Houd het vertrouwelijk: boetes voor slechte omgang met privacy
5 december 2018 -
De eerste boetes na invoering van de AVG zijn uitgedeeld. Zo kreeg Uber op 27 november een geldstraf van 600.000 euro voor het te laat melden van een datalek.
Deze boete werd opgelegd door het Nederlandse Autoriteit Persoonsgegevens (AP). Ook in het Verenigd Koninkrijk moest Uber een deel van de winst afdragen. Deze straf werd opgelegd omdat Uber in 2016 een datalek had, waarbij persoonsgegevens van rijders en bezoekers konden worden ingezien door onbevoegden. Het taxibedrijf had dit lek binnen 72 moeten melden volgens de Wet bescherming persoonsgegevens (Wbp), die toen nog van kracht was. Hoewel vaak wordt gedacht dat de AVG de eerste stap was in het beschermen van persoonsgegevens, is dit een voorbeeld waaruit blijkt dat er al veel langer een regelgeving bestond. De AVG heeft deze regels aangescherpt en er meer plichten aan toegevoegd. Daarnaast heeft het burgers meer rechten gegeven. Stephanie Volz, Marketing Coördinator Benelux bij Fellowes Brands, vraagt zich af of uit deze voorbeelden niet blijkt dat de nieuwe wetgeving nog niet zo bij bedrijven is ingeburgerd als wenselijk is.
De klachtenregen
Eerder dit jaar kreeg Yahoo al een boete van 35 miljoen voor het niet melden van een datalek en hoefde hotelketen Hilton ‘slechts’ een schikking van 700.000 dollar te betalen toen ook zij verzuimden in het melden van een datalek. Stephanie Volz: "Dit zijn voorbeelden van waar het misging, maar daartegenover staan veel bedrijven die goede stappen leken te zetten met de komst van de AVG. Privacybeleiden werden opgesteld, Data Protection Officers werden aangenomen en werknemers werden onderwezen in goede omgang met privacy. Maar nog lang niet genoeg, blijkt uit de praktijk. Inmiddels heeft het AP namelijk al 7.000 klachten binnengekregen over de schending van de nieuwe privacywet. Daarnaast heeft dit meldpunt al meer dan 10.900 telefoontjes ontvangen van organisaties en klanten die nog vragen hadden over de nieuwe wetgeving, zo blijkt uit de gegevens van het AP."
Houd het vertrouwelijk
Privacy staat dus volgens de cijfers hoog op de prioriteitenlijst van bedrijven. Er zijn echter nog genoeg stappen te zetten op het gemiddelde Nederlandse kantoor, zo blijkt uit onderzoek van Fellowes. Volz licht de onderzoeksresultaten toe: "23 procent van de kantoormedewerkers heeft bijvoorbeeld nog geen privacybeleid ontvangen, terwijl dit verplicht is voor bedrijven als ze regelmatig omgaan met privacygevoelige informatie. Het opslaan van mailadressen of het behandelen van CV’s valt hier ook al onder. Omdat er door bedrijven, maar ook door medewerkers nog veel stappen te zetten zijn op het gebied van privacy, heeft Fellowes de Houd het vertrouwelijk-campagne in het leven geroepen. Op deze manier hopen we de Nederlandse beroepsbevolking te onderwijzen in het goed omgaan met privacygevoelige documenten."
Graven in het afval
Hoewel werknemers al goede stappen hebben gezet, kunnen ze nog genoeg verbeteren in hun omgang met privacygevoelige informatie. Volz vermoedt niet dat ze hier bewust slecht mee omgaan: "Hoewel werknemers misschien een klant of collega niet altijd de allerleukste vinden, is het een stap verder om zijn persoonlijke gegevens in het geding te brengen. Vaak is het te wijten aan onwetendheid of zelfs luiheid. Zo belanden vertrouwelijke papieren bij 30 procent van de kantoormedewerkers in zijn geheel of enkele keren doorgescheurd bij het afval. Er is dan geen genie voor nodig om de stukken bij elkaar te leggen en toch de inhoud van het papier te lezen. En werknemers die niet eens de moeite nemen om het door te scheuren, maken de mogelijkheid tot een datalek nog groter. We denken er namelijk niet over na wat er kan gebeuren met papieren nadat ze uit het kantoor verdwijnen bij het afval of het oud papier. Maar u moet er toch niet aan denken dat belangrijke bedrijfsinformatie te grabbel ligt voor wie ook maar langs de container loopt? Hebt u bijvoorbeeld enig idee wat er met het oud papier gebeurt zodra het kantoor verlaat? zestien procent van de respondenten laat weten dat het bij hun kantoor aan de straat wordt gezet en nog schokkender: veertien procent heeft geen enkel idee wat met oud papier gebeurt."
Daarnaast verwachten kantoormedewerkers uiteraard ook niet dat collega’s aan de haal gaan met vertrouwelijke informatie. Maar het wordt voor een kwaadwillende wel erg gemakkelijk om belangrijke en vertrouwelijke informatie op kantoor te vinden. Zo heeft meer dan de helft van de medewerkers (56 procent) wel eens vertrouwelijke papieren of documenten met persoonsgegevens op kantoor zien rondslingeren. 29 procent geeft toe zelf wel eens papieren achtergelaten te hebben op het bureau, de printer of een vergaderzaal. Ook USB-sticks gaan lang niet altijd veilig in een broekzak of tas mee, maar is door twaalf procent van de werknemers wel eens ergens achtergelaten.
Online blunders
Op de kantoorvloer zijn er dus nog genoeg verbeterpunten te vinden. Maar hoe gaat de gemiddelde kantoormedewerker om met privacy online? Ook hier worden helaas nog teveel fouten gemaakt volgens Volz: "28 procent van de Nederlandse medewerkers heeft wel eens mailadressen zichtbaar in de CC gezet, terwijl deze eigenlijk in de BCC hoorden. Daarnaast blijkt uit het onderzoek dat we ook nog wel eens de verkeerde persoon mailen. Bijna de helft van de respondenten durft toe te geven dat dit henzelf is overkomen. Fouten van anderen geven we iets makkelijker toe: 60 procent heeft dan ook wel eens een mail ontvangen die niet voor hem of haar bedoeld was."
Eén voor allen en allen voor één
Er zijn dus nog genoeg punten van aandacht om de vertrouwelijke informatie beter te beschermen op kantoor, zo stelt Volz. "Privacygevoelige informatie moet privé blijven en bedrijven moeten voldoen aan de AVG. De eerste stap hierin is een veilige optie bieden om confidentiële papieren weg te gooien. Denk bijvoorbeeld aan een speciale box voor vertrouwelijke papieren of een papiervernietiger. Daarnaast moeten medewerkers een duidelijk beleid krijgen hoe om te gaan met privé-informatie. Wie daarvoor moet zorgen? Volgens medewerkers zijn de directie (twintig procent) en het management (veetien procent) verantwoordelijk voor het naleven van de AVG. Vanuit hen zou dan ook een duidelijk beleid moeten komen en training voor de medewerkers in de omgang met privacygevoelige papieren. Maar wie is er uiteindelijk echt verantwoordelijk voor de naleving volgens de respondenten? Iedereen. 32 procent van de Nederlandse medewerkers geeft aan dat het voldoen aan de AVG een team-effort is en zó moet het ook zijn."
