Omdat de wetgeving per 1 januari is veranderd, lopen organisaties die – bijvoorbeeld voor data-analyses door een derde partij – hun HR-data per mail versturen, kans op een boete. Daar zijn veel HR-managers zich nog niet van bewust.

Per 1 januari 2016 is de Wet bescherming persoonsgegevens uitgebreid met de meldplicht datalekken. De toezichthouder (het College bescherming persoonsgegevens) krijgt dan een boetebevoegdheid. Ondernemingen zijn dan verplicht om eventuele datalekken te melden, ze riskeren een boete als blijkt dat het datalek het gevolg is van onvoldoende maatregelen. De boete die het CBP bij overtreding kan opleggen is € 810.000 of, als dat niet passend is, 10 procent van de omzet van een onderneming.

Een datalek kan niet alleen optreden als de servers van een bedrijf worden gehackt en gevoelige informatie wordt gestolen. “Het geldt ook als een medewerker een smartphone, laptop of usb-stick met gevoelige informatie verliest. Zelfs een geprinte lijst met klantgegevens die wordt gestolen, geldt als datalek,” zegt Pieter Lacroix, managing director bij beveiligingsbedrijf Sophos. Een datalek wordt gedefinieerd als derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen.

Ook medewerkersdata geldt als persoonlijke data. “Deze data bevatten vaak informatie als namen, adressen, logindata en soms ook medische gegevens”, zegt Irma Doze, Managing Director van AnalitiQs en HR-analyticsexpert.

Strengere wetgeving

HR-managers zijn zich nog niet altijd bewust van de strenger geworden wetgeving, aldus Doze. Organisaties schakelen haar organisatie in voor het analyseren van hun HR-data, dat gebeurt vaak bij AnalitiQs in huis. “Dan gaan er verschillende mailtjes heen en weer waarin we het hebben over de contracten. En als alles rond is, is er ineens een databestand bijgevoegd. Zo gauw het op onze servers staat, is het beveiligd. Maar tijdens het versturen, had het ook bij iemand anders in handen kunnen komen.”

Doze laat organisaties daarom altijd de data versturen via een beveiligde lijn, via een zogenaamde secure ftp-server oplossing. Het liefst is deze data dan ook nog beveiligd met een wachtwoord of ge-encrypt zodat het onleesbaar wordt. Data kan ook via een beveiligde privé-cloud oplossing worden uitgewisseld. “En zorg dat de externe partner ook maatregelen heeft genomen voor een goede beveiliging. Vraag bijvoorbeeld naar de locatie van de servers waar de data op komt te staan.” Het Europese Hof oordeelde onlangs dat Europese data op servers in de Verenigde Staten onvoldoende beveiligd is. Bij een potentieel datalek kan een organisatie hier op worden aangesproken. “Het is daarom belangrijk om als HR-manager dit soort vragen te stellen”, zegt Doze.

Aantonen dat genoeg maatregelen zijn genomen

Organisaties moeten na een datalek vooral kunnen aantonen dat ze genoeg maatregelen genomen hebben om het lek te voorkomen, zegt Lacroix. “Een organisatie moet aantonen dat ze hebben gezorgd dat informatie niet beschikbaar is voor derden.”

Zoals vaak bij beveiliging is ook hier de mens de zwakste schakel. Lacroix: “Het is daarom belangrijk om binnen de organisatie bewustzijn te creëren voor de beveiliging van persoonsgegevens. Zo weet iedereen wat er van hem of haar wordt verwacht als hij of zij met dat soort data werkt. Het is belangrijk dat ondernemers een beleid formuleren waarbij medewerkers worden gestimuleerd zelf mee te denken en verantwoordelijkheid te nemen. Een lijvig document wordt niet gelezen, laat staan nageleefd. Zorg ervoor dat een paar belangrijke regels op papier staan en leg steeds opnieuw uit waarom beveiliging zo belangrijk is. Alleen dan beklijft het en zal het een automatisme worden voor werknemers.”

Bron: Over eHRM

Deel dit bericht