AVG in coronatijd

0
273
Jeroen van Puijenbroek
Jeroen van Puijenbroek

AVG in coronatijd

Door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Door de coronacrisis is de aandacht voor Algemene Verordening Gegevensbescherming (AVG) bij u wellicht wat gezakt. Tegelijkertijd heeft deze crisis ook geleid tot veel vragen over de AVG. In dit artikel behandel ik er enkele.

De regels van de AVG blijven in in deze crisistijd gewoon van toepassing. Dus als u nieuwe gegevensverwerkingen heeft (bijvoorbeeld videoconferencing) moet u onder andere nagaan of er een geldige grondslag is, moet u de privacyrisico’s nagaan (zie ook blog: Is een DPIA vereist?) en moet u passende beveiligingsmaatregelen nemen om persoonsgegevens te beveiligen. Ook kan het aanleiding zijn om uw privacybeleid (zie ook blog: Privacybeleid) aan te passen bijvoorbeeld omdat uw medewerkers thuis gaan werken.

De Autoriteit Persoonsgegevens (AP, de toezichthouder op de AVG) heeft in het begin van de coronacrisis aangegeven ‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’. Zolang als deze crisis duurt is de AP ‘coulant’ bij de handhaving en krijgen bedrijven meer tijd om vragen te beantwoorden of documenten op te leveren. Nu de crisis langer duurt zal naar verwachting de ‘coulance’ minder worden en zal de AP van organisaties weer gaan eisen dat zij hun zaken op orde hebben.

1. Corona en verwerking persoonsgegevens

Van u als werkgever wordt verwacht dat u maatregelen neemt om te voorkomen dat het coronavirus zich verder verspreidt maar u moet ook voldoen aan de AVG. Met betrekking tot de verwerking van persoonsgegevens moet u hierbij rekening houden met de volgende aspecten:

  1. Gezondheidsgegevens zijn bijzondere persoonsgegevens die in een arbeidsrelatie alleen door de bedrijfsarts mogen worden verwerkt. Vraag dus bij ziekte niet of iemand corona heeft en leg het niet vast als de zieke werknemer dit wel aangeeft. Ook al geeft de medewerker of uw OR expliciet toestemming dan is dit nog steeds niet toegestaan Vanwege de arbeidsrelatie is er geen sprake van gelijkwaardigheid en kunnen de medewerkers niet in vrijheid toestemming geven.
  2. Het spreekt natuurlijk voor zich dat u uw medewerkers niet laat weten of, en welke, medewerkers corona hebben. Ook hier gaat het om gezondheidsgegevens die u niet mag delen.
  3. Het meten of een medewerker koorts heeft is lastig. In de eerste plaats omdat dit gezondheidsgegevens oplevert en die mag u niet verwerken. De AP heeft aangegeven dat koorts meten alleen mag als de medewerker dit zelf doet en de data niet op een of andere manier wordt opgeslagen. Hoewel de AVG dan niet van toepassing is (de meetgegevens worden niet bewaard), kan de inbreuk op de persoonlijke levenssfeer toch groot zijn. Bijvoorbeeld als iemand na een temperatuurmeting niet naar binnen mag en een hele rij wachtenden kan dat zien. Ook kan de bescherming van een ander grondrecht, zoals de integriteit van het lichaam, in het geding zijn. Afhankelijk van de inrichting, kan het enkel meten van de temperatuur alsnog onrechtmatig zijn.
  4. Andere gegevens kunt u wel verwerken, bijvoorbeeld over de plaatsen/landen waar medewerkers zijn geweest. Dit zijn namelijk geen gezondheidsgegevens en u kunt er belang bij hebben om dit te weten. Bijvoorbeeld om te bepalen of iemand naar een land met een negatief reisadvies is geweest in verband met de mogelijk noodzakelijke thuisquarantaine.
  5. Een werkgever verwerkt geen persoonsgegevens in een eventuele corona-app, maar kan hij van werknemers verwachten/verlangen dat zij deze app gebruiken? Nee, dit wordt verboden in de Wet Publieke Gezondheid. Gebruik van deze app is altijd vrijwillig.

2. Videoconferencing-tools

U zult waarschijnlijk veel meer dan voorheen gebruik maken van videoconferencing-tools. Bijvoorbeeld om te vergaderen, om één op één af te stemmen of wellicht wel om een sollicitatiegesprek te voeren. Hieronder een aantal tips.

  1. In veel gevallen zult u software gebruiken waarmee persoonsgegevens worden verwerkt. Ga dus altijd na of er een verwerkersovereenkomst moet worden afgesloten.
  2. Ga na wat de privacyrisico’s zijn, welke gegevens er worden verwerkt en hoe deze beveiligd moeten worden. Als het gaat om vertrouwelijke gegevens is het van belang dat de verbinding versleuteld is. Houd daar dus rekening mee.
  3. Ga na of er gegevens worden bewaard en waar dat dan gebeurt. Als gegevens buiten de Europese Unie (EU) worden opgeslagen moet u aanvullende maatregelen nemen om een passend beschermingsniveau te waarborgen. In landen buiten de EU gelden vaak minder strenge privacyregels. Soms bestaat ook de mogelijkheid om de software op eigen servers te laten draaien.
  4. U weet waarschijnlijk ook wel dat gratis software meestal nooit echt gratis is. Vaak betekent gratis dat er concessies worden gedaan op het gebied van privacy en beveiliging. Bij de keuze van een tool is gebruikersgemak uiteraard belangrijk maar dit mag niet ten koste gaan van privacy- en informatiebeveiligingsissues.
  5. Als u gebruik maakt van videoconference voor een sollicitatiegesprek, dan moet u weten dat sollicitanten niet verplicht kunnen worden om hier deel aan te nemen. U moet altijd een serieuze alternatieve manier van solliciteren aanbieden als een fysieke sollicitatie niet mogelijk is (bijvoorbeeld zonder beeld of gewoon telefonisch). Als u de gesprekken wilt vastleggen, zorg dan voor een beperkte bewaartermijn.

3. Veilig thuis werken

Van de ene op de andere dag zijn bedrijven gaan thuiswerken. Hierdoor is soms wel eens vergeten de risico‘s in kaart te brengen en passende maatregelen te nemen. Hieronder een aantal tips.

  • Maak intern heldere afspraken over het thuiswerken en leg deze vast in beleid en/of overeenkomsten. Welke toegang tot het bedrijfsnetwerk biedt u uw werknemer aan, wat wordt er van de werknemer verwacht ten aanzien van het gebruik van eigen devices of het gebruik van (actuele) software en beveiliging en spreek af welke informatie in welke tools gebruikt kan worden.
  • Laat thuiswerkers bij voorkeur werken op het bedrijfssysteem en zorg voor voldoende (netwerk)capaciteit en een veilige verbinding, bijvoorbeeld via VPN.
  • Maak zoveel mogelijk gebruik van multifactorauthenticatie (MFA) voor toegang tot uw bedrijfsnetwerk en dwing sterke wachtwoorden af.
  • Thuiswerkers moeten altijd zorgen voor een veilige Wifi-verbinding, werk en privé gescheiden houden en zich houden aan instructies van hun werkgever bijvoorbeeld ten aanzien van het downloaden en gebruiken van software.
  • Tenslotte: medewerkers moeten zich thuis – zoals op het werk – bewust zijn van allerlei vormen van phishing. Cybercriminelen zien namelijk ook in corona de mogelijkheid om allerlei gegevens te ontfutselen waarmee ze hacks plegen, of geld en identiteit stelen. Denk maar aan valse emails van het RIVM waarin mondkapjes worden aangeboden, Whatsapp-berichten waarmee verzocht wordt om een nieuwe anti-bacteriële pas aan te vragen, of sms-jes met het verzoek de corona-app te downloaden.
  • Zorg voor (technische) ondersteuning op afstand voor de thuismedewerkers en laat je platform monitoren op eventuele aanvallen met malware of het detecteren van phishing mails.
  • Op kantoor staan vaak afgeschermde oudpapiercontainers voor onder andere documenten met persoonsgegevens die vertrouwelijk worden vernietigd. Hoe moet de medewerker thuis met dit soort hardcopy documenten omgaan? Zorg ook hier voor beleid.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven in de flexbranche extern getoetst kunnen worden. Wilt u meer weten? U kunt ons bereiken via info@avggarant.nl.

Zie ook
Is een DPIA vereist voor een ‘Mijn omgeving’?
Is een Functionaris voor de Gegevensbescherming verplicht?
Stichting AVG Garant: privacy normeren

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here