Dag van de Privacy

BLOG | januari 2024 I door Klaas van der Galiën, directeur Track Software

1. Informatiebeveiliging

Vandaag is de dag van de privacy – voor jou. Want voor ons, bij Track, is het iedere dag de dag van de privacy. De bescherming van de gegevens die onze gebruikers dagelijks in Track opslaan is een hoofdpijnpunt dat iedere dag hoog op onze agenda staat.

Als het gaat om ‘informatiebeveiliging’ kan je bijvoorbeeld denken aan een virusscanner, een moderne versie van Windows, stevige wachtwoorden en dat soort dingen. Maar wat houdt informatiebeveiliging eigenlijk concreet in als je kijkt naar de gegevens, systemen en services waar je als verzuimprofessional dagelijks mee werkt?

In 2020 gaf de Autoriteit Persoonsgegevens een boete van € 15.000 aan een klein onderhoudsbedrijf dat een bestand van zieke werknemers – inclusief hun medische verzuimoorzaak – bijhield in de Cloud[i]. Die gegevens waren eenvoudig te benaderen met een link. De werkgever meende dat het met de gegevensbeveiliging wel snor zat omdat hij die link uitsluitend had gedeeld met collega’s die een rol speelden bij de re-integratie…. Hij had niet bedacht dat iedereen die die link had zo maar, zonder wachtwoord laat staan tweefactor authenticatie, bij die gegevens kon. Kassa dus. Even afrekenen met de AP.

Dan denk je als casemanager of bedrijfsarts misschien al snel ‘Tja, da’s ook wel héél dom. Eigen schuld, dikke bult’.  Maar argeloosheid komt dus in de beste families voor. Want van de week was in het nieuws dat een bedrijfsonderdeel van het grote ABN AMRO, het bedrijf ICS[ii], een boete heeft gekregen van maar liefst €150.000. De reden: het bedrijf had verzuimd een verplichte DPIA uit te voeren terwijl ze  op grote schaal gevoelige persoonsgegevens registreren van ruim 1,5 miljoen credit-card houders.

 

2. Wat is een DPIA?

Wie van Scrabble houdt: een ‘gegevensbeschermingseffectbeoordeling’ of DPIA in goed Nederlands, is een aanpak om de risico’s die het geautomatiseerd verwerken van persoongevens met zich meebrengen vóóraf in kaart te brengen zodat je daarvoor passende beschermingsmaatregelen kan bedenken en toepassen. Dus: als die kleine werkgever zo’n DPIA had uitgevoerd, had hij wel twee keer nagedacht over de risico’s van die link naar dat bestand in de Cloud.

Onder omstandigheden is het uitvoeren van zo’n DPIA verplicht[iii]. Voor ons als arbodienstverleners geldt: zo’n DPIA is eigenlijk altijd verplicht, omdat we aan het werk zijn met ‘gegevens van zeer persoonlijke aard’ (gegevens over ziekte en verzuim) van ‘kwetsbare betrokkenen’ – waartoe werknemers-in-loondienst worden gerekend.

Met een DPIA beschrijf je gedetailleerd:

  • welke gegevens je verwerkt, deelt met anderen, ergens opslaat, backupped etc.;
  • waarom je dat eigenlijk doet, wat het doel, nut en noodzaak daarvan is;
  • en welke risico’s voor onbevoegde toegang, verlies of verhaspeling daar aan kleven.

Wanneer moet je nou als arbodienst, casemanager of bedrijfsarts concreet zo’n DPIA uitvoeren? Het gemakkelijkste antwoord op die vraag is: als je iets gaat veranderen aan jouw manier van werken met data. Stel je gaat met taakgedelegeerden werken, je gaat digitaal ondertekenen gebruiken of je gaat samenwerken met een nieuwe provider voor beeldbellen: in al die gevallen moet je een DPIA uitvoeren. Dat kan dus best een lastige klus zijn, maar het is nou eenmaal een verplichting op grond van de AVG.

Het goede nieuws is: Track kent de regeltjes. Bij alle ontwikkelingen in onze programma’s Track Verzuim en Track Medic voeren wij steeds vooraf zo’n DPIA uit. Zodat jij daar als gebruiker geen omkijken meer naar hebt. Werk je met Track, dan mag je er op vertrouwen dat het goed zit.

3. Met Track zit je safe

Vandaag is de dag van de privacy. Een dag om even stil te staan bij de privacyrisico’s waar we mee te maken hebben en hoe we daarmee omgaan.  Maar dus ook een dag dat je opgelucht adem kan halen als je daar een modern verzuimsysteem voor gebruikt. Met Track zit je safe!

[i] Zie de website van de Autoriteit Persoonsgegevens over het bedrijf CP&A. https://www.autoriteitpersoonsgegevens.nl/uploads/imported/boete_cpa_verzuimregistratie.pdf.

[ii] Zie de website van de Autoriteit Persoonsgegevens over de boete aan ICS. https://www.autoriteitpersoonsgegevens.nl/uploads/2024-01/Besluit%20boete%20ICS.pdf

[iii] De AP heeft negen criteria aangereikt wanneer zo’n Data Privacy Assessment in ieder geval verplicht is. Zie de Staatscourant over het ‘Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is. https://zoek.officielebekendmakingen.nl/stcrt-2019-64418.html

 

 

Meer weten?

Neem contact op met Klaas van der Galiën, directeur Track Software.
Bel 024 – 381 6868 of laat uw gegevens achter.

4 + 2 =