Klaar met AVG bestaat niet

Je hoort het wel eens. AVG dat was toen toch. Enkele jaren geleden. Of zoiets? We hebben dat toen gedaan. En we zijn klaar. Dat bestaat uiteraard niet.

Check periodiek minimaal: 
•    Zijn er nog nieuwe medewerkers? Zijn die opgeleid?
•    Heb je nieuwe leveranciers? Hebben die een verwerkersovereenkomst getekend?
•    Sla je tegenwoordig meet data op van klanten of personen dan vroeger? Heb je dat aangepast in je verwerkingsregister?
•    Is je privacy policy nog up-to-date?
•    Zijn je ICT back-ups veilig opgeslagen?
•    Heb je oude data van personen die geen klant meer zijn opgeruimd?
Als onderdelen van het bovenstaande niet kloppen is je AVG-verklaring niet up-to-date. 

Grote toename cyberhacks die privacy raken
De Autoriteit Persoonsgegevens (AP) geeft aan dat er 30% meer cyberhacks zijn dan vorig jaar. Datadiefstal is vaak te voorkomen door een betere beveiliging. 

Steeds vaker komen er meldingen van hacking, phishing of malware. Persoonsgegevens zijn vaak het doelwit zijn van criminelen. Want door diefstal van persoonlijke – en vaak gevoelige – informatie kunnen mensen veel schade ondervinden. Criminelen gebruiken persoonsgegevens voor identiteitsfraude en oplichting. De schade kan tot in de duizenden euro’s lopen. 

Criminelen gaan zeer geraffineerd te werk. We zien dat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan. Ze verkennen eerst. Ze proberen ‘systeembeheerders-rechten’ te krijgen en slaan daarna toe. Diefstal en een ransomware-aanvallen volgen. 

Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen. Vaak zijn complete systemen beveiligd met slechts één wachtwoord. Vooral bij datalekken door hacking, malware of phishing had ‘meerfactorauthenticatie’ de schade vaak kunnen beperken of voorkomen.

Hacks zijn schadelijk niet alleen schadelijk voor personen maar ook voor organisaties. Reputatieschade en klantenverlies zijn altijd het gevolg. Ons advies: Hou je AVG op orde, gebruik het stappenplan, volg de adviezen, beveilig je organisatie en zorg voor goede procedures.  

AP met meer personeel op weg naar meer controles
De politiek geeft AP meer geld om 300 medewerkers (FTE) aan te nemen. Dat is nodig omdat privacy heel belangrijk is voor bedrijven en burgers maar zonder afdoende controles er kans is op verslapping en gebrek aan aandacht. 

Ondanks een stevig rapport van KPMG was minister Dekker niet direct bereid er meer geld voor uit te trekken. Na de stemming in de kamer was er een duidelijke meerderheid wel voorstander van meer budget. Er zijn tientallen miljoenen nodig privacy in Nederland te bewaken.

AP is dus nu bezig om die controleurs te vinden. Verder is het de verwachting dat AP wel zal gaan inzetten op geautomatiseerde controles. Andere autoriteiten doen dat ook. De belastingdienst doet dat natuurlijk altijd al. Met dit soort controles kunnen we veel meer klachten worden gecontroleerd. Het geautomatiseerd mailen van vragenlijsten naar bedrijven en organisaties waar een klacht over is ontvangen zou een stap in de goede richting zijn, volgens ingewijden.  

Zieke werknemers? Let op de privacy
Wat mag je als werkgever vragen aan een zieke werknemer? Wat mag je delen met medewerkers en collega’s?  

Wat mag wel: 
•    Je mag vragen hoe lang hij of zij verwacht afwezig te zijn. 
•    Je mag het ‘verpleegadres’ registreren. 
•    Ook mag je de zakelijk e-mail van een zieke werknemer checken als dat nodig is.
Wat mag niet: 
•    Je mag niet vragen naar de aard en oorzaak van iemands ziekte. Als een werknemer zelf vertelt wat hij of zij mankeert, mag je deze informatie niet vastleggen.
•    Je mag niets vastleggen zonder toestemming.
•    Je mag geen informatie over ziekte delen.

Bron: © 2021 Stichting AVG voor Verenigingen