Oeps! Het mailtje is al weg

Een foutje is snel gemaakt als je een mailtje verstuurt naar een verkeerde ontvanger. En als er in het mailtje persoonsgegevens staan, dan is er officieel sprake van een datalek. En dan moeten medewerkers wel weten dat er sprake is van een lek en wat ze vervolgens moeten doen.

 

Met de nadere invoeringsdatum van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 is er meer aandacht voor de bescherming van persoonsgegevens. Maar het melden van datalekken is sinds 1-1-2016 verplicht. ‘Foute’ mails vormen zo’n 45 procent van de datalekken, dus is het zaak dat iedereen die mailt namens het bedrijf weet wat hem/haar vervolgens te doen staat als er zo’n ‘oeps’-mail is verstuurd. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (AP). Die zullen vooral actie van de ondernemer verwachten als er risico’s zijn dat het lekken op deze manier vaker voorkomt. Soms is het ook nodig dat degene wiens persoonsgegevens gelekt zijn te informeren over het lek. 

 

In veel bedrijven hebben medewerkers ook via privé-apparatuur (smartphone, tablet, laptop, PC) toegang tot bedrijfsgegevens. Dat is natuurlijk handig omdat er plaatsonafhankelijk gewerkt en gereageerd kan worden. Tegelijkertijd ontstaat er ook een groot risico, want niet iedereen heeft zijn privé-spullen even grondig beveiligd. Het verlies van dergelijke privé-spullen moet dan ook binnen 72 uur gemeld worden bij de AP.  

Van bedrijven wordt verwacht dat ze technische én organisatorische maatregelen treffen om persoonsgegevens te beschermen. Door de AVG worden ze daar nog eens op gewezen. Inloggen via beveiligde verbindingen, e-mail met encryptie, doorlopend bijwerken van software-updates, servers achter slot en grendel e.d. Ook de papieren archieven dienen grondig beveiligd te zijn, zodat er geen vreemden in kunnen rondneuzen.

 

De ondernemingsraad heeft instemmingsrecht op een gewijzigde regeling op het gebied van de persoonsgegevensbescherming. Natuurlijk dient beoordeelt te worden of de nieuwe regeling aan de AVG voldoet. Bespreek ook de wijze waarop het personeel geïnstrueerd wordt (en blijft worden) over het omgaan met persoonsgegevens, hun omgang met apparatuur waarin persoonsgegevens zijn opgeslagen en het melden van datalekken.