Van Hack naar Check – grip op privacy 

Share0
Tweet0
Share0

De bescherming van privacygevoelige informatie is actueler dan ooit. Recente hacks bij het Openbaar Ministerie en bij het laboratorium van het bevolkingsonderzoek hebben laten zien hoe groot de risico’s zijn. Klantgegevens die op straat komen te liggen, leiden niet alleen tot reputatieschade, maar ook tot verlies van vertrouwen en forse boetes. Voor ondernemingsraden (OR’s) betekent dit dat de wettelijke taak uit artikel 28 van de WOR – het toezien op naleving van regels rond privacy en bescherming van persoonsgegevens – serieuze aandacht verdient.

Waarom moet de OR dit oppakken?

Allereerst: omdat het moet. Artikel 28 van de WOR schrijft expliciet voor dat de OR waakt over het naleven van voorschriften die gericht zijn op bescherming van werknemers én derden. Maar er is meer, want het is uiteraard in het belang van de onderneming zelf dat klantdata niet in verkeerde handen vallen. Daarnaast verwachten klanten dat hun gegevens veilig zijn. Een onderneming die dit niet waarmaakt, verliest niet alleen marktaandeel, maar ook geloofwaardigheid. Er zijn naast artikel 28 WOR nog meer aanknopingspunten in de WOR. Je leest het hier

Welke vragen kan de OR concreet stellen?

De OR heeft verschillende instrumenten om toezicht te houden. Denk aan het agenderen van privacy en dataveiligheid in de overlegvergadering met de bestuurder. Maar behalve een update vragen kan je als OR ook kritische vragen stellen, zoals:

  1. Welke beveiligingsmaatregelen zijn er, zijn de risico’s in kaart gebracht?
  2. Hoe vaak worden er penetratietests uitgevoerd? Zijn er back-ups en hoe leren we van deze tests?
  3. Kijk naar standaardinstellingen van applicaties: soms is niet alles nodig. Worden updates etc. snel uitgevoerd. Is er voldoende capaciteit voor de medewerkers op deze afdelingen?
  4. Welke afspraken zijn er met externe leveranciers, is hun toegang tot data beperkt tot het hoogst noodzakelijke in een zo kort mogelijke periode?
  5. Vraag naar trainingen of bewustwordingsprogramma’s voor medewerkers over privacy.

Kortom, de OR moet systematisch en vasthoudend doorvragen.

Verdiep je allereerst in de rechten en plichten van de OR. Een handige checklijst vind je in deze eerdere blog: ingewikkelde woorden worden daarin praktisch uitgelegd.

Leren van recente incidenten

De hack bij het Openbaar Ministerie en de situatie bij het laboratorium van bevolkingsonderzoek laten pijnlijk zien dat zelfs organisaties die werken met uiterst gevoelige informatie niet immuun zijn. Sterker nog, juist daar blijkt dat menselijke fouten, onvoldoende beveiliging of een lek bij een leverancier grote gevolgen hebben. Voor de OR zijn dit leerzame voorbeelden. Want als zulke organisaties getroffen worden, dan lijkt geen enkele onderneming veilig. Dus wat is de stand van zaken in jullie onderneming?

Stappenplan voor de OR bij een datalek

Wanneer er een relevant datalek plaatsvindt dat personeelsgegevens raakt of grote gevolgen heeft, kan de ondernemingsraad (OR) dit stappenplan volgen:

1. Informatie opvragen

  • Vraag de bestuurder om een heldere toelichting:
    • Wat is er precies gebeurd?
    • Welke gegevens zijn gelekt en van wie (personeel, klanten, studenten…)?
    • Wanneer en hoe is het ontdekt?
    • Hoe groot is de impact/risico voor betrokkenen?
    • Is het gemeld aan de Autoriteit Persoonsgegevens (AP)?
    • Zijn betrokkenen geïnformeerd?

2. Toetsen of beleid is gevolgd

  • Controleer of het interne protocol datalekken is nageleefd.
  • Vraag of er een datalekregister is bijgehouden (verplicht volgens AVG).
  • Check of er binnen 72 uur een melding is gedaan bij de AP (indien nodig).

3. Belangen van werknemers bewaken

  • Ga na of werknemersgegevens zijn geraakt.
  • Vraag welke risico’s dat oplevert (identiteitsfraude, phishing, reputatieschade).
  • Dring zo nodig aan op maatregelen zoals:
    • Voorlichting aan werknemers.
    • Extra beveiliging (bijv. 2FA, wachtwoordreset).
    • Eventuele ondersteuning (bv. juridische hulp, kredietbewaking).

4. Instemmingsrechten checken

  • Nieuwe of aangescherpte regelingen voor verwerking/beveiliging van persoonsgegevens vallen vaak onder instemmingsrecht (art. 27 lid 1k WOR).
  • Controleer of de bestuurder maatregelen wil invoeren die instemming vereisen.

5. Evaluatie en opvolging

  • Vraag om een evaluatieverslag: wat is de oorzaak en hoe wordt herhaling voorkomen?
  • Check of er structurele verbeteringen worden doorgevoerd (training personeel, betere IT-systemen, strengere procedures).
  • Houd de vinger aan de pols bij toekomstige datalekken → structureel agendapunt in overleg.

6. Communicatie bewaken

  • Let erop dat werknemers die zijn geraakt tijdig en helder geïnformeerd
  • Vraag of de communicatie duidelijk maakt: wat is er gebeurd, wat zijn de risico’s, wat kunnen werknemers zelf doen?

Hacks voorkomen met deze 5 tips: zelf aan de slag

Je kunt hacks voorkomen door een aantal simpele veranderingen door te voeren binnen een organisatie. Het zijn geen maatregelen die je één keer inzet om er vervolgens niet naar om te kijken. Nee, het zijn structurele veranderingen die medewerkers altijd in acht moeten nemen. Dus zorg dat het onderdeel wordt van permanent beleid met regelmatige opfrisacties.

1. Versturen van gegevens

In de cloud zijn de data in principe veilig, maar in de weg daar naartoe speelt menselijk falen vaak een grote rol. Hacken gebeurt natuurlijk niet altijd op afstand. Een laptop of smartphone van een medewerker kan natuurlijk ook als ingang dienen. Niet alleen de bestanden die erop staan mogen niet openbaar worden, maar ook informatie over contacten is privé. Overigens moet de werkgever dit doorgaans bij de Autoriteit Persoonsgegevens (afgekort AP) melden: info autoriteitpersoonsgegevens datalek

2. Geen gratis Wi-Fi

Onderweg naar een belangrijke afspraak, nog even aan het werk bij een wegrestaurant of een hotel, is het wel zo makkelijk om gebruik te maken van de gratis Wi-Fi. Toch is dat niet verstandig, zeker wanneer je met gevoelige gegevens werkt. Het is voor hackers namelijk relatief gemakkelijk om via openbare Wi-Fi jouw computer binnen te dringen. Daarom is het beter om de smartphone als mobiele hotspot te gebruiken en zo verbinding te maken met het internet.

3. Zorg voor zorgvuldigheid

Krijgen medewerkers regelmatig informatie over de gevaren zoals openbare Wi-Fi. Veel hacks en datalekken kunnen worden voorkomen door menselijke fouten te vermijden. Denk bijvoorbeeld aan het versturen van e-mails naar een verkeerd adres, het openen van verdachte e-mails, het verspreiden van het Wi-Fi wachtwoord aan bezoekers of het kwijtraken van een USB-stick. Door je medewerkers hiervan bewust te maken, zullen dergelijke fouten minder voorkomen.

4. Verwijder oude e-mails

Vrijwel iedereen heeft een e-mailadres van het bedrijf waar hij of zij werkt. Dat is handig, maar kan ook gevaarlijk zijn. Er hoeft maar één iemand op een verkeerde link te klikken en een hacker kan alle e-mails bekijken. Wat voor belangrijke informatie staat er in oude e-mails in uw mailbox? Het is als het ware een enorm archief waar de hacker toegang toe heeft. Zorg daarom datmedewerkers regelmatig oude berichten verwijderen en verplaats e-mails met gevoelige informatie na gebruik meteen naar de prullenbak.

5. Zorg voor goede digitale beveiliging

Er is een aantal (relatief simpele) maatregelen die je digitale beveiliging ten goede komt. Op digitaal vlak kun je zorgen voor SSL-encrypties op de website en beperkingen opleggen wat betreft het type bestanden dat medewerkers kunnen downloaden (geen .exe, bijvoorbeeld). Ook het maken van wekelijks back-ups is belangrijk. Door deze lokaal op te slaan staam ze buiten de cloud.

Waarom de OR verschil maakt

Veel ondernemingen hebben beleid op papier, maar de praktijk blijft achter. Echter, een actieve OR kan het verschil maken door niet te accepteren dat beleid een papieren tijger blijft. Daarom is het van belang dat de OR vasthoudend blijft vragen naar bewijs: niet alleen beleidsdocumenten, maar ook rapportages, audits en testresultaten. Op die manier zorgt de OR voor echte borging van privacybescherming. Dus zet het onderwerp minimaal een keer per jaar op de agenda met de bestuurder. De bestuurder zal mogelijk zelf niet voldoende expertise in huis hebben, dus wees ook alert op opdrachtverstrekkingen aan externe adviseurs.

Conclusie

De bescherming van klantgegevens is cruciaal. Incidenten zoals bij het OM en het laboratorium van bevolkingsonderzoek zijn een waarschuwing. Voor de OR ligt hier een duidelijke taak, verankerd in artikel 28 WOR. Door kritische vragen te stellen, voorbeelden uit de actualiteit te gebruiken en vast te houden aan concrete resultaten, kan de OR daadwerkelijk toezien op zorgvuldige omgang met privacygevoelige informatie. Uiteindelijk profiteert iedereen daarvan: de klant, de organisatie én de samenleving.

Contact

Neem gerust contact op voor een oriënterend gesprek.

Een subtitel toevoegen 1

Katrien-Hugenholtz-adviseur-trainer-ondernemingsraad-maatschap-voor-medezeggenschap

Katrien Hugenholtz

Als ervaren adviseur/trainer help ik ondernemingsraden een onderbouwde mening te vormen over lastige en belangrijke onderwerpen.

Geef een Reactie

Je e-mailadres wordt niet gepubliceerd.

{"email":"Vul aub een geldig e-mailadres in","url":"Vul aub een geldige website in","required":"Vul aub alle verplichte velden in"}

Geïnteresseerd? Neem contact op!

Wil je weten wat de Maatschap voor Medezeggenschap voor jou kan doen? Neem dan contact op met mij, Katrien Hugenholtz. Ik bespreek graag de mogelijkheden tijdens een oriënterend gesprek. Dat kan telefonisch of ik kom bij je langs.

 Neem contact met me op!
Katrien-Hugenholtz-adviseur-trainer-ondernemingsraad-maatschap-voor-medezeggenschap