datalek voorkomen
datalek voorkomen

Voorkom datalek personeel, beveilig je dossiers

Met personeel in dienst moet je extra opletten op de beveiliging van persoons­gegevens. Voorkom hoge boetes, een beschadigde reputatie en teleurgestelde klanten of werknemers. Tips om een datalek te voorkomen.

Wat is een datalek?

Je bedrijf heeft een datalek als er persoons­gegevens in verkeerde handen terecht komen. Dit kunnen gegevens van je klanten zijn, maar ook de persoonlijke gegevens van je werknemers. Een datalek gaat over toegang tot deze gegevens of een onrechtmatige verwerking van deze data, door bijvoorbeeld je werknemers.

Je bent als bedrijf verplicht om gegevens goed te beveiligen volgens de Algemene verordening gegevensbescherming (AVG). Op het gebied van datalekken zijn er geen grote wijzigingen. De vier belangrijkste bepalingen zijn:

  1. Persoons­gegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  2. Persoons­gegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  3. Degene van wie persoons­gegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoons­gegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  4. De gegevens moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

 

Meldplicht datalekken

Sinds 2016 geldt voor alle bedrijven en overheden ook de meldplicht datalekken. Bij een ernstig datalek ben je verplicht om dit direct te melden bij de Autoriteit Persoons­gegevens.

Volgens de nieuwe privacywet AVG moet je ieder datalek binnen je bedrijf registreren en overleggen aan de Autoriteit Persoons­gegevens als erom gevraagd wordt.

Boete van maximaal 820.000 euro

Soms moet je het datalek ook melden aan de betrokkenen - de mensen van wie de persoons­gegevens zijn gelekt of gewijzigd. De Autoriteit Persoons­gegevens kan bij overtreding van de meldplicht datalekken een boete opleggen van maximaal 820.000 euro.

Veilige werkomgeving personeel

Veilige werkomgeving

Wil je werknemers een veilige werkomgeving bieden en aan de eisen van Arbowet, brandweer, gemeente en verzekeraar voldoen? Regel dan een preventie­abonnement.

Beveilig je personeels­dossiers

Gegevens van werknemers bewaar je in een fysiek of digitaal personeels­dossier. Een personeels­dossier bevat privacygevoelige informatie, zoals NAW-gegevens, het burgerservicenummer en salarisinformatie. Deze gegevens moet je goed beveiligen. De Wet bescherming persoons­gegevens (Wbp) schrijft voor aan welke verplichtingen je precies moet voldoen. Denk aan:

  • Fysieke beveiliging

Werk je nog met papieren personeels­dossiers? Zorg er dan voor dat deze niet vrij toegankelijk zijn voor personen die daar geen recht toe hebben. Laat persoons­gegevens niet slingeren, maar berg ze direct veilig op. Bewaar de dossiers in archiefkasten of ruimtes waar een slot op zit.

Zorg voor een goede beveiliging van je pand. Denk bijvoorbeeld aan een alarmsysteem, beveiligingscamera’s, goede sloten en verlichting. Zorg er ook voor dat gasten zich altijd melden en binnen je bedrijfspand worden begeleid door een werknemer.

  • Digitale beveiliging

Als je personeels­dossiers digitaal of online bewaart, moet je zorgen voor een goede digitale beveiliging. Sla bestanden op in een beveiligde online omgeving of op een aparte server, computer of harde schijf met een goede versleuteling (sterke wachtwoorden, zinnen, codes of meerdere stappen van authenticatie). Zorg er ook voor dat je deze gegevens alleen verstuurt via een goed beveiligde internetverbinding.

Draadloze verbindingen (WiFi) zijn vaak inbraakgevoelig, waardoor hackers makkelijk informatie kunnen onderscheppen. Verstuur bestanden met gevoelige informatie alleen als ze versleuteld of gecodeerd zijn. Zo voorkom je dat je slachtoffer wordt van cybercrime.

Tip: Houd je aan de bewaarplicht

Na beëindiging van een arbeids­overeenkomst met een medewerker is het gebruikelijk dat je zijn dossier nog twee jaar bewaart. Maar sommige onderdelen moet je sneller verwijderen en enkele gegevens mag je juist langer bewaren. Lees meer over de bewaarplicht.

Tip: Verzeker je tegen cybercrime

Je kunt een verzekering afsluiten tegen de financiële gevolgen van cybercrime. Een verzekeraar kan je ook helpen met preventieve maatregelen en directe hulp bij een cyberaanval. Neem bijvoorbeeld Cyberrisk van De Goudse verzekeringen.

Delen van persoons­gegevens

Wil je persoons­gegevens delen met een andere partij? Bijvoorbeeld bij het uitbesteden van je salarisadministratie? Let dan ook goed op de regels die daar aan verbonden zijn. Lees meer over het verstrekken van persoons­gegevens op de website van de Autoriteit Persoons­gegevens.

Verwerken van persoons­gegevens

Geef werknemers duidelijke instructies als zij met persoons­gegevens werken. Stel een gedragscode op, waarin je vastlegt welke persoons­gegevens ingezien mogen worden, hoe ze opgeslagen moeten worden en verzonden kunnen worden.

Stel bijvoorbeeld de regel op dat persoons­gegevens van klanten niet op een eigen computer, tablet of smartphone opgeslagen mogen worden of op een onbeveiligde USB-stick vervoerd mogen worden. Controleer vervolgens ook of er op de afgesproken manier gewerkt wordt. Op die manier doe je er alles aan om een datalek te voorkomen.

Bron: Autoriteit Persoons­gegevens

Branches ondernemers

Ken jij de risico's al?

Jouw bedrijf is goud waard, voorkom uitglijders. Ontdek de gevaren in de horeca, bouw, detailhandel, groothandel, persoonlijke of zakelijke dienst­verlening en beperk je risico's.

Meest gelezen

Personeels­dossier en privacy, hoe zit dat?

Als werkgever ben je verplicht om van alle werknemers een personeels­dossier bij te houden. Je personeel moet erop kunnen vertrouwen dat je zorgvuldig met die gegevens omgaat en dat niet zomaar iedereen erbij kan. Hoe zit het met de privacywetgeving?

AVG en zieke werknemer, wat zijn de regels?

De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van gegevens van zieke werknemers. Wat mag jij als werkgever van een zieke werknemer vragen en vastleggen? En wat mag niet?

Hoe lang bewaar je werknemers­gegevens en personeels­dossiers?

In de loop van de tijd verzamel je als werkgever veel informatie over je werknemers. Hoe lang mag je die gegevens eigenlijk bewaren? Of, in sommige gevallen: hoe lang moet je werknemers­gegevens en personeels­dossiers bewaren? Lees meer over de wettelijke bewaartermijn en bewaarplicht.

Whitepapers en online tests