Houd thuiswerken AVG-proof

24 mrt 2020 Ondernemingsrecht Erik van Loon

N.b. Dit artikel is meer dan een jaar geleden voor het laatst gewijzigd. De informatie kan verouderd zijn.

Inmiddels heeft Nederland de eerste echte thuiswerkweek achter de rug. Via de sociale kanalen werd massaal gedeeld hoe men de thuiswerkplek had ingedeeld en hoe men via middelen zoals video conferencing toch in contact kon blijven met de collega’s. Er werden ook meer ludieke initiatieven getoond, zoals een afsluitende virtuele vrijdagmiddagborrel.

Adequate beveiliging?

Als AVG specialist en tevens functionaris gegevensbescherming van ons kantoor zie ik in deze ontwikkelingen toch een zeker juridisch risico. De Algemene Verordening Gegevensbescherming verplicht in artikel 5 lid 1 sub f:

“persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking & onopzettelijk verlies, vernietiging of beschadiging.”

Kort gezegd dient de onderneming (ongeacht of zij onder deze Europese wetgeving nu een zogenoemde ‘Gegevensverantwoordelijke’ is of een ‘Verwerker’ is) er alles aan doen om de persoonsgegevens zo goed mogelijk te beveiligen en te beschermen.

(video)chatdiensten

Dit uitgangspunt van een adequate beveiliging dient men in het achterhoofd te houden indien men een middel kiest voor het online uitwisselen van persoonsgegevens, zoals ook het houden van een videoconferentie. Ondernemingen doen er dan ook verstandig aan om bij dergelijke gesprekken of informatie uitwisseling, waarbij vertrouwelijke persoonsgegevens of uiterst gevoelige persoonsgegevens (zoals medische gegevens, politieke opvattingen of levensovertuiging) worden gedeeld, stil te staan bij de beveiliging van het platform waarvan zij gebruik maken.
Vele gratis online diensten zijn wellicht geschikt om met familie in contact te blijven, maar lenen zich (althans wat betreft de beveiliging daarvan) minder voor dergelijke vertrouwelijke gesprekken.

Autoriteit Persoonsgegevens

Indien persoonsgegevens worden gelekt omdat de beveiliging van de videoconferentie niet op orde was, riskeert de onderneming sancties van de toezichthouder. Laatstgenoemde heeft op haar website vier tips gepubliceerd over het veilig thuiswerken, waarbij tip drie expliciet ziet op het gebruik van (video) chatdiensten.

Verwerkersovereenkomst

In de verplichte verwerkersovereenkomsten zal doorgaans ook een bepaling zijn opgenomen die ziet op voornoemd uitgangspunt (althans in de door ons ontwikkelde standaard van die overeenkomst wel), inhoudende dat de verwerker (die de persoonsgegevens in opdracht van de gegevens van voor verwerkt) de desbetreffende gegevens zo goed mogelijk dient te beschermen. Naast eventuele sancties van de toezichthouder, riskeert een verwerker door het niet in achtnemen van de juiste beveiliging wellicht ook nog een contractuele boete.

Bedrijven doen er dan ook verstandig aan om nauwgezet in de gaten houden welke diensten worden gebruikt voor het online uitwisselen van informatie en de mate van beveiliging van die diensten.

Over de blogger
Erik van Loon

Binnen het ondernemingsrecht heeft Erik twee duidelijke specialisaties: het faillissementsrecht en het rechtspersonen- & vennootschapsrecht. Het zijn voornamelijk ondernemers die vertrouwen op deze specialistische kennis van Erik.

Meer artikelen van Erik van Loon
Erik van Loon

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.