Contact

Contactpagina

Bezoekadres
Reitseplein 1
Postbus 90154
5000 LG TILBURG
T 013 205 00 00

Voor ondernemers uit Zeeland:
Oostelijk Bolwerk 9
4531 GP Terneuzen
T 0115 451456

Gaan thuiswerken en AVG goed samen? [SIMAC]

Het jaar 2020 zal de toekomst ingaan als het jaar van het coronavirus net zoals het jaar 1918 herinnerd wordt als het jaar van de Spaanse griep. Misschien minder bekend vanwege een vroeger centennium, namelijk de 14e eeuw, is de Zwarte Dood. Voor velen beter bekend als de pest. Kenmerkend voor deze rampspoeden zijn de grote aantallen levens die ze hebben geëist, omdat er geen vaccin bestond.

Thuiswerken is eenvoudiger dan vroeger

In de bestrijding en aanpak van deze rampspoeden zijn overeenkomsten te herkennen. Mensen die de kenmerken vertoonden werden geïsoleerd, iets wat we heden ten dage nog steeds doen, evenals het mijden van plaatsen waar ze besmet zouden kunnen worden. Dit laatste is tegenwoordig met betrekking tot de arbeid wat eenvoudiger dan vroeger, door in veel gevallen medewerkers thuis te laten werken. In vroegere tijden was men meer afhankelijk van handarbeid ter plaatse, net zoals dat nu nog steeds het geval is in diverse branches, denk alleen al aan de slachterijen in de vleesverwerkende industrie.

Hoe veilig is thuiswerken?

Het thuiswerken lijkt vooralsnog een prima middel om het coronavirus in te dammen. Echter, het vergroot het risico op andere virussen. Door nepmails (phishing mails) of gijzel-software (ransom-ware) liggen datalekken op de loer. De vraag is dan ook: hoe veilig is de thuiswerkomgeving? Idealiter log je thuis in op de server van jouw bedrijf en werk je met een beveiligde verbinding die net zo veilig is als werken op de zaak. Daarbij niet uit het oog verliezend dat bij voorkeur het een laptop of werkstation moet zijn dat door het bedrijf ter beschikking is gesteld en niet je privé laptop of werkstation.

Goede stap naar AVG-veilige omgeving

Technisch kunnen we hiermee een goede stap maken naar een AVG-veilige omgeving. Echter naast de technische component is er ook nog de organisatorische component die in ogenschouw genomen dient te worden. We hebben namelijk in plaats van één nu ineens hon-der-den kantoorlocaties. Iedere medewerker die thuis werkt is nu een kantoorlocatie geworden. En op die locaties bevinden zich nu bedrijfsgegevens die onder de privacy wetgeving kunnen vallen en dus een AVG-risico vormen. De vraag is dus ook: hoe degelijk heeft iedereen die thuiswerkt zijn werkplek georganiseerd?

AVG: technisch en organisatorisch

Het antwoord zit niet zozeer in de mogelijke datalekken die ontstaan door de al eerder benoemde technische beveiliging. Het zijn meer de organisatorische zaken die een rol spelen, zoals ‘clean desk policy’ en het vernietigen van documenten die thuis afgedrukt worden. Op kantoor hebben we daar regels voor om te voorkomen dat collega’s privacy gerelateerde informatie inzichtelijk krijgen die niet voor hen bestemd is. Ook dit valt namelijk onder de categorie datalekken. Denk hierbij aan de boete opgelegd aan het Haga Ziekenhuis door de Autoriteit Persoonsgegevens.

AVG-regels gelden ook voor familieleden

Thuis hebben we onze familieleden als collega’s en daar gelden dezelfde privacyregels voor. We zouden toch niet geconfronteerd willen worden met de vondst van een lijstje met persoonsgegevens achtergelaten in een boodschappenkarretje. Echtgenote had even een papiertje nodig om de boodschappen op te schrijven, laat ze nu net de achterkant van het thuis afgedrukte lijstje hebben genomen. Ook dit is een voorbeeld uit de praktijk.

Hoe ziet jouw privacybeleid eruit?

Bij een degelijk uitgevoerd privacybeleid hebben we de bedrijfsprocessen, middelen, risico’s en maatregelen vastgelegd. Bij een verandering in de bedrijfsprocessen of middelen gaan we beoordelen wat dit betekent voor de risico’s die we lopen en welke maatregelen we moeten nemen. Met andere woorden, we voeren een Data Protectie Impact Analyse (DPIA) uit. Deze brengt bovengenoemd keurig in beeld en wordt netjes gedocumenteerd. De praktijk aan de andere kant is dat we veelal vanuit een IT technische invalshoek kijken en praten over IT security. Daarmee gaan we volledig voorbij aan de bovengenoemde organisatorische component.

Moraal van dit verhaal

Willen we als organisatie de virussen onder controle houden met een voldoende opgebouwd afweersysteem, dan dient de organisatie naast een Information Security Management System (ISMS) ook te beschikken over een Privacy Information Management System (PIMS).

Met dank aan onze strategische partner Simac voor het schrijven van dit artikel

Meer informatie over onze strategische partners >>

"*" geeft vereiste velden aan

 

Met het versturen van deze gegevens ga je akkoord met de wijze waarop wij jouw gegevens verwerken. Privacy statement