maandag, augustus 19, 2019

We help you work

(Leestijd: 2 - 3 minuten)

Gebruikerswaardering: 5 / 5

Ster actiefSter actiefSter actiefSter actiefSter actief
 

Het blijkt niet bij alle betrokkenen bekend, maar sinds 1 januari 2016 geldt er een wettelijke meldplicht voor datalekken.
Deze plicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een datalek hebben ontdekt.

Er is sprake van een datalek op de HR-afdeling als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens hadden mogen hebben. Een datalek is vaak het gevolg van een beveiligingsprobleem. Daarbij kan het gaan om zowel een probleem in de fysieke beveiliging als een probleem in de organisatorische beveiliging. Vaak gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte personeelslijst ook een datalek vormen. Andere voorbeelden zijn: cyberaanvallen, e-mails waarin alle geadresseerden zichtbaar in de CC staan, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks. Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

De meldplicht datalekken is opgenomen in artikel 34a van de Wet Bescherming Persoonsgegevens (Wbp). De klemtoon bij deze meldplicht ligt op datalekken als gevolg van beveiligingsproblemen. Deze datalekken moeten onverwijld worden gemeld aan de AP. De AP (tot 1 januari 2016 het College Bescherming Persoonsgegevens) is de overheidsinstantie die toeziet op zorgvuldig gebruik van persoonsgegevens. Niet ieder datalek hoeft gemeld te worden aan de AP. Volgens de wet dient slechts melding aan de AP gedaan te worden, als het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Nederland loopt met de Wet Meldplicht Datalekken vooruit op de Europese Algemene Verordening Gegevensbescherming (AVG) waarin ongeveer dezelfde bepalingen worden opgenomen. De AVG treedt naar verwachting begin 2018 in werking.

U moet als organisatie preventief de juiste beveiligingsmaatregelen nemen om datalekken te voorkomen. Het zal u duidelijk zijn dat de boetes rondom het niet juist oppakken van datalekken niet gering zullen zijn. Deze kunnen oplopen tot € 820.000,-- of 10% van de jaaromzet. Daarnaast geldt nog een boete van maximaal € 500.000,-- bij het niet naleven van de meldplicht.

Heeft u al het een en ander geregeld voor uw personeelsadministratie en/of personeelsinformatiesysteem?
•    In de eerste plaats zult u een protocol moeten opstellen met betrekking tot datalekken.
•    Daarnaast is het de vraag in hoeverre uw personeelsdossiers op orde zijn.
•    Heeft u zicht op de juiste bewaartermijnen van de verschillende documenten die zich in het personeelsdossier bevinden? Schoont u de personeelsdossiers (zowel fysiek als elektronisch) regelmatig? Aan veel documenten en persoonsgebonden informatie zit veelal een minimale of soms een maximale bewaartermijn. Als de afdeling HR zich hier niet aan houdt, is de organisatie wettelijk gezien in overtreding!
•    Liggen fysieke personeelsdossiers onbeheerd op bureaus van u en/of uw medewerkers?
•    Hoe worden de vertrouwelijke stukken vernietigd?
•    Kunnen onbevoegden toegang krijgen tot de computer van uw medewerker als deze even met lunch/koffiepauze is?


Dit alles kan betekenen dat de afdeling HR niet alleen protocollen moeten opstellen, maar dat ook procedures op de afdeling HR nauwkeurig beschreven moeten zijn.

Culemborg, 30 september 2016