Privacy Do’s & Don’ts

ABU heeft de belangrijkste consequenties van AVG voor uitzendondernemingen uitgewerkt in een beknopte beschrijving.

Datalek-protocol UBN

Bij een datalek zijn persoonsgegevens onrechtmatig verwerkt, blootgesteld aan verlies of op een andere manier onterecht of onbedoeld in handen gekomen van een persoon of organisatie die geen toegang tot die gegevens zouden mogen hebben. Het kan gaan om een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook om een inbraak in een datasysteem of per ongeluk verstrekte toegang tot gegevens aan personen of instanties die daartoe geen toegang zouden mogen hebben. Een datalek kan zo eenvoudig zijn als een e-mail verzenden aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn.

Voorbeelden van een datalek zijn:

• Je hebt een mail met persoonsgegevens verzonden naar de verkeerde persoon
• Er zijn CV’s in de prullenbak gegooid (en dus niet in de bak voor vernietiging)
• Iemand kent jouw inloggegevens voor Citrix of een andere UBN applicatie
• Je verstrekt een id-bewijs aan een externe partij, behoudens vreemdelingendocumenten aan inleners.

Meldplicht

Als sprake is van een ernstig datalek, is UBN op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om dit binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de betrokkenen. Wanneer het een beperkte datalek betreft die niet leidt tot een privacyrisico voor de betrokkene(n) hoeft dit niet gemeld te worden aan de AP. Iedere datalek, hoe klein ook, moet intern geregistreerd worden.

Het is belangrijk dat iedereen weet wat hij/zij moet doen bij (het vermoeden van) een datalek. Onderstaand lees je terug hoe je geacht wordt te handelen.

Bij UBN hebben we een centraal meldpunt voor (het vermoeden van) datalekken.
De leden van het meldpunt datalek UBN zijn:

• Maurits Mulder; 0618131700

Als Maurits onbereikbaar is kan contact opgenomen worden met:

• Advisor ICT; 0297 288 873

Het protocol

Onmiddellijk nadat een werknemer/medewerker ontdekt of ter ore komt dat sprake kan zijn van verlies of onrechtmatige verwerking van persoonsgegevens binnen UBN, meldt hij/zij dat aan het meldpunt datalek UBN.

Het meldpunt datalek beslist of sprake is van een (mogelijk) datalek en zo ja, of dit datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of bij de betrokkene(n).

Het meldpunt datalek draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n). Het is de werknemer niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) te melden.

Als de werknemer het niet eens is met de beslissing van het meldpunt datalek om het (mogelijke) datalek wel – of niet te melden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan richt hij zich tot de directie.