Het jaar 2020 zal de toekomst ingaan als het jaar van het coronavirus net zoals het jaar 1918 herinnerd wordt als het jaar van de Spaanse griep. Misschien minder bekend vanwege een vroeger centennium, namelijk de 14e eeuw, is de Zwarte Dood. Voor velen beter bekend als de pest. Kenmerkend voor deze rampspoeden zijn de grote aantallen levens die ze hebben geëist, omdat er geen vaccin bestond.
In de bestrijding en aanpak van deze rampspoeden zijn overeenkomsten te herkennen. Mensen die de kenmerken vertoonden werden geïsoleerd, iets wat we heden ten dage nog steeds doen, evenals het mijden van plaatsen waar ze besmet zouden kunnen worden. Dit laatste is tegenwoordig met betrekking tot de arbeid wat eenvoudiger dan vroeger, door in veel gevallen medewerkers thuis te laten werken. In vroegere tijden was men meer afhankelijk van handarbeid ter plaatse, net zoals dat nu nog steeds het geval is in diverse branches, denk alleen al aan de slachterijen in de vleesverwerkende industrie.
Het thuiswerken lijkt vooralsnog een prima middel om het coronavirus in te dammen. Echter, het vergroot het risico op andere virussen. Door nepmails (phishing mails) of gijzel-software (ransom-ware) liggen datalekken op de loer. De vraag is dan ook: hoe veilig is de thuiswerkomgeving? Idealiter log je thuis in op de server van jouw bedrijf en werk je met een beveiligde verbinding die net zo veilig is als werken op de zaak. Daarbij niet uit het oog verliezend dat bij voorkeur het een laptop of werkstation moet zijn dat door het bedrijf ter beschikking is gesteld en niet je privé laptop of werkstation.
Technisch kunnen we hiermee een goede stap maken naar een AVG-veilige omgeving. Echter naast de technische component is er ook nog de organisatorische component die in ogenschouw genomen dient te worden. We hebben namelijk in plaats van één nu ineens hon-der-den kantoorlocaties. Iedere medewerker die thuis werkt is nu een kantoorlocatie geworden. En op die locaties bevinden zich nu bedrijfsgegevens die onder de privacy wetgeving kunnen vallen en dus een AVG-risico vormen. De vraag is dus ook: hoe degelijk heeft iedereen die thuiswerkt zijn werkplek georganiseerd?
Het antwoord zit niet zozeer in de mogelijke datalekken die ontstaan door de al eerder benoemde technische beveiliging. Het zijn meer de organisatorische zaken die een rol spelen, zoals ‘clean desk policy’ en het vernietigen van documenten die thuis afgedrukt worden. Op kantoor hebben we daar regels voor om te voorkomen dat collega’s privacy gerelateerde informatie inzichtelijk krijgen die niet voor hen bestemd is. Ook dit valt namelijk onder de categorie datalekken. Denk hierbij aan de boete opgelegd aan het Haga Ziekenhuis door de Autoriteit Persoonsgegevens.
Thuis hebben we onze familieleden als collega’s en daar gelden dezelfde privacyregels voor. We zouden toch niet geconfronteerd willen worden met de vondst van een lijstje met persoonsgegevens achtergelaten in een boodschappenkarretje. Echtgenote had even een papiertje nodig om de boodschappen op te schrijven, laat ze nu net de achterkant van het thuis afgedrukte lijstje hebben genomen. Ook dit is een voorbeeld uit de praktijk.
Bij een degelijk uitgevoerd privacybeleid hebben we de bedrijfsprocessen, middelen, risico’s en maatregelen vastgelegd. Bij een verandering in de bedrijfsprocessen of middelen gaan we beoordelen wat dit betekent voor de risico’s die we lopen en welke maatregelen we moeten nemen. Met andere woorden, we voeren een Data Protectie Impact Analyse (DPIA) uit. Deze brengt bovengenoemd keurig in beeld en wordt netjes gedocumenteerd. De praktijk aan de andere kant is dat we veelal vanuit een IT technische invalshoek kijken en praten over IT security. Daarmee gaan we volledig voorbij aan de bovengenoemde organisatorische component.
Willen we als organisatie de virussen onder controle houden met een voldoende opgebouwd afweersysteem, dan dient de organisatie naast een Information Security Management System (ISMS) ook te beschikken over een Privacy Information Management System (PIMS).
Met dank aan onze strategische partner Simac voor het schrijven van dit artikel