mrt
Personeel in dienst? Voorkom datalek personeel en beveilig de dossiers!
Met personeel in dienst moet je extra opletten op de beveiliging van persoonsgegevens. Voorkom hoge boetes, een beschadigde reputatie en teleurgestelde klanten of werknemers.
Wat is een datalek?
Een bedrijf heeft een datalek als er persoonsgegevens in verkeerde handen terecht komen. Dit kunnen gegevens van klanten zijn, maar ook de persoonlijke gegevens van werknemers. Een datalek gaat over toegang tot deze gegevens of een onrechtmatige verwerking van deze data, door bijvoorbeeld werknemers.
Een bedrijf is verplicht gegevens goed te beveiligen volgens de Wet bescherming persoonsgegevens (Wbp). Per 25 mei 2018 wordt deze wet vervangen door de Algemene verordening gegevensbescherming (AVG). Op het gebied van datalekken zijn er geen grote wijzigingen. De vier belangrijkste bepalingen zijn:
- Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
- Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
- Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
- De gegevens moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Beveilig je personeelsdossiers
Gegevens van werknemers bewaar je in een fysiek of digitaal personeelsdossier. Een personeelsdossier bevat privacygevoelige informatie, zoals NAW-gegevens, het burgerservicenummer en salarisinformatie. Deze gegevens moeten goed beveiligd worden. De Wet bescherming persoonsgegevens (Wbp) schrijft voor aan welke verplichtingen precies voldaan moet worden.
Fysieke beveiliging
Wordt er nog met papieren personeelsdossiers gewerkt? Zorg er dan voor dat deze niet vrij toegankelijk zijn voor personen die daar geen recht toe hebben. Laat persoonsgegevens niet slingeren, maar berg ze direct veilig op. Bewaar de dossiers in archiefkasten of ruimtes waar een slot op zit. Zorg voor een goede beveiliging van het pand. Denk bijvoorbeeld aan een alarmsysteem, beveiligingscamera’s, goede sloten en verlichting. Zorg er ook voor dat gasten zich altijd melden en binnen het bedrijfspand worden begeleid door een werknemer.
Digitale beveiliging
Als er personeelsdossiers digitaal of online bewaard worden, moet er gezorgd worden voor een goede digitale beveiliging. Sla bestanden op in een beveiligde online omgeving of op een aparte server, computer of harde schijf met een goede versleuteling (sterke wachtwoorden, zinnen, codes of meerdere stappen van authenticatie). Zorg er ook voor dat je deze gegevens alleen verstuurt via een goed beveiligde internetverbinding. Draadloze verbindingen (WiFi) zijn vaak inbraakgevoelig, waardoor hackers makkelijk informatie kunnen onderscheppen. Verstuur bestanden met gevoelige informatie alleen als ze versleuteld of gecodeerd zijn. Zo wordt cybercrime verkomen.
Houd je aan de bewaarplicht
Na beëindiging van een arbeidsovereenkomst met een medewerker is het gebruikelijk dat het dossier nog twee jaar bewaard blijft. Maar sommige onderdelen moeten sneller verwijderd worden en enkele gegevens mogen juist langer bewaard blijven.
Verzeker je tegen cybercrime
Er kan een verzekering afgesloten worden tegen de financiële gevolgen van cybercrime. Een verzekeraar kan ook helpen met preventieve maatregelen en directe hulp bij een cyberaanval.
Ten slot
Geef werknemers duidelijke instructies als zij met persoonsgegevens werken. Stel een gedragscode op, waarin vastgelegd wordt welke persoonsgegevens ingezien mogen worden, hoe ze opgeslagen moeten worden en verzonden kunnen worden. Stel bijvoorbeeld de regel op dat persoonsgegevens van klanten niet op een eigen computer, tablet of smartphone opgeslagen mogen worden of op een onbeveiligde USB-stick vervoerd mogen worden. Controleer vervolgens ook of er op de afgesproken manier gewerkt wordt. Op die manier wordt er alles aan gedaan om een datalek te voorkomen.