MKB wil vanwege AVG investeren in deskundige privacyspecialisten. Maar daar zijn er te weinig van

Kleine en middelgrote bedrijven hebben grote moeite om goed opgeleide privacydeskundigen aan te stellen. Er is grote concurrentie op de vacaturemarkt voor deze mensen. Het MKB delft vaak het onderspit tegen grote bedrijven.

De vraag naar interne en externe privacyspecialisten is volgens Duits en Amerikaans onderzoek booming vanwege de Algemene Verordening Gegevensbescherming (AVG) en het toenemende risico van cyberaanvallen.

De cyberrisico’s worden steeds groter. De impact van malware als WannaCry en het verstrekkende UEFI-virus Lojax zet managers aan het denken. “Stel dat onze organisatie wordt getroffen door zo’n virus, wat betekent dat dan voor ons? Hoe kunnen wij ons beter beveiligen?”

Dit komt duidelijk tot uiting in de groei van de markt voor IT-beveiligingsproducten en -diensten in het zakelijke klantensegment (B2B). De markt voor IT-beveiligingsdiensten groeit komend jaar naar verwachting met bijna 23 procent. In 2020 neemt volgens het Duitse onderzoek het huidige volume met meer dan 15 procent toe van ruim 5,7 miljard euro tot bijna 6,6 miljard euro.

De uitgaven voor IT-beveiligingsdiensten zullen nog sterker stijgen, met bijna 23 procent, van ruim 3,1 miljard euro naar ruim 3,8 miljard euro.

IT-beveiligingsmanagers kampten tot dusver heel vaak met het dillemma hoe ze investeringen in beveiliging moesten verantwoorden tegenover de Chief Financial Officer (CFO), aan wie zij vaak ondergeschikt zijn. Tegenwoordig kunnen zij wel rekenen op steun en budget.

De winstgevendheid van IT-beveiligingsmaatregelen is niet zo gemakkelijk te bewijzen als die van andere technologische investeringen. Maar de dreigende AVG-boetes en het dagelijkse nieuws over datalekken, cybercriminaliteit en de gevolgen daarvan hebben veel CFO’s en commerciële directeuren er nu van overtuigd dat er voldoende middelen beschikbaar moeten worden gesteld om de organisatie te beschermen.

Er is behoefte aan deskundig personeel dat er voor zorgt dat de technische en organisatorische maatregelen die de organisatie vanwege de Algemene Verordening Gegevensbescherming en de cyberrisico’s heeft genomen ook dagelijks gemanaged worden. Er zijn specialisten nodig die actueel veiligheidsbeleid ontwikkelen en de organisatie alert houden. Er duiken dagelijks nieuwe bedreigingen op.

Meer actueel awareness nieuws

Ziekmelding en AVG: Welke vragen mogen werkgevers wel en welke mogen ze niet stellen? En wat mag er geregistreerd worden?

De Autoriteit Persoonsgegevens (AP) heeft in 2016 strenge nieuwe richtlijnen gepubliceerd over registratie van ziekteverzuim.

Die regels blijken in de praktijk zo lastig toepasbaar dat het ministerie van SZW besloten heeft met een toelichting te komen.

Het ministerie poogt met een document meer duidelijkheid te bieden over welke vragen werkgevers volgens de privacyregels van de AVG wel en niet mogen stellen aan zieke werknemers, en wat wel en niet geregistreerd mag worden.

De toelichting heeft betrekking op de periode van de ziekmelding tot het eerste advies van de bedrijfsarts.

Verwerken van gegevens bij ziekmelding

Werkgevers mogen volgens de Algemene verordening gegevensbescherming (AVG) slechts beperkt gegevens vragen en verwerken van een werknemer in het kader van een ziekmelding of re- integratieproces.

In de beleidsregels ‘De zieke werknemer’ (1) heeft de Autoriteit Persoonsgegevens beschreven welke gegevens dat zijn: de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen.

In dat kader mag de werkgever (2) de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen (3) van de werknemer.

Het is in het belang van de werknemer om zijn werkgever bij de ziekmelding te melden dat hij door ongeschiktheid ten gevolge van ziekte niet in staat is om zijn normale werkzaamheden4 te verrichten.

De werkgever mag bij de ziekmelding vragen naar de vermoedelijke duur van het verzuim.

Terugkeer naar werk

De werkgever en de werknemer kunnen het gesprek aangaan over de manier waarop de terugkeer naar werk invulling kan krijgen. Daarbij kan de werknemer zelf aangeven of hij bepaalde (deel)taken, (deel)functies of werkzaamheden nog wel kan verrichten.

Goed werknemerschap (5) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.

De werkgever mag hier echter geen druk op uitoefenen en hier niet naar vragen.

Zo nodig kan hij de bedrijfsarts vragen welke (deel)taken, (deel)functies of werkzaamheden de werknemer nog wel kan verrichten.

Werkafspraken

Van het gesprek tussen werkgever en werknemer mag worden vastgelegd welke werkafspraken zijn gemaakt in de zin van uit te voeren taken of werkzaamheden.

Als er op initiatief van de werknemer eventueel gesproken is over functionele mogelijkheden en beperkingen of een diagnose of behandeling, dan worden die gegevens niet geregistreerd door de werkgever.

De werkgever kan de functionele mogelijkheden en beperkingen die door de bedrijfsarts zijn vastgesteld en gedeeld met werknemer en werkgever wel registreren.

Als de omstandigheden daar aanleiding toe geven, kan zowel de werkgever als de werknemer de bedrijfsarts inschakelen in een eerder stadium dan de wettelijke voorgeschreven termijn van maximaal zes weken na de ziekmelding.

Toelichting

(1 ) De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens, z2015-00774 – 23 februari 2016.

(2) En aan de werkgever gelijk te stellen functionarissen zoals casemanagers.
(3) Bijvoorbeeld: ‘hoeveel kun je nog tillen’; ‘kun je op je knieën zitten’; ‘hoe lang kun je geconcentreerd werken’; ‘is hectiek op de afdeling een probleem’; ‘kun je in een groep werken’.

(4) Hiermee wordt bedoeld “de bedongen arbeid”: in arbeidsrechtelijke zin de overeengekomen arbeidsduur en de overeengekomen inhoudelijke werkzaamheden die de werknemer verricht op grond van de arbeidsovereenkomst.

(5) Artikel 7:611 BW

Meer actueel awareness nieuws

Cybercriminelen vragen heel brutaal de salarisadministratie om je salaris naar een andere rekening te boeken

De Fraudehelpdesk waarschuwt voor cybercriminelen die mailboxen van personeel hacken en vervolgens de salarisadministratie vragen het salaris voortaan op een andere bankrekening te storten.

“Werkt u op de salarisadministratie? Wees dan alert als u per mail een verzoek krijgt het salaris van een medewerker op een ander rekeningnummer te storten”, meldt de Fraudehelpdesk op zijn site.

Er zouden al meerdere medewerkers van diverse bedrijven slachtoffer geworden zijn van deze nieuwe phishingmethode van cybercriminelen.

De fraude kwam aan het licht toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten. In alle gevallen bleek het mailaccount van de werknemer gehackt.

Advies Fraudehelpdesk
In de afgelopen jaren hebben enkele tientallen datalekken plaatsgevonden bij grote bedrijven zoals LinkedIn, Yahoo en Dropbox.

Via de site Have I been Pwned kunt je kijken of je gegevens zijn gelekt.

Ook de politie heeft een dergelijke tool.

Als blijkt dat je inloggegevens niet op beide genoemde sites worden gemeld wil dat volgend de Fraudehelpdesk niet zeggen dat jouw gegevens en wachtwoord(en) niet in handen van criminelen zijn gevallen.

Als je het idee hebt dat je mailaccount is gehackt kun je het beste onmiddellijk de wachtwoorden van je mailaccount en alle andere accounts, zoals bank, webshops en dergelijke wijzigen.

Gebruik hiervoor het liefst een wachtwoordmanager. Die moet je dan wel weer beveiligen met een sterke wachtwoordzin.

Meer actueel awareness nieuws

6 HR methoden die volgens de GDPR streng verboden zijn

Veel bedrijven hebben momenteel grote moeite om geschikt personeel te vinden. HR-afdelingen bedenken daarom tal van creatieve methoden om op de krappe arbeidsmarkt toch nieuwe werknemers te werven.  Deze creativiteit wordt door de privacywet GDPR / AVG aan banden gelegd. Lees de 6 HR wervingsmethoden die niet langer zijn toegestaan.

 

1. Ongevraagde verspreiding van cv’s door personeelsadviseurs

  • Dubieuze headhunters en personeelsadviseurs verzamelen op internet ongevraagd de cv’s van interessante kandidaten en sturen die door naar bedrijven die vacatures hebben openstaan.
  • Dat is onder de GDPR ten strengste verboden.
  • De privacywet bepaalt er uitdrukkelijke toestemming moet zijn gegeven voor het doorgeven van persoonsgegevens.

2. Sollicitanten screenen op sociale media als Facebook, Twitter of Instagram

  • Bij de selectie van de juiste kandidaat vertrouwen sommige HR-afdelingen de laatste jaren niet langer uitsluitend op CV’s of motivatiebrieven. Zij gebruiken sociale media als Facebook, Twitter en Instagram om een authentieke indruk van sollicitanten te krijgen.
  • Bij bijzonder gewilde functies, zoals IT-specialisten, worden daarnaast recruiters steeds actiever. In plaats van met de vingers over elkaar te blijven staan en te wachten op geschikte sollicitaties, gaat de recruiter van vandaag op internet direct op zoek naar de juiste kandidaat. Met speciale aandacht voor sociale netwerken.
  • HR-afdelingen en recruiters die sociale media gebruiken overtreden de nieuwe Europese privacywet GDPR.
  • Persoonsgegevens op private sociale netwerken zoals Facebook, Twitter, YouTube, Instagram of Snapchat mogen door bedrijven niet meer in een professionele context verwerkt worden.
  • De enige uitzonderingen op deze regel is Linkedin, omdat dit zakelijke sociale netwerk juist tot doel heeft om werkzoekenden en werkgevers met elkaar te verbinden.
  • Iedereen die een account heeft op LinkedIn heeft expliciet toestemming gegeven om zijn persoonsgegevens voor dit doel te gebruiken.

3. Langdurige opslag van gegevens van sollicitanten

  • Bedrijven die de cv’s van sollicitanten archiveren als de functie is vervuld overtreden de privacywet.
  • Sommige bedrijven slaan de persoonsgegevens van sollicitanten op om hen wellicht later toch nog te kunnen benaderen voor een nieuwe vacature. Dat is in strijd met de GDPR.
  • Als een vacature is vervuld moeten de sollicitaties van alle afgevallen kandidaten vernietigd worden.
  • Tenzij deze kandidaten expliciet toestemming hebben gegeven om hun persoonsgegevens op te slaan in een talentenpool. Dan mogen de cv’s nog maximaal een jaar worden opgeslagen.

4. Eindeloze formulieren om gegevens te verzamelen

  • De GDPR / AVG bepaalt dat alleen die persoonsgegevens mogen worden verzameld die absoluut noodzakelijk zijn voor het verdere doel.
  • Welke gegevens nodig zijn om de juiste kandidaten te selecteren, hangt af van het werkgebied.
  • HR-afdelingen die sollicitanten een eindeloos formulier laten invullen bij een sollicitatie overtreden de privacywet.

5. Vragen om een sollicitatiefoto

  • Het verzoek om een pasfoto van een sollicitant is niet langer legitiem. De foto zegt niets over beroepsbekwaamheid en is daarom niet noodzakelijk is voor de selectieprocedure.

 

6. Aanbevelingen ontvangen via eigen medewerkers

  • Bedrijven belonen in toenemende mate hun eigen medewerkers wanneer zij geschikte kandidaten aanbevelen. Medewerkers sturen dan vaak het CV van een vriend of bekende samen met een persoonlijk advies naar de HR-afdeling.
  • Hoewel dergelijke aanbevelingen voor elke rekruteerder goud waard zijn, brengen ze een groot risico voor de gegevensbescherming met zich mee als de aanbevolen kandidaten niet uitdrukkelijk hebben ingestemd met de verdere verwerking van de gegevens.
  • Om ook in de toekomst van eigen medewerkers aanbevelingen te kunnen blijven ontvangen en verwerken dient in het ideale geval elektronisch controleerbare goedkeuring te worden verkregen van de aanbevolen kandidaten.

Meer actueel awareness nieuws