Hoe lang mag je persoonsgegevens volgens de AVG eigenlijk bewaren? De Autoriteit Persoonsgegevens geeft 5 aanbevelingen

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Over het register van verwerkingen

De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

PrivacyZone helpt bij het opzetten van een verwerkingsregister

Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.

Meer actueel awareness nieuws

10 vragen die de Autoriteit Persoonsgegevens stelt bij een steekproef. Kan jouw organisatie meteen antwoorden?

Stel dat jouw organisatie volgende week onverwachts door de Autoriteit Persoonsgegevens (AP) wordt bezocht voor een steekproef… Kun jij dan deze 10 vragen beantwoorden die de toezichthouders in Duitsland momenteel stellen bij AVG steekproeven in het MKB?

 

1. voorbereiding op de AVG

Hoe heeft u zich als bedrijf voorbereid op de AVG?

Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.

Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.

2. lijst van verwerkingsactiviteiten

Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?

Hoe zorgt u ervoor dat het up-to-date is?

Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.

3. toelaatbaarheid van de verwerking

Op welke wettelijke basis verwerkt u persoonlijke gegevens?

Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.

4. rechten van de betrokkenen

Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?

Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.

Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.

5. technische gegevensbescherminga

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?

Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?

Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)

6. beoordeling van de gevolgen voor de persoonlijke levenssfeer

Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming

Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.

7. orderverwerking

Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?

Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.

8. functionaris voor gegevensbescherming

Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?

Welk bewijs van deskundigheid heeft hij?

9. rapportageverplichtingen

Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?

Schets uw gerelateerde processen.

10. documentatie

Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?

Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.

Meer actueel awareness nieuws

Gemeente Den Helder stopt vanwege AVG met publicatie burgerlijke stand

De gemeente Den Helder zegt vanwege de Algemene Verordening Gegevensbescherming (AVG) te stoppen met het wekelijks publiceren van de gegevens uit de Burgerlijke Stand. Op 30 oktober wordt het laatste overzicht gemaakt.

“Sinds jaar en dag informeren we onze inwoners over geboorte-, huwelijks- en overlijdensaangiften. Dat gebeurt via publicaties in de media en op onze gemeentelijke website. Met de intrede van de nieuwe verordening Algemene verordening gegevensbescherming (AVG) behoren deze publicaties binnenkort tot het verleden”, verklaart de gemeente Den Helder.

Volgens de AVG mogen persoonsgegevens alleen worden gepubliceerd als daar toestemming voor wordt gegeven. Den Helder zegt dat daar een speciale administratie voor zou moeten worden opgezet. Dat zou teveel tijd kosten. Daarom heeft de gemeente besloten te stoppen met een oude traditie.

Meer actueel awareness nieuws

Alle ziekenhuizen en zorgverzekeraars voldoen aan de AVG. Ze hebben een functionaris voor de gegevensbescherming aangesteld

De Autoriteit Persoonsgegevens (AP) zegt dat alle ziekenhuizen en zorgverzekeraars nu een functionaris voor de gegevensbescherming (FG) hebben aangesteld. De Autoriteit Persoonsgegevens controleerde 91 ziekenhuizen en 33 zorgverzekeraars.

Bij een eerste controle bij bijna 25% van de organisaties trof de AP bij 17 ziekenhuizen en 2 zorgverzekeraars nog geen contactgegevens voor een FG op websites aan.

Verplicht aanmelden Functionaris Gegevensbescherming

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG.

Onderdeel hiervan is dat sommige organisaties, zoals ziekenhuizen en zorgverzekeraars, een functionaris voor de gegevensbescherming (FG) moeten aanstellen die binnen de organisatie toezicht houdt op naleving van de AVG.

Iedereen die dat wil kan ook makkelijk contact opnemen met de FG: hun (directe) contactgegevens zijn gepubliceerd op de websites van de organisaties.

De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven.

De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.

Communiceren contactgegevens

Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit.

Het is verplicht een direct telefoonnummer of e-mailadres te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk.

Van de organisaties die wel contactgegevens op hun website vermelden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.

Steekproeven Autoriteit Gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd.

De controleerde AP eerder overheidsorganisaties op FG’s. Daarnaast deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

Meer actueel awareness nieuws

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

Meer actueel awareness nieuws

AVG Awareness veiligheidsmaatregel: contactloze autosleutelsysteem laten uitschakelen. Zeer onveilig systeem

Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.

Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.

AVG awareness maatregel contactloze sleutels

De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.

De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.

Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.

Wanneer wordt jouw auto gestolen?

Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.

,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).

Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.

Laat de contactloze sloten uitschakelen

Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”

Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”

PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.

Systeem niet zelf uitschakelen

Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.

De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.

Inbraakgolf in auto’s

In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.

Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.

De meest gestolen auto’s met contactloze sleutels

Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:

  • Nummer 1: Toyota RAV4

Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.

  • Nummer 2: Citroën C4

Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.

  • Nummer 3: Land Rover Evoque

Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.

  • Nummer 4: Lexus NX

De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.

  • Nummer 5: Lexus IS

De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.

  • Nummer 6: Range Rover Sport van Land Rover

Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.

  • Nummer 7: De A-Klasse van Mercedes-Benz

Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.

  • Nummer 8: XF van Jaguar

Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.

Meer actueel awareness nieuws

10 grote AVG risico’s waar ondernemers vaak niet meteen aan denken

“Hebt u ook een verwerkersovereenkomst voor me die ik naar klanten of leveranciers kan sturen?” Dat is het eerste wat ondernemers meestal vragen als ze professionele ondersteuning inschakelen bij de ontwikkeling van privacybeleid. Bijna niemand vraagt om een awareness training voor medewerkers. Terwijl zij voor de meeste privacyrisico’s zorgen.

95 procent van de datalekken wordt veroorzaakt door menselijke fouten.

We zetten de 10 grootste risico’s voor u op een rij.

1. bestanden belanden in de prullenbak

In het digitale tijdperk wordt vaak vergeten dat gedrukte producten ook persoonsgegevens kunnen bevatten. Digitaal aangeleverde documenten worden voor een vergadering op papier geprint. Ouderwetse post wordt omgekeerd ingescand.

De papieren versies belanden na gebruik in de prullenbak. Vrij toegankelijk voor iedereen. De schoonmakers vsn het schoonmaakbedrijf hebben zo onbevoegd toegang tot persoonsgegevens.

Bedtsnden met persoonsgegevens moeten op de juiste manier worden vernietigd (bijvoorbeeld versnipperd). Organiasties die doorlopend veel documenten met persoonsgegevens moeten vernietigen doen er verstandig aan om het versnipperen over te dragen aan gecertificeerde externe dienstverleners die een beveiligde documentencontainer plaatsen die geregeld wordt afgehaald. U ontvangt dan een bewijs voor uw verwerkingsregister dat de documenten daadwerkelijk zijn vernietigd.

2. Privé USB-sticks, externe harde schijven en cd-rom’s

Sommige medewerkers nemen persoonlijke USB-sticks, externe harde schijven en cd-rom’s mee naar kantoor om daar tussendoor op de computer van de zaak persoonlijke zaken af te handelen. Of om bedrijfsbestanden op te slaan zodat er thuis op de privé computer aan verder gewerkt kan worden. Dat brengt grote risico’s met zich mee.

De apparaten kunnen worden geïnfecteerd met malware die zich verspreidt in het besturingssysteem en een bedreiging vormt voor de gegevens. Daarom mogen privé-apparaten binnen het bedrijf niet worden toegestaan en moeten apparaten die eigendom zijn van het bedrijf met encryptie worden uitgerust.

3. bedrijfsapparaten worden voor privédoeleinden gebruikt

Thuiskantoor en werken onderweg zijn wijdverbreid. De ter beschikking gestelde hulpmiddelen (laptops, tablets, smartphones) worden vaak ook voor privédoeleinden gebruikt.

Hierdoor kunnen onbevoegde derden, met name in geval van verlies of diefstal, gemakkelijk toegang krijgen tot vertrouwelijke bedrijfsdocumenten. Harde schijven en USB-sticks moeten daarom worden versleuteld en het gebruik van openbare WLAN moet worden verboden.

4. gebruik van personlijke e-mailaccounts voor het werk

Veel werknemers gebruiken privé e-mailadressen om bedrijfsdocumenten te versturen die vertrouwelijke persoonlijke gegevens bevatten. Redenen: Gemak, onervarenheid met e-mailprogramma’s van het bedrijf, gebruik van documenten voor privédoeleinden.

Zij gebruiken daarbij vaak onveilige overdrachtmethoden.

Helaas weten veel hackers die altijd op zoek zijn naar manieren om vertrouwelijke gegevens te stelen dat ook.

Het gebruik van particuliere e-mailaccounts voor zakelijke doeleinden moet daarom worden verboden.

Voor het versleutelen van bestandsbijlagen moet gebruik worden gemaakt van geautomatiseerde hulpmiddelen die door het bedrijf worden geleverd.

5. Een eenvoudig centraal wachtwoord voor iedereen voor alles: hallo 123

Best wel praktisch dat Jantje Pietje spontaan kan vervangen op de afdeling. Dat de stagiaire eenvoudig kan assisteren. En dat de externe HR-medewerker overal bij kan.

Sommige organisaties hebben voor applicaties, bestanden en computers een groepsaccount gemaakt met een praktisch eenvoudig te onthouden wachtwoord. Dat is bepaald niet veilig.

Het delen van accounts is een no-go! Een fatale fout in de gegevensbescherming!

Volgens de AVG moeten per medewerker bevoegdheden worden vastgelegd. Dat kan met een algemeen account niet.

Bovendien is een algemeen account erg kwetsbaar. Het wachtwoord is algemeen bekend en kan snel op straat komen of worden gekraakt.

Na het kraken van dit wachtwoord is het dan mogelijk om toegang te krijgen tot alle vertrouwelijke persoonsgegevens in uw organisatie.

Werknemers moeten technisch worden gedwongen om lange wachtwoorden (acht tot twaalf tekens) te gebruiken, die ook bestaan uit hoofdletters en kleine letters, getallen en speciale tekens. Ook moeten deze regelmatig worden aangepast.

U mag medewerkers alleen toegang geven tot gegevens die zij voor hun taak daadwerkelijk nodig zijn.

6. Kom binnen!

Veel bedrijven willen gastvrij overkomen. Bezoekers kunnen spontaan de werkvloer oplopen. Dat brengt echter grote risico’s met zich mee.

Zeker wanneer mensen van buiten het bedrijf zonder begeleiding kunnen rondlopen.

Een open kantoor, een vrijgespeelde serverruimte en een vergeten document op de printer kunnen fatale gevolgen hebben voor de gegevensbescherming van klanten en medewerkers.

Buitenstaanders mogen alleen voor operationele doeleinden en onder toezicht toegang tot de werkvloer krijgen.

7. te veel informatie verstrekken via de telefoon

“Ik probeer Henk te bereiken. Hij zou vandaag langskomen voor een klus. Maar hij neemt niet op. Hebt u zijn mobiele nummer voor mij?”

Wanneer mag je aan de telefoon eigenlijk persoonsgegevens aan derden verstrekken?

Veel medewerkers weten het niet. Ze willen klantvriendelijk zijn en spreken dan snel hun mond voorbij.

Of ze gaan te amicaal met jarenlange trouwe klanten om en vertellen spontaan aan de telefoon wat ze nou weer beleefd hebben met die en die.

Om te voorkomen dat medewerkers onrechtmatig telefonisch teveel informatie verstrekken is het van belang om de medewerker vooraf grondig te instrueren welke informatie wel en niet mag worden verstrekt.

Maak een telefoonprotocol dat door de medewerkers moet worden ondertekend.

8 Chaos op de werkvloer

Vertrouwelijke brieven, contracten, notities met wachtwoorden, USB-sticks, postbakjes vol uitgaande poststukken bij de balie, stapels papier op het bureau. Als iedere buitenstaander in een oogopslag deze privacypuinhoop kan zien, is de chaos op het gebied van gegevensbescherming perfect.

De AVG dwingt tot een clean desk policy. Zo’n beleid is nuttig, omdat het structuur aanbrengt in organisaties. Er zijn dan duidelijke afspraken over hoe wordt omgegaan met de eigen werkplek en de directe omgeving. Er wordt vastgelegd dat er geen documenten met vertrouwelijke documenten achtergelaten mogen worden bij het verlaten van de werkplek. Computers moeten vergrendeld zijn.

9 De overvolle mailbox

Een van de beginselen van het recht inzake gegevensbescherming is dataminimalisatie. Beperk de opslag van persoonsgegevens zo veel mogelijk. Gegevens mogen niet langer bewaard worden dan nodig is voor het doel van de verwerking.

Ondertussen zit de mailbox stampvol met mail. U kunt mail van een paar jaar oud eenvoudig terug vinden. Best praktisch. Je weet nooit waar het goed voor is. Toch?

Kan best zijn, maar het mag niet. De mailbox moet net als postbakjes met brieven op uw bureau regelmatig worden geleegd.

Documenten met persoonlijke gegevens die op de harde schijf zijn opgeslagen, maar niet zijn vereist, moeten naar de prullenbak worden overgebracht.

U bent verplicht zich te houden aan wettelijke bewaartermijnen!

10. Datalekken verzwijgen

Iedereen maakt fouten. Voor je het weet heb je een mail met vertrouwelijke gegevens naar een verkeerd adres gestuurd.

Opeens bent u uw telefoon kwijt.

Uw bedrijf is slachtoffer geworden van hackers omdat een medewerker op een phishingmail heeft geklikt.

Niemand is blij met fouten.

Het liefst wil je over fouten zwijgen.

Struisvogel spelen.

Maar dat is iets dat u vooral niet moet doen!

U bent verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens en meteen maatregelen te treffen om schade te voorkomen of te beperken.

Als u dat niet doet kan de Autoriteit Persoonsgegevens u fors beboeten.

Meer actueel awareness nieuws