Privacy Nieuws
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
- Vervoer – 72%
- Verkoop en marketing – 62%
- Productie – 59%
- Nutsbedrijven – 58%
- Detailhandel – 57%
- Onderwijs – 54%
- Vrije tijd en reizen – 49%
- Gezondheidszorg en gastvrijheid – 45%
- Handelaren / administratie – 44%
- Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
Privacy Nieuws
Hoe zou een goed personeelsdossier er volgens de Algemene Verordening Gegevensbescherming (AVG) er moeten uitzien? Die vraag wordt vaak gesteld. Logisch, want personeelsdossiers bevatten veel persoonsgegevens.
Bij controle op basis van de AVG blijkt dat er vaak te veel gegevens worden bewaard en ook gegevens die werkgevers niet zouden mogen hebben.
Wat mag wel en wat mag niet?
De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.
In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren.
Inhoud goed personeelsdossier
Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over een werknemer kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.
Sommige gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.
De Algemene verordening gegevensbescherming stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een klein aantal mensen toegang heeft tot het personeelsdossier.
De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:
- klachten;
- waarschuwingen;
- verzuimfrequentie (hoe vaak een werknemer er niet is);
- verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
- een kopie van het identiteitsbewijs;
- het burgerservicenummer (BSN);
- persoonlijke werkaantekeningen van de leidinggevende.
Medische gegevens mag de werkgever in principe niet opnemen in het personeelsdossier.
De AVG verplicht organisaties om beveiligingsmaatregelen tectreffen voor een digitaal personeelsdossier. Als het dossier ook toegankelijk is via internet is het bijvoorbeeld verplicht om een firewall te gebruiken. Bijvoorbeeld als werknemers online hun personeelsdossier in kunnen zien.
Hoe lang bewaren?
De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren. Zo moet hij gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is.
Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.
Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd.
Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.
Voorbeelden van dit soort gegevens zijn: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.
Langer bewaren
De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict is (geweest) of als er een rechtszaak loopt.
Privacy Nieuws
Ruim dertig procent van de salarismedewerkers en -adviseurs zegt onvoldoende geïnformeerd te zijn over de Algemene Verordening Gegevensbescherming (AVG) en de gevolgen voor de salarisadministratie.
Dat blijkt uit het Trendonderzoek Salarisprofessionals 2018 van Nederlands Instituut Register Payroll Accounting (NIRPA).
Het onderzoek werd in opdracht van het NIRPA uitgevoerd door Performa en Berenschot.
Het onderzoek is ook van belang voor alle organisaties die gebruik maken van de diensten van Payrolling organisaties. Zij zijn op basis van de AVG verplicht om te controleren of organisaties waar zij mee samen werken zich aan de wet houden.
Nog geen verplicht verwerkingsregister
30% van de salarisadministrateurs geeft in de enquete aan dat er nog geen register van verwerkingsactiviteiten wordt bijgehouden. Zo’n verwerkingsregister is in veel gevallen verplicht.
Het NIRPA is een onafhankelijke stichting zonder winstoogmerk. Om een zo volledig mogelijk beeld te krijgen van de functie van salaris professionals in Nederland werden alle salarismedewerkers en -adviseurs uitgenodigd om deel te nemen aan het onderzoek. Het onderzoek is niet alleen gericht op NIRPA geregistreerde Payroll Professionals.
De invoering van de AVG is volgens 89% van de salarisadministrateurs dit jaar veruit het belangrijkste onderwerp op hun vakgebied.
Uit het onderzoek blijkt dat de positie van de salarisadministrateur bij de invoering van wetten zoals de Algemene verordening gegevensbescherming (AVG) steeds belangrijker wordt.
De salarisadministratie werkt met veel privacygevoelige informatie, waar efficiënt en zorgvuldig mee moet worden om gegaan.
Onvoldoende geïnformeerd over AVG
Ondanks het duidelijke belang van de AVG is de informatievoorziening over de wet volgens het onderzoek bij veel organisaties nog niet onder controle.
De onderzoeksresultaten worden op 11 september toegelicht en gepubliceerd tijdens het jaarlijkse NIRPA congres.
Privacy Nieuws
Bij de loodgieter thuis lekt het vaak het meest… De verklaring is simpel. Goede loodgieters zijn schaars. Ze hebben het zo druk dat ze thuis nergens aan toe komen. Of er gewoon geen energie meer voor hebben.
Bij een lekke kraan is dat de eigen keuze en het eigen probleem van de loodgieter. Al zal hij waarschijnlijk de schade die ontstaan is door de waterlekkage niet kunnen verhalen op zijn verzekering als blijkt dat hij zelf als vakman erger had kunnen voorkomen.
Sinds 25 mei 2018 denken we bij lekkages niet alleen meer aan water-, gas- of olielekken. We denken ook aan datalekken. En dat levert een mooi bruggetje op richting advocaten en juristen die zich bezig houden met de Algemene Verordening Gegevensbescherming.
Als het bij de loodgieter thuis het meeste lekt, hoe zit dat dan eigenlijk als het om datalekken gaat bij juristen? Hoe goed hebben AVG-specialisten hun zaken zelf voor elkaar?
AVG Cloud Register, de Groninger producent van handige en praktische AVG software waarmee ook PrivacyZone werkt, deed daar ruim een maand na het ingaan van de nieuwe privacywetgeving AVG onderzoek naar.
Uit het onderzoek van AVG Cloud Register blijkt dat slechts 14 procent van de websites van 50 onderzochte juristenkantoren, die berichten of adviseren over de AVG, zélf voldoen aan deze nieuwe wet.
De websites behoren toe tot juridische bureau’s die actief zijn op het gebied van privacy & ICT Recht, AVG workshops geven, FG is of via twitter of de bedrijfswebsite over de AVG heeft bericht. Deze juridische bureau’s liepen qua omvang uiteen van zelfstandigen tot partijen met 100+ werknemers.
Veel (technische) misverstanden
AVG Cloud Register signaleert op Twitter dat er nog veel misverstanden en onwetendheid is omtrent de AVG en privacy. De implementatie van technische aspecten die erbij komen kijken, blijkt zelfs voor de partijen die bekend zijn met de wet- en regelgeving, alsnog een struikelblok te zijn. Ook PrivacyZone komt tot die conclusie op basis van praktijkervaring en gesprekken met diverse ondernemers na AVG presentaties.
Uit onderzoek van de Consumentenbond blijkt ook dat 69% van de grote Nederlandse websites niet voldoen aan de AVG.
Ruwe onderzoeksresultaten
AVG Cloud Register keek voor zijn onderzoek naar de websites van juristen naar de volgende punten:
- De aanwezigheid van een privacy statement
74% voldeed hieraan, bij 26% ontbrak het privacystatement volledig, hoewel er wel persoonsgegevens middels bijvoorbeeld een contactformulier konden worden ingevuld;
- De juistheid van het privacy statement
67% van de eerder genoemde 74% waren correct, de overige 50% had onwaarheden of hiaten in hun privacystatement;
- Google IP-adres anonimisering
Binnen de AVG is het opslaan van een ip-adres een gegevensverwerking. Elke website die (veelal) Google Analytics gebruikt moet daarom hiervoor òf aan de websitebezoeker toestemming vragen middels een cookiemelding òf deze IP-adressen anonimiseren.
Van de onderzochte partijen had 30% deze juist ingesteld en anonimiseerde 60% de ip-adressen van hun bezoekers niet. Vier procent leek geen bezoekersgedrag te volgen, voor de overige zes procent was het niet te achterhalen of ze aan de correcte of incorrecte kant zaten omtrent ip anonimisering voor Google Analytics;
- Cookie implementatie
Ondanks de reeds geldende Telecommunicatiewet, bleek de implementatie van cookies de grootste struikelblok voor juridische bureau’s: Slechts 26% deed dit conform AVG en Telecommunicatiewet.
Van de 50 onderzochte websites, hanteerden 18 websites onterecht geen cookie-venster. Door gebruik van bijvoorbeeld niet privacy vriendelijke Youtube maar vooral social media widgets, was dit wel op zijn plaats.
- Versleuteling persoonsgegevens
Van gegevensversleuteling middels SSL certificaat, waarmee https en het groene slotje wordt bemachtigd, was in 76% van de onderzochte websites sprake. Aanvullend had 8% een certificaat, maar was dit incorrect geïmplementeerd.
Het percentage partijen die alle bovenstaande aspecten juist hebben uitgevoerd kwam op slechts 14%. Daarnaast ontbrak het bij 12% slechts aan één van bovenstaande zaken en kwamen ze daarmee in de buurt van AVG en privacy compliance.
De overige 74% voldoen op cruciale of meerdere vlakken niet aan de wetgeving. Hetgeen dat hieruit geconcludeerd kan worden, is dat kennis veelal bij de deur lijkt te stoppen op het gebied van privacy.
Voor organisaties is het noodzaak om de juiste partij aan te wijzen voor een verlengstuk op theoretische of juist praktische kennis.
Voor privacy compliance blijkt samenwerking tussen juristen, programmeurs en security-experts buiten “ingewikkelde” informatiesystemen voor bijvoorbeeld zorg om, ook reeds noodzakelijk voor websites of webshops.
Conclusie van het onderzoek van AVG Cloud Register: bij AVG specialisten is de kans op datalekken net zo groot als bij andere ondernemingen. Bij de juristen ‘lekt’ het thuis net als bij de loodgieters.
Organisaties die hun zaken nog niet op orde hebben hoeven zich kortom niet te schamen. Maar zij moeten net als de AVG juristen langzamerhand wel beginnen een plan van aanpak te maken.
PrivacyZone weet uit ervaring dat het handig en verstandig is om daarvoor een externe privacymanager in te schakelen. Iemand van buiten die met een kritische blik professioneel jouw organisatie kan doorlichten en dan een gefundeerd plan van aanpak kan voorstellen. Een plan dat niet alleen goed is voor je AVG-verplichtingen, maar ook voor managers die wel eens op een andere manier naar hun organisatie willen laten kijken.
Natuurlijk, er zijn diverse goede AVG-werkboeken in omloop en wij weten dat veel bedrijven privacyverklaringen en verwerkingsovereenkomsten van collegas kopieren (foei, dat mag niet!), maar de kans dat er dan belangrijke zaken vergeten worden is reeel, blijkt uit de praktijk. Of er worden foute voorbeelden gekopieerd, van een bedrijf dat zelf weer fout van een ander had gekopieerd.
PrivacyZone kent de valkuilen en werkt samen met diverse specialisten. Privacymanagement is te ingewikkeld om het er in je eentje even bij te doen aan de hand van een handboek. Zelfs gespecialiseerde juristen tonen dat aan met hun websites.
En zeg nou zelf: als de auto een onderhoudsbeurt nodig is koop je toch ook geen handboek zodat je het er even zelf bij kunt doen?
Je administratie laat je – over het algemeen – toch ook door een accountant of administratiekantoor doen?
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek bij 30 grote bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.
De AP voert de steekproef uit bij industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.
Controle verwerkingsregister
De AP onderzoekt of deze bedrijven een verwerkingsregister bijhouden en of dit register de juiste informatie bevat.
De toezichthouder beschouwt een actueel verwerkingsregister als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.
Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben.
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.
Verwerkingsregister grote bedrijven
Bedrijven zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers.
Kleinere organisaties
Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:
- zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
- zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
- zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.