een datalek voordoet bij een van je verwerkers, realiseer je dan goed dat je daarvoor verantwoordelijk bent. De verwerker – denk bijvoorbeeld aan een bedrijf dat je gegevens opslaat – verwerkt namelijk in jouw opdracht én onder jouw instructies de gegevens die je aan hen verstrekt hebt. Bij een audit controleren we altijd of een bedrijf inzichtelijk heeft van welke verwerkers er gebruik wordt gemaakt. De plicht van een verwerker om datalekken aan jou te melden moet zijn opgenomen in een verwerkersovereenkomst. Bij de audit nemen we een steekproef van verwerkersovereenkomsten om te zien of dit ook is afgesproken. En voor de goede orde, ook de datalekken van verwerkers neem je op in je register en meld je aan de toezichthouder. De verwerker kan je hierbij helpen. Deze ondersteuning is overigens ook een verplichting die opgenomen moet zijn in de verwerkersovereenkomst.

"Spoofing, wat kan je ertegen doen? Onze provider heeft een groot aantal maatregelen tegen misbruik bij e-mail. Maar hier hadden ze geen adequate maatregelen tegen."

Spoofing, tegenmaatregelen: de combinatie van SPF, DKIM en DMARC wordt steeds meer geaccepteerd als oplossing tegen phishing. Toch blijkt dat, ook in Nederland, nog weinig bedrijven zich druk maken om deze tegenmaatregel. Wil je meer weten? Neem dan contact met ons op. En bezoek vooral www.clairecontractcheck.com voor het Starterspakket Privacy.

Nog meer nieuws

VRF werkte mee aan totstandkoming van payroll bedrijfs-cao.

Wij zijn vereerd dat wij een bijdrage mochten leveren aan de totstandkoming van een payroll bedrijfs-cao! Sander van Riel en Stephanie van Kuijk hebben dit traject vanuit VRF Advocaten mogen begeleiden.Connexie en LBV zijn van mening dat met dit akkoord een duurzame basis is gelegd waarop ondernemers door Connexie ontzorgd kunnen blijven worden, terwijl werknemers…

VRF Advocaten top leverancier in rubriek Wet & Regelgeving

In het Nederlandse Partner of Choice onderzoek heeft de flexmarkt VRF Advocaten uitgeroepen tot top leverancier in de rubriek Wet & Regelgeving. Flexmarkt beoogt met dit onderzoek flexbureaus op weg te helpen bij de leverancierskeuzes op het gebied van zes relevante werkgebieden. Onder de lezers en de bezoekers van Flexmarkt is de vraag uitgezet ‘Met…

Flexbranche roept meest talentvolle starter van het jaar uit

Op 4 november 2021 vond de finale plaats tussen de 10 overgebleven finalisten voor de meest veelbelovende en talentvolle starter van het jaar in de flexbranche. Delistaff, vertegenwoordigd door Pieter Engels (eigenaar),  is van alle startende uitzend, detacherings- en payrollorganisaties door de vakjury uitgeroepen tot meest talentvolle starter en heeft de Award Starter van het…

Wil je op de hoogte blijven van het laatste nieuws als het gaat om de juridische stand van zaken ten aanzien van flexarbeid?