Netherlands

Corona: AVG, privacybeleid en digitale veiligheid

 


AVG-compliance voor bedrijven tijdens de coronacrisis


Het coronavirus heeft ook gevolgen voor de digitale veiligheid van data, de AVG en uw privacybeleid. Zo komt u steeds meer dilemma's tegen die enerzijds betrekking hebben op het verwerken van (bijzondere) persoonsgegevens van medewerkers en anderzijds het voldoen aan de arbeidsrechtelijke verplichting van goed werkgeverschap.

Aandachtspunten binnen uw privacybeleid

Vooral de grotere organisaties troffen al vroeg preventieve coronamaatregelen vanuit goed werkgeverschap. Denk aan quarantaine van medewerkers, thuiswerken en het schrappen van evenementen. Het midden- en kleinbedrijf (MKB) heeft minder van zulke mogelijkheden en wordt (financieel) hard getroffen. Terwijl de bedrijfscontinuïteit voorop staat, worden bedrijven echter ook geconfronteerd met verschillende privacydilemma's. Het is belangrijk dat u, ook nu, een AVG-proof privacybeleid voert, om boetes te voorkomen.

Op basis van de Algemene verordening gegevensbescherming (AVG) kunnen we de volgende aandachtspunten benoemen voor uw privacybeleid:

  • Omgaan met ziekmeldingen en besmettingen met het coronavirus.
  • Welke regels gelden als u in meerdere landen actief bent?
  • Cyberweerbaarheid, datalekken en andere AVG-compliance aspecten.

AVG-proof omgaan met ziekmeldingen tijdens de coronacrisis

U krijgt nu wellicht meer ziekmeldingen. Mag u in dat geval vragen naar de klachten van uw medewerker? Het is goed denkbaar dat u wilt weten of er sprake is van het coronavirus, om de gevolgen te beperken. Toch is het uitvragen, communiceren en in lijsten verwerken van de redenen waarom uw medewerkers zich ziekmelden nog steeds niet toegestaan binnen de AVG. Als u zich niet aan dit verbod houdt, riskeert u forse boetes.

Wellicht zijn er managers die dit soort zaken nu toch uitvragen, opschrijven en communiceren. Op basis van de AVG en gezien het standpunt van de Autoriteit Persoonsgegevens (AP) vormt het coronavirus géén uitzonderingssituatie. Ga dus AVG-proof om met ziekmeldingen en informeer uw management nadrukkelijk dat het verwerken van bijzondere persoonsgegevens door werkgevers niet is toegestaan. Als gevolg hiervan is het voor u als werkgever helaas lastiger om maatregelen te nemen om het virus in te dammen.

De Autoriteit Persoonsgegevens heeft overigens wel op vrijdag 20 maart aangegeven dat organisaties die in een uitvraag of een lopend onderzoek een vraag van de AP moeten beantwoorden of informatie moeten inleveren in verband met de strijd tegen het coronavirus, kunnen rekenen op coulance en langere termijnen om te antwoorden.

Mag ik een coronageval intern communiceren?

Wat nu als er binnen uw bedrijf een collega besmet is? Mag u als werkgever dan de temperatuur van andere collega’s opnemen of testen uitvoeren? Ook dit is volgens de Autoriteit Persoonsgegevens in strijd met de wet. Het verwerken van bijzondere persoonsgegevens door de werkgever is namelijk in beginsel niet toegestaan volgens de AVG. U moet de medische afhandeling overlaten aan de Arbodienst. Als een medewerker is besmet, kunt u dus ook niet zomaar aan collega's communiceren om wie het gaat. Daarnaast gaan er stemmen op om locatiegegevens van zieke werknemers te gebruiken om het coronavirus in te dammen. De Autoriteit Persoonsgegevens heeft hierop aangegeven dat dit (bij gebrek aan wettelijke grondslag) niet toegestaan is.

Daarnaast zouden alle werkgevers de adviezen van de GGD en het RIVM moeten volgen. Ook hier is het creëren van awareness bij uw management essentieel.

Bent u in meerdere landen actief? Houd rekening met verschillende privacyregels

Zoals gezegd hanteert de Autoriteit Persoonsgegevens in Nederland nog steeds strikte normen. Zij ziet het coronavirus, ondanks de wereldwijde impact, niet als reden om coulanter om te gaan met de huidige AVG-normen. De Engelse toezichthouder (ICO) is op dit punt veel coulanter en stelt dat werkgevers een zeer zwaarwegend belang hebben om dit virus in te dammen. De ICO redeneert meer vanuit de verplichting van de werkgever om zijn medewerkers te beschermen, dus goed werkgeverschap.

Op grond hiervan mogen organisaties in Engeland veel meer, zoals het informeren van collega's in geval van een besmetting, het delen van bijzondere persoonsgegevens met de autoriteiten, etc. Een en ander moet wel in verhouding staan tot de omstandigheden, het is dus niet zo dat in Engeland informatie onbeperkt gedeeld mag worden, aldus de ICO.

Indien uw onderneming in meerdere landen actief is, moet u er grond van de AVG rekening mee houden welke toezichthouder leidend is. Dat is het land waar uw onderneming de hoofdvestiging heeft. Is dit bijvoorbeeld in Nederland? Dan moet u het standpunt van de Nederlandse toezichthouder toepassen in uw Nederlandse privacybeleid. Wij hebben per land een overzicht van de verschillende standpunten van Europese privacytoezichthouders gemaakt. Op verzoek delen we dit graag met u.

Digitale veiligheid en datalekken voorkomen

Werken uw medewerkers vanuit huis? Zorg dan voor digitale veiligheid door hen cyberweerbaar te maken. Want juist in deze tijd wordt de kans op datalekken groter, ook door toenemende cyberrisico’s. Het risico op een datalek waarbij gevoelige of zelfs bijzondere persoonsgegevens geopenbaard worden is groter als medewerkers besluiten dossiers met persoonsgegevens in hardcopy mee naar huis te nemen of als zij (privacy)gevoelige data op een USB-stick plaatsen.

Een datalek kan zich ook voordoen als gevolg van een cyberincident. Daarom is het altijd van belang dat u in uw privacybeleid opneemt en afdwingt dat men via een VPN-verbinding vanuit huis werkt en niet bijvoorbeeld via openbare wifi. Ook het gebruik van Multi Factor Authenticatie en gebruik van sterke wachtwoorden zijn essentieel om datalekken te voorkomen.

Het gebruik van chat- en conference diensten neemt in deze periode waarschijnlijk toe en behoeft voorzichtigheid. Immers, het uitwisselen van gevoelige documenten via zo’n dienst lijkt handig, maar is met het oog op digitale veiligheid af te raden. Ook is de kans groter dat een medewerker klikt op een link in een phishing e-mail die inspeelt op het coronavirus. Het blijft dus belangrijk om duidelijke richtlijnen met betrekking tot databeveiliging aan uw medewerkers te communiceren. Zorg dat zij zich bewust zijn van de diverse privacygevaren.


Checklist AVG-compliance

Tijdens de coronacrisis vormt de continuïteit van uw bedrijf begrijpelijkerwijs een eerste prioriteit. Bedenk dat deze continuïteit ook ernstig kan worden verstoord door een cyberincident, zoals een datale of een ransomeware incident als gevolg van het klikken op een phishing link. Daarnaast is er het risico op hoge boetes wanneer andere privacynormen worden geschonden. Daarom hebben we een checklist AVG-compliance gemaakt. Op verzoek delen wij deze graag met u.