In de hele EU geldt de Algemene Verordening Gegevensbescherming (AVG) sinds 2018. A&O fonds Gemeenten informeert en adviseert collega's intern regelmatig over de AVG, via verschillende wegen. Op intranet bijvoorbeeld, maar ook via een geprinte folder, nieuwsupdates en presentaties. Zo weten wij zeker dat iedere A&O medewerker doordrongen is van het belang van de AVG en hoe je je daar in de praktijk aan houdt. Omdat deze informatie voor iedereen handig kan zijn, zetten we hier onze AVG richtlijnen openbaar.

Dataveiligheid

Wat dataveiligheid betreft zijn dit de belangrijkste zaken die iedere collega moet kennen:

  • Je mag geen persoonsgegevens opslaan zonder toestemming van de gebruiker (tenzij er een wettelijke verplichting of een vitaal, algemeen of gerechtvaardigd belang bestaat).
  • Het moet voor de gebruiker duidelijk zijn waarvoor de persoonsgegevens worden opgeslagen. Je mag de persoonsgegevens alleen gebruiken voor die gemelde doelen.
  • Het moet voor de gebruiker duidelijk zijn hoe lang je de gegevens bewaart.
  • Als je persoonsgegevens met derde partijen deelt, moet dat ook duidelijk zijn. Bovendien moet je een verwerkersovereenkomst met die partij afsluiten.
  • Iedereen binnen de organisatie is verantwoordelijk voor een goede beveiliging van de opgeslagen gegevens.

Bovengenoemde punten hoor je te verwerken in een privacyverklaring. Daarnaast is in een privacyverklaring nog meer informatie te vinden over hoe een organisatie omgaat met het verwerken van persoonsgegevens.

Iedereen is verantwoordelijk

Iedereen is verantwoordelijk voor de veiligheid van de gegevens. Wat houdt dat concreet in? Als je met persoonsgegevens werkt, probeer dan zoveel mogelijk te werken in de systemen die daarvoor zijn ingericht. Als het nodig is om gegevens uit het systeem te halen voor een bewerking, bijvoorbeeld voor statistisch onderzoek, doe dat bij voorkeur tijdelijk en wis daarna het gebruikte (Excel-)bestand.

  • Als je gegevens in een Excelbestand wilt bewaren, beveilig dan het werkblad met een wachtwoord. Dit geldt zeker als je van plan bent het bestand via e-mail met iemand te delen, ook al is dat een collega.
  • Als je een bestand met een wachtwoord beveiligd hebt, stuur het wachtwoord niet via hetzelfde medium, en al helemaal niet in hetzelfde mailtje. Gebruik liever een SMS of app of Teams-chatbericht. Zo voorkom je dat kwaadwillenden meteen het wachtwoord hebben als de mail onderschept wordt.
  • Wees zeer terughoudend met het delen van een bestand met persoonsgegevens. Stel jezelf altijd de volgende vragen: Waarom heeft de ontvanger de gegevens nodig? Als dat niet duidelijk is, vraag ernaar.
  • Als de reden duidelijk is, vraag je af of ze ook geholpen zouden zijn met het delen van een conclusie/constatering op basis van de gegevens. Een voorbeeld: vanuit een organisatie komt het verzoek om de e-mailadressen van alle accounts van Allesuitjezelf.nl te delen. Bij navraag blijkt dat ze graag per gemeente willen weten hoeveel accounts er zijn. In dat geval kun je zelf de telling per gemeente in Excel maken en alleen dat resultaat delen.
  • Hebben de personen van wie de gegevens gedeeld gaan worden toestemming gegeven voor het doel waarvoor ze door de derde partij gebruikt gaan worden?
  • Is er een verwerkersovereenkomst met de derde partij? Zo nee, dan eerst die afsluiten.

Wachtwoorden

Voor alles wat je online beveiligt is een goed wachtwoord uiteraard een super belangrijke basis.

  • Vermijd makkelijke woorden. Wachtzinnen hebben de voorkeur.
  • Gebruik nooit hetzelfde wachtwoord voor meerdere accounts.
  • Schrijf wachtwoorden nergens op.
  • Als een website of applicatie twee-staps-authenticatie aanbiedt, maak daar dan gebruik van.

Printen op kantoor of thuis

Als je dan je gegevens achter wachtwoorden goed hebt beveiligd, houd er dan rekening mee dat papier ook voor een datalek kan zorgen. Houd daarom met printen deze regels in acht.

  • Vraag je, voordat je iets print, af of het echt nodig is.
  • Print bij voorkeur geen bestanden met persoonsgegevens, zoals Excellijsten.
  • Laat geen geprinte documenten in of bij de printer liggen.
  • Maak gebruik van een persoonlijke pincode. Heb je nog geen pincode of wil je je code wijzigen, vraag jouw organisatie om hulp.
  • Sluit je printer thuis aan op je werklaptop. Zo kun je direct printen zonder documenten naar je privé e-mail of laptop te hoeven sturen.

Email

Veel problemen op het gebied van digitale veiligheid vinden hun oorsprong in je mailbox. Wees je ervan bewust dat niet alle mailtjes te vertrouwen zijn en check bij nieuwe mailtjes altijd of de afzender klopt.

Kenmerken van malafide mailtjes zijn:

  • De mail is weliswaar uit naam van een jou bekend persoon, maar het e-mailadres is niet het zakelijke adres dat jij van deze persoon kent.
  • Er wordt in de mail gevraagd om op een link te klikken zonder dat je precies weet waar die link naar toe gaat. Voorbeeld: een mail waarin staat ‘Ik dacht dat je dit wel interessant zou vinden: klik hier’. Tip: door met je muis over het linkje te gaan (zonder te klikken) zie je meestal welk linkje onder de tekst zit. Herken je het niet? Klik dan niet.
  • Er zit een bijlage bij het mailtje waarvan niet duidelijk is wat het is of waarom het in het mailtje zit. Een melding als ‘In de bijlage een interessant verhaal’ zonder verdere context is dus niet goed genoeg.
  • Er worden verzoeken gedaan om persoonlijke of financiële gegevens terug te mailen of een financiële transactie uit te voeren. Recentelijk waren er bij A&O fonds Gemeenten mailtjes in omloop waarin een collega zogenaamd vroeg om iTunes cadeaubonnen te kopen en de codes van die bonnen terug te mailen. En ze had ze binnen een uur nodig. Bij twijfel altijd even bellen met de afzender.

Verder gelden de volgende basisregels:

  • Verstuur geen zakelijke mails met een privé-account, maar alleen met je werk e-mailadres. Zo weet de ontvanger ook dat het valide is.
  • Ga nooit in op verzoeken om persoonlijke gegevens te mailen, zoals bank- en/of creditcardgegevens of je BSN.
  • Vraag bij twijfel een collega om mee te kijken of neem op een andere manier contact op met de afzender om te checken of het mailtje klopt.
  • Mocht je onverhoopt toch op een malafide link geklikt hebben, een malafide bijlage geopend hebben of persoonsgegevens in je antwoord hebben gezet, neem dan meteen contact op met het meldpunt binnen jouw organisatie.

Websites en browsen

  • Bezoek bij voorkeur geen websites die niet beveiligd zijn met een SSL certificaat. In je browser zie je dan een slotje voor het webadres, dat dan ook moet beginnen met https:// (NB.: in Chrome zie je https:// pas als je in de adresbalk klikt, maar je ziet wel het slotje).
  • Als je een beveiligingsmelding krijgt in je browser dat er iets niet lijkt te kloppen met de website (meestal een probleem met een SSL-certificaat) klik dan niet verder.
  • Wees terughoudend met het achterlaten van persoonsgegevens op een website. Als je ondanks bovenstaand advies toch op een site zonder SSL-beveiliging bent, vul dan nooit gegevens in.
  • Als je browser bij verzenden meldt dat de gegevens via een onbeveiligde verbinding zullen worden verzonden, klik dan op ‘annuleren’.
  • Klik nooit zomaar op een pop-up of banner.

Social media

Jouw organisatie maakt wellicht gebruik van social media kanalen, maar bijna iedereen maakt daarnaast privé gebruik van bijvoorbeeld LinkedIn, Twitter of Facebook.

Houd ook bij deze berichten rekening met het volgende:

  • Tenzij je dat expliciet heb afgeschermd, zijn bij de meeste social media je berichten openbaar. Hoewel voornamelijk je volgers jouw bericht zullen zien in hun tijdlijn, kan in theorie iedereen je bericht vinden via zoekfuncties of door jouw pagina te bekijken. Deel dus niet zomaar alles.
  • Overweeg daarom om je profiel en berichten af te schermen zodat alleen vrienden of volgers je berichten kunnen lezen. Stel dan ook in dat niemand je zonder jouw toestemming mag gaan volgen.
  • Ook al heb je je berichten afgeschermd, jouw volgers hebben dat misschien niet. Dus als zij een bericht van jou kopiëren, is het alsnog openbaar.
  • Deel dus nooit gevoelige informatie op social media zoals bedrijfsinformatie of persoonsgegevens.
  • Accepteer geen volgverzoeken van personen die je niet kent.
  • Als je privéberichten krijgt of stuurt, gelden dezelfde adviezen als bij het ontvangen en verzenden van e-mail.

WhatsApp

WhatsApp is niet meer weg te denken uit onze communicatie. Helaas maken oplichters hier ook steeds vaker misbruik van. Je kunt in WhatsApp veel informatie afschermen, maar helaas kan je nog niet instellen dat alleen je contacten jou mogen appen. Dat betekent dus dat iedereen die jouw telefoonnummer weet je ook een appje kan sturen.

Voor WhatsApp gelden daarom dezelfde adviezen als voor e-mails. Daarnaast moet je opletten op de volgende zaken:

  • Een ‘bekende’ stuurt je een appje vanaf een onbekend nummer. De profielfoto klopt. Vaak is het een bericht met de smoes dat hij/zij een nieuw nummer heeft.
  • Bovenstaand bericht wordt vaak gevolgd door een verzoek om geld voor te schieten, waar vaak (veel) haast bij is. De ‘bekende’ wil niet op een andere manier communiceren of hij/zij beweert dat dit niet kan, bijvoorbeeld door een kapotte telefoon.

Smartphone

Je telefoon is tegenwoordig de toegangspoort tot zo’n beetje je hele leven. Met je telefoon kun je vaak zonder extra inlog toegang krijgen tot je e-mail, je appjes en je social media kanalen. Daarnaast heb je een contactenlijst met namen, telefoonnummers en e- mailadressen, die als persoonsgegevens onder de AVG vallen.

Daarom gelden voor het gebruik van je telefoon de volgende richtlijnen:

  • Beveilig je telefoon met een pincode en indien mogelijk met een vingerafdruk. Zonder beveiliging heeft een dief of vinder onbeperkt toegang tot alle bovenstaande gegevens.
  • Gebruik bij voorkeur alleen wifi als je zeker weet dat het netwerk veilig is (bijvoorbeeld thuis en op kantoor).
  • Alternatief is om je eigen telefoonverbinding te gebruiken (3G/4G).
  • Installeer alleen goedgekeurde apps uit de App Store (iOS) of Play Store (Android).

Mobiel werken op je laptop

Voor je laptop geldt bijna hetzelfde als voor je telefoon. Standaard is je laptop beveiligd met een wachtwoord, maar als je eenmaal bent ingelogd, heb je onbeperkt toegang tot alle gegevens.

Daarom gelden ook hier de volgende adviezen:

  • Gebruik de werklaptop zo min mogelijk voor privézaken.
  • En andersom: voer je zakelijke werkzaamheden zo min mogelijk uit op je privélaptop.
  • Werk alleen op vertrouwde wifi-netwerken zoals thuis of het kantoornetwerk.
  • Wil je wel andere (openbare) wifi-netwerken gebruiken, bijvoorbeeld omdat je veel bij gemeenten bent, maak dan altijd gebruik van de VPN-verbinding zodat je gegevens versleuteld worden.
  • Als je je laptop onbeheerd achterlaat op je werkplek vergrendel hem dan eerst (druk op ctrl- alt-del of klik in het startmenu op je account en kies vergrendelen).
  • Sla bestanden bij voorkeur op de server op en zo min mogelijk lokaal. Zeker als bestanden persoonsgegevens bevatten!
  • Sla bestanden met gevoelige informatie zoals persoonsgegevens niet op een mobiele datadrager op, zoals een USB stick of memory card, tenzij deze beveiligd is met versleuteling en een wachtwoord. Beveilig ook het bestand zelf met een wachtwoord, als dat mogelijk is.

Datalek

Als iedereen de adviezen ter harte neemt, is de kans klein dat je ooit te maken krijgt met een datalek. Toch is dat niet helemaal uit te sluiten. Daarom nog een korte uitleg over wat een datalek is en hoe te handelen als het gebeurt.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens onbedoeld of ongeoorloofd verstrekt, gewijzigd of vernietigd zijn. Het meest voorkomende soort datalek is ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Dat is ook de categorie waar iedere medewerker invloed op heeft.

Voorbeelden van datalekken

  • Je bent een USB-stick verloren waarop een Excelbestand staat met een adreslijst.
  • Er blijkt vanuit jouw account ingelogd te zijn in het CRM en jij was het zeker niet.
  • Via een beveiligingslek in de website hebben hackers de database kunnen inzien, inclusief de accountgegevens van gebruikers.
  • Je laptop is gestolen en je had een sticker met je wachtwoord op je laptop geplakt.

Wat te doen bij een datalek?

Als je erachter komt dat er een datalek is of je hebt het vermoeden dat dat het geval is, maak dan direct een melding bij het meldpunt. Samen kan je dan kijken of er inderdaad sprake is van een datalek en welke stappen jouw organisatie moet ondernemen.

Misschien vind je dit ook interessant