Privacy op de werkvloer tijdens een pandemie

Mr. K. (Kim) Reijnen

Privacyrecht adviseur bij Reijnen Legal Support en auteur en eindredacteur voor Sdu Privacyrecht

In het onderwerp ‘privacy op de werkvloer’ is uitgewerkt hoe werkgevers om dienen te gaan met werknemersgegevens conform de regels uit de Algemene verordening gegevensbescherming (AVG). Er kunnen echter bijzondere situaties optreden waardoor er nieuwe vragen ontstaan rondom die regels en de uitwerking van de AVG. Niet te vergeten dat we überhaupt nog bezig zijn met de algehele uitkristallisering van deze wetgeving.

Momenteel hebben we helaas te maken met zo’n bijzondere situatie; er is namelijk sprake van een pandemie. Zoals gezegd roept een bijzondere situatie allerlei vragen op rondom de privacy van werknemers. Bij werkgevers zal het voornamelijk gaan om de vraag of zij gezondheidsgegevens van werknemers mogen verwerken en hoe zij kunnen zorgen dat hun werknemers veilig thuiswerken. Het COVID-19 virus brengt namelijk ook met zich mee dat werkgevers hun organisatie anders moeten inrichten omdat zij moeten anticiperen op de gevolgen van dit virus op de werkvloer.

In dit onderwerp worden daarom de belangrijke punten rondom privacy op de werkvloer tijdens een pandemie behandeld. Zo kunnen werkgevers in deze bijzondere situatie de privacy van werknemers blijven beschermen, maar ook bijdragen aan de bestrijding van de pandemie.

Let op: dit onderwerp is geschreven naar de huidige stand van zaken. De ontwikkelingen gaan snel en we proberen belangrijke wijzigen en nieuws z.s.m. door te voeren. Verder is het raadzaam om het nieuws binnen Opmaat Privacyrecht te volgen, daar komen de belangrijkste ontwikkelingen altijd terecht.

check Bijgewerkt tot 20 september 2021

spiralbound Practice note

Uitgelicht en actueel

Vaccinatiestatus werknemer

Er worden veel vragen gesteld over het wel of niet mogen vragen naar de vaccinatiestatus van een werknemer. Ondertussen heeft de Rijksoverheid daar een mening over gevormd. Aangezien de ontwikkelingen snel gaan, raden wij u aan om deze pagina te raadplegen om altijd de laatste status te kunnen bekijken: https://www.rijksoverheid.nl/onderwerpen/coronavirus-vaccinatie/vraag-en-antwoord/mag-ik-een-werknemer-verplichten-zich-te-laten-vaccinerenhttps://www.rijksoverheid.nl/onderwerpen/coronavirus-vaccinatie/vraag-en-antwoord/mag-ik-een-werknemer-verplichten-zich-te-laten-vaccineren

Privacy & COVID-19

Werkgevers zullen nu veel (preventieve) maatregelen willen én moeten treffen ter bestrijding van het COVID-19 virus. De overheid vraagt dit expliciet van werkgevers en werkgevers moeten op grond van de Arbeidsomstandighedenwet hun werknemers een veilige en gezonde werkomgeving bieden. Het komt de werkgever dus toe maatregelen te treffen inzake de werkorganisatie tijdens een pandemie. Daarbij kan gedacht worden aan flexibele werkuren, thuiswerken, uitstel van personeelsfeesten etc. Verder kan (en moet) de werkgever instructies opleggen inzake sociale afstand en hygiëne op de werkvloer.

Zodra deze maatregelen gepaard gaan met verwerking van persoonsgegevens, moeten de bepalingen uit de AVG gerespecteerd worden (In het onderwerp ‘privacy op de werkvloer’ kunt u daar meer over lezen). De Autoriteit Persoonsgegevens (AP) heeft daarbij benadrukt dat privacy belangrijk is, maar dat de bestrijding van het COVID-19 virus en het redden van levens topprioriteit is. Dit moet dan ook tijdens een pandemie het uitgangspunt zijn. Echter, dit betekent dus niet dat privacy tijdens een pandemie overboord gegooid mag worden. De toezichthouder zal nog steeds ingrijpen wanneer de privacy echt in gevaar is en er kunnen altijd nog boetes opgelegd worden als blijkt dat een werkgever niet conform de AVG en adviezen van de AP heeft gehandeld, ook tijdens een pandemie.

Wat bepaalt de AVG?

Wat bepaalt de AVG Alle maatregelen ter bestrijding van de pandemie waarbij persoonsgegevens worden verwerkt, dienen te voldoen aan de beginselen uit artikel 5 AVG. Net zoals alle anderen verwerkingen van persoonsgegevens. Deze beginselen worden in andere artikelen nader uitgewerkt.

Bijvoorbeeld: art. 5 lid 1 AVG bepaalt dat verwerkingen rechtmatig dienen te zijn en dit wordt nader uitgewerkt in art. 6 AVG . In artikel 6 AVG worden namelijk de rechtsmatigheidsgronden uiteengezet.

Lees in 'Regels voor verwerken' meer over de basisregels voor het verwerken van persoonsgegevens.

Gezondheidsgegevens

Gezondheidsgegevens Werkgevers zullen tijdens een pandemie voornamelijk vragen hebben over de gezondheid van hun werknemers. Dit zijn bijzondere persoonsgegevens en worden -omdat zij gevoelig van aard zijn- extra beschermd door de wet. In art. 9 lid 1 AVG is daarom een verwerkingsverbod opgenomen voor de verwerking van deze persoonsgegevens. Alleen als aan een voorwaarde uit lid 2 van dit artikel wordt voldaan én er kan een beroep gedaan worden op een rechtmatigheidsgrond uit art. 6 AVG, mag van dit verbod worden afgeweken.

Lees ook de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers voor meer algemene informatie over dit onderwerp.

Tijdens een pandemie gelden gewoon de bovengenoemde algemene regels rondom de verwerking van bijzondere persoonsgegevens. In principe mogen werkgevers dus geen gezondheidsgegevens van werknemers verwerken, behalve als de werkgever zich kan beroepen op een uitzondering.

Voorbeeld 1

In een arbeidsrelatie bestaat er een loondoorbetalingsverplichting bij ziekte. De werkgever moet dan wel weten of een werknemer ziek is (maar hoeft niet te weten wat de werknemer heeft). Dit is een wettelijke verplichting vanuit het arbeidsrecht. Zo heeft de werkgever dus een rechtmatigheidsgrond conform artikel 6 AVG en is er sprake van een uitzondering uit artikel 9 AVG, waardoor de verwerking van gezondheidsgegevens is toegestaan.

Voorbeeld 2

Een werkgever mag in uitzonderlijke gevallen met toestemming van de werknemer gegevens over de aard en oorzaak van een ziekte registeren. Daarbij kan gedacht worden aan de situatie waarin een werknemer epilepsie heeft en collega’s hiervan op de hoogte moeten zijn, zodat zij weten wat ze moeten doen als de werknemer een aanval krijgt.

Let op: toestemming gaat bijna nooit op in een arbeidsrelatie. Dit is een uitzondering. Meer lezen hierover kunt u in 'Privacy op de werkvloer' .

Werkgevers mogen dus niet:

  • vragen naar de gezondheid van werknemers;
  • zelf gezondheidstesten bij werknemers afnemen;
  • de reden van ziekmelding bijhouden.

Dit betekent niet dat werkgevers niets kunnen en mogen tijdens een pandemie, maar wel dat zij zich ook nu aan de AVG moeten houden of acties kunnen ondernemen waarbij de AVG geen rol speelt.

Werknemers mogen dus wel:

  • algemene informatie registeren welke noodzakelijk is tijdens de afwezigheid van de zieke werknemer. Bijvoorbeeld hoe lang de ziekte vermoedelijk gaat duren;
  • praten met medewerkers over het virus (maar geen gedeelde gezondheidsgegevens vastleggen of zelf delen);
  • een besmette werknemer de toegang tot het kantoor ontzeggen. Dit is noodzakelijk om besmetting te voorkomen. Als de werkgever verder nog preventiemaatregelen wil treffen, moet de identiteit van de besmette werknemer niet worden vrijgegeven. De Arbodienst en/of GGD kunnen - indien nodig - hierbij helpen.

Ruimte in de AVG?

Ruimte in de AVG? Zoals hierboven gemeld, moet er gewoon worden voldaan aan de regels rondom het verwerken van (bijzondere) persoonsgegevens bij het nemen van maatregelen ter bestrijding van het COVID-19 virus. De European Data Protection Board (EDPB) en de AP zien ook genoeg ruimte voor werkgevers om maatregelen te kunnen treffen tijdens deze crisis én daarbij niet af te doen aan de bescherming van de privacy van werknemers. Zie hieronder een uiteenzetting van hun recente publicaties.

Wat zegt de EDPB? Let op: maart 2020

Wat zegt de EDPB De EDPB heeft op 19 maart 2020 een  verklaring gepubliceerd over de verwerking van persoonsgegevens in het kader van het COVID-19 virus. De EDPB benadrukt daarin dat de AVG geen belemmering vormt voor maatregelen in de strijd tegen het COVID-19 virus, maar dat de verwerkingsverantwoordelijken en verwerkers ook tijdens de crisis erop toe moeten zien dat de privacy van betrokkenen beschermd wordt.

Verder staat in de verklaring dat de AVG voorziet in wettelijke grondslagen voor de verwerking van persoonsgegevens in deze context. De AVG staat volksgezondheidsautoriteiten en werkgevers namelijk toe om persoonsgegevens te verwerken in het kader van een pandemie, maar dan wel overeenkomstig de nationale wetgeving en binnen de daarin gestelde voorwaarden.

De EDPB vermeldt daarbij expliciet voor werkgevers dat de verwerking van persoonsgegevens door werkgevers noodzakelijk kan zijn om te voldoen aan een wettelijke verplichting waaraan de werkgever is onderworpen, zoals verplichtingen met betrekking tot gezondheid en veiligheid op de werkplek, of voor het algemeen belang, zoals de bestrijding van ziekten en andere bedreigingen voor de gezondheid. De AVG voorziet daarbij ook in uitzonderingen op het verbod op de verwerking van bepaalde speciale categorieën persoonsgegevens, zoals gezondheidsgegevens, wanneer dit om redenen van algemeen belang op het gebied van de volksgezondheid nodig is ( artikel art. 9 lid 2 sub i AVG ), op grond van het Unierecht of het nationale recht, of wanneer de vitale belangen van de betrokkene moeten worden beschermd (art. 9, lid 2, onder c AVG), aangezien overweging 46 AVG expliciet verwijst naar de bestrijding van een epidemie.

Volgens de verklaring is de verwerking van (bijzondere) persoonsgegevens in deze context dus mogelijk:

  • om een wettelijke verplichting te vervullen;
  • om redenen van algemeen belang op het gebied van volksgezondheid (op grond van het Unierecht of het nationale recht);
  • om vitale belangen te beschermen.

Opmerking met betrekking tot het laatste punt: de AVG verplicht bij het verwerken van bijzondere persoonsgegevens om vitale belangen te beschermen, dat dit alleen mag als er geen toestemming gegeven kan worden. Dit zal op de werkvloer tijdens deze pandemie niet snel het geval zijn. Helaas gaat de EDPB verder ook niet in op het feit dat toestemming in een arbeidsrelatie vrijwel nooit een geldige grondslag is.

De EDPB geeft dus aan dat de AVG voldoende grondslagen en uitzonderingen biedt voor werkgevers om (bijzondere) persoonsgegevens te kunnen verwerken ter bestrijding van de pandemie. Het is echter wel de vraag of nationale wetgeving het toe laat dat werkgevers zich hier ook echt op kunnen beroepen. Dit zal dan ook per geval bekeken moeten worden.

De EDPB benadrukt verder uitdrukkelijk dat de basisbeginselen van de AVG ook nu in acht genomen moeten worden. Verder moeten maatregelen die zijn geïmplementeerd om de huidige crisis te managen en het onderliggende besluitvormingsproces worden gedocumenteerd.

Nationale wetgeving

In de verklaring van de EDPB wordt dus voornamelijk verwezen naar nationale wetgeving. Nederland moet in die gevallen terugvallen op wat er in de UAVG en nationale arbeid-, gezondheid- en veiligheidswetgeving staat.

Wat zegt de AP? Actueel

Wat zegt de AP? De AP heeft op haar website een pagina gewijd aan COVID-19 virus (hier ook corona genoemd) op de werkvloer. Op deze pagina staat dat werkgevers hun werknemers niet mogen vragen naar hun gezond of zelf een test mogen afnemen op corona.

Vaccinatiestatus Op de pagina van Rijksoverheid staat nu dat een werkgever wel mag vragen naar de vaccinatiestatus van een werknemer, mits er een goede reden voor is. De werknemer is niet verplicht te antwoorden. Hetzelfde blijft dat de werkgever de vaccinatiestatus niet mag vastleggen en er mag nog steeds niet gevraagd worden naar andere gezondheidsgegevens.

Geactualiseerd Verder worden enkele handige vragen beantwoordt voor werkgevers op de website van AP. Zie hieronder.

Mag ik mijn werknemers controleren op corona?

Als werkgever mag u uw personeel niet zelf controleren op corona. Alleen een (bedrijfs)arts mag werknemers controleren. De arts deelt de uitslag vervolgens alleen met de werknemer.

Zieke werknemer

Is de werknemer ziek? Dan kan hij of zij zich op de gebruikelijke manier bij u ziekmelden.

Uw werknemer hoeft u niet te vertellen dat hij of zij corona heeft.

Maatregelen werkvloer

Vermoedt de arts dat uw werknemer het coronavirus heeft? Dan neemt de arts met spoed contact op met de regionale GGD. De GGD kan dan in overleg met u maatregelen treffen voor op de werkvloer.

Instructies RIVM

Het RIVM heeft instructies gegeven hoe met contacten op het werk en met klanten om te gaan. Van alle werkgevers wordt verwacht dat zij de instructies van het RIVM volgen.

En dat zij hun medewerkers hier nadrukkelijk op wijzen. Zorg ervoor dat de instructies van het RIVM in alle talen van uw werknemers beschikbaar zijn.

Voor meer informatie, zie Actuele informatie over COVID-19 op de website van het RIVM.

Temperaturen

Wilt u uw medewerkers temperaturen voordat zij naar binnen mogen? Dit is niet zomaar toegestaan. Bovendien is niet zeker dat u hiermee coronabesmettingen kunt opsporen. Zie verder: Temperaturen tijdens corona op de website van de AP.

Mag ik mijn werknemer vragen of hij of zij corona heeft?

Nee, dat mag niet. Als werkgever mag u niet vragen naar de aard en oorzaak van iemands ziekte.

Let op: vertelt uw werknemer uit zichzelf wat hij of zij mankeert? Dan mag u deze informatie niet vastleggen of delen.

Opmerking auteur: Eerder had de AP op haar website nog staan dat het in de zorg wel mag.

Mijn werknemer is positief getest op corona. Moet ik nu iedereen inlichten die met mijn werknemer in contact is geweest?

Nee, dit is niet aan u. Test een (bedrijfs)arts uw medewerker positief op corona? Dan geeft de arts dit door aan de GGD. Is er door contacten van uw werknemer kans op besmetting op de werkplek? Dan treedt een protocol van de GGD in werking. Dat protocol bepaalt welke maatregelen worden genomen.

Opmerking auteur Op dit vlak geeft de AP een andere toelichting dan de EDPB. Het is raadzaam om de AP te volgen. Echter, als er intern mondeling wordt besproken dat er een COVID-19 besmetting is en dat daardoor bepaalde maatregelen worden doorgevoerd, is er nog geen sprake van een verwerking in de zin van de AVG.

Moet mijn werknemer het aan mij melden als hij of zij corona heeft?

Nee. Uw medewerker hoeft u als werkgever niet te informeren over de aard en oorzaak van zijn of haar ziekte.

Uw werknemer mag dit wel vrijwillig aan u vertellen. Maar let op: u mag deze informatie vervolgens niet vastleggen of delen.

Mag ik mijn zieke werknemer naar huis sturen?

Of u dit mag, kan de AP niet beoordelen. Deze situatie staat namelijk los van de bescherming van persoonsgegevens.

Het hangt ervan af wat wel en niet mag in arbeidsverhoudingen. Hiervoor moet u naar het arbeidsrecht kijken.

Mag ik een werknemer vragen om zijn of haar gezondheid te checken?

Of u dit mag, kan de AP niet beoordelen. Deze situatie staat namelijk los van de bescherming van persoonsgegevens.

Het hangt ervan af wat wel en niet mag in arbeidsverhoudingen. Hiervoor moet u naar het arbeidsrecht kijken.

Mag ik een werknemer vragen om contact op te nemen met een arts?

Of u dit mag, kan de AP niet beoordelen. Deze situatie staat namelijk los van de bescherming van persoonsgegevens.

Het hangt ervan af wat wel en niet mag in arbeidsverhoudingen. Hiervoor moet u naar het arbeidsrecht kijken.

Temperaturen tijdens corona

Temperaturen tijdens corona Een veel besproken onderwerp rondom privacy op de werkvloer in temperaturen tijdens corona. Daarom heeft de AP een pagina toegevoegd aan het dossier privacy op de werkvloer over dit onderwerp. De AP benadrukt: naast dat niet zeker is of hiermee coronabesmettingen kunnen worden opgespoord, is temperaturen niet zomaar toegestaan. Meestal verwerkt de werkgever hiermee namelijk medische gegevens en dat valt onder de AVG.

Om dit te verduidelijken legt de AP op haar website uit waarom de AVG geldt en wanneer de AVG niet geldt.

Waarom geldt de AVG?

De AVG geldt in deze situatie omdat u niet alleen iemands temperatuur meet, maar u vervolgens ook iets doet met dit medische gegeven. U meet immers niet voor niets. Dit wordt namelijk meestal geregistreerd of doorgegevens om vervolgens een actie te kunnen ondernemen.

Wanneer geldt de AVG niet?

De AVG geldt niet als u de temperatuur alleen afleest. Maar alleen als u daarbij aan 3 voorwaarden voldoet:

  • U mag de temperatuur niet opnemen in een bestand, zoals een Excellijst met namen en de gemeten temperaturen.
  • De meting mag niet geautomatiseerd plaatsvinden, zoals bij een warmtecamera.
  • De verwerking mag geen geautomatiseerd gevolg hebben. Bijvoorbeeld poortjes die automatisch openen of een licht dat automatisch op groen gaat als de temperatuur niet te hoog is.

Voldoet u niet aan deze 3 voorwaarden? Dan geldt de AVG wél. En mag u dus niet zomaar lichaamstemperatuur meten.

Maar let op: ook al is de AVG niet van toepassing, de inbreuk op iemands privacy kan toch groot zijn. En ook de bescherming van andere grondrechten, zoals de integriteit van het lichaam, kan nadrukkelijk in het geding zijn. De AP kan hier echter niet tegen optreden.

Meer lezen over temperaturen op de werkvloer kan op de website van de AP.

AP benadrukt bijzondere situatie

De AP wijkt in de basis niet af van wat we gewend zijn, maar geeft in haar antwoorden wel aan dat er ruimte is voor werkgevers om het virus te bestrijden.

Verder heeft de AP in een nieuwsbericht benadrukt dat zij ruim baan geven aan de broodnodige initiatieven om de capaciteit van de zorg op niveau te krijgen. Zo klopte een zorgorganisatie bij de AP aan met een plan om mensen die tot een paar jaar geleden in de zorg werkten, te benaderen om hen tijdelijk weer als arts of verpleegkundige in te zetten. Dat lieten organisaties (ex-werkgevers) door een tussenpersoon doen en zij vroegen zich af of dit wel mag. De AP heeft met ze meegedacht over een goede oplossing. De AP zegt daarbij: ‘Privacy moet goede zorg nooit in de weg zitten, zeker nu niet.'

Prioriteit bestrijden COVID-19 Prioriteit is nu het bestrijden van het COVID-19 virus en het redden van levens, aldus de AP. In deze bijzondere situatie is het dus denkbaar dat meer mogelijk is, mits dit noodzakelijk is om de volksgezondheid te beschermen én privacy gewaarborgd blijft.

Conclusie

Conclusie De AVG staat werkgevers niet in de weg om maatregelen te nemen tijdens een pandemie. Dit wordt bevestigd door de EDPB en de AP.

Dit betekent niet dat werkgevers opeens van alles mogen vastleggen omdat we te maken hebben met een bijzondere situatie. Werkgevers moeten ook nu de AVG in acht blijven nemen. Het is dus belangrijk dat werkgevers belangenafwegingen blijven maken als zij nieuwe verwerkingen willen gaan doen ter bestrijding van de pandemie, de risico’s afwegen en zich houden aan het Unierecht en nationale wetgeving.

Snelle ontwikkelingen Verder is het raadzaam de overheid en de AP te volgen. Zij komen met uitzonderingen en wetswijzigingen i.v.m. met corona waar werkgevers ook mee te maken kunnen hebben. Wij updaten deze PN regelmatig, maar de ontwikkelingen gaan snel waardoor het raadzaam is het nieuws goed te blijven volgen.

Maatregelen zonder persoonsgegevens

Verder moet niet vergeten worden dat er ook veel ondernomen kan worden zonder (extra) persoonsgegevens te verwerken. Niet elke maatregel zal dus betrekking hebben op een verwerking van persoonsgegevens in de zin van de AVG. Dit betekent niet dat er dan geen inbreuk gemaakt kan worden op de privacy van personen (grondrecht) of rekening gehouden moet worden met het arbeidsrecht. Ondanks dat de AVG dan geen bescherming biedt, kan een inbreuk alsnog onrechtmatig zijn of een schending van arbeidsrechtelijke regel zijn. Kijk dus altijd naar het gehele plaatje.

Voorbeeld maatregel zonder verwerken persoonsgegevens

Werkgevers leggen nieuwe hygiënemaatregelen op. Daarvoor hoeven geen (extra) gegevens verwerkt te worden, maar het is wel erg efficiënt tijdens een pandemie.

Opmerking auteur Opmerking auteur d.d. 10 mei 2020: alle informatie in dit onderwerp is op 10 mei 2020 geüpdatet aan de hand van de wijzigingen van de AP in haar informatie en antwoorden op haar website. Een belangrijke toevoegen is dat de AP nu ook benadrukt dat in sommige gevallen zij niet kan beoordelen of iets mag of niet. Dit aangezien de situatie dan los staat van de AVG. Eerder kon u in dit onderwerp lezen dat ik mijn bedenkingen had bij antwoorden van de AP, omdat er in veel situaties helemaal geen persoonsgegevens worden verwerkt in de zin van de AVG. En dat ik het bijzonder vond dat de AP niet verwees naar het arbeidsrecht. Gelukkig komt de AP daar nu op terug en geeft zij aan dat er ook naar het arbeidsrecht gekeken moet worden.

Opmerking auteur d.d. 13 december 2020: De AP heeft ondertussen meer nieuws naar buiten gebracht over voornamelijk het opmeten van temperatuur. Deze informatie is verwerkt in dit onderwerp.

Maatregel: thuiswerken

Thuiswerken Een maatregel om de verspreiding van het COVID-19 virus te voorkomen is het laten thuiswerken van werknemers. Het RIVM en de overheid vragen ook van werkgevers, voor zover mogelijk, om werknemers vanaf huis te laten werken. Het opvolgen van deze richtlijnen valt onder de zorgplicht van de werkgever om te zorgen voor een veilige en gezonde werkomgeving.

Bij thuiswerken spelen twee belangrijke privacyaspecten een rol:

  1. Veilig thuiswerken. Er bestaat namelijk een risico dat de beveiliging minder goed op orde is dan op het werk zelf. Dit brengt bijvoorbeeld met zich mee dat de kans op datalekken toeneemt.
  2. De privacy van de thuiswerkende werknemer.

Veilig thuiswerken

Veilig thuiswerken Werkgevers zullen moeten zorgen dat zij beleid opstellen rondom thuiswerken. Dit zodat de werkplek goed ingericht kan worden (arbeidsrechtelijke verplichting), maar ook zodat werknemers weten welke maatregelen genomen moeten worden om de privacy te blijven waarborgen.

Voorbeelden Enkele voorbeelden van maatregelen voor in het thuiswerkbeleid zijn:

  • Scherm afsluiten bij toiletbezoek/pauzes.
  • Zoveel mogelijk zorgen dat familieleden niet kunnen meeluisteren tijdens videogesprekken.
  • Documenten die je normaal aan elkaar overhandigd nu beveiligd mailen.

Aanbevelingen

Aanbevelingen De AP en het Nationaal Cyber Security Centrum (NCSC) hebben aanbevelingen gedaan voor veilig thuiswerken. Het is raadzaam voor werkgevers om deze op te volgen en tevens te verwerken in beleid.

Tips van de AP voor veilig thuiswerken:

Aanbevelingen van het NCSC voor organisaties:

  • Zorg voor de benodigde (netwerk)capaciteit om het grotere aantal thuiswerkers te kunnen bedienen. Denk hierbij zowel aan de IT-infrastructuur als aan de telecominfrastructuur.
  • Maak een beoordeling welke medewerkers op kantoor aanwezig dienen te zijn voor de ondersteuning van de IT-voorzieningen die nodig zijn voor thuiswerken.
  • Bedenk welke aanpassingen mogelijk nodig zijn voor uw incident respons plannen bij een beperkte aanwezigheid van medewerkers.
  • Dwing het gebruik van een veilige verbinding naar het bedrijfsnetwerk af met bijvoorbeeld met een Virtual Private Network (VPN) of andere veilige thuiswerkoplossing.
  • Zorg dat thuiswerkmogelijkheden getest en geüpdatet zijn.
  • Stel eventueel extra monitoring in op uw applicaties die kritiek zijn voor thuiswerken.
  • Maak zoveel mogelijk gebruik van multifactorauthenticatie (MFA) voor toegang tot uw bedrijfsnetwerk en dwing sterke wachtwoorden af.
  • Installeer de meest recente updates voor hard- en software.
  • Zorg dat uw medewerkers bewust zijn van phishing omtrent COVID-19/ het Coronavirus en dat bekend is hoe zij dit moeten melden. Houd rekening met een mogelijke toename van meldingen omtrent phishingmails en valse e-mails.
  • Zorg dat uw organisatierichtlijnen up-to-date zijn en bekend zijn bij de medewerkers omtrent informatiebeveiliging inclusief het (thuis)gebruik van hard- en software en het eventuele gebruik van privé IT-voorzieningen.

Communicatiemiddelen

Communicatiemiddelen Momenteel wordt er veel gebruik gemaakt van tools om bijvoorbeeld werkoverleg te voeren of presentaties te houden. Bijvoorbeeld via Zoom, Skype of FaceTime. De AP waarschuwt daarbij dat organisaties voorzichtig moeten zijn met het gebruik daarvan. Dit is niet gek, want er worden veel persoonsgegevens gedeeld/verwerkt als er gebruik wordt gemaakt van zo’n middel.

Tips bij het gebruik van communicatiemiddelen:

  • Kies zo veel mogelijk voor een communicatiemiddel waarbij zekerheid is over de beveiliging. Bijvoorbeeld gewoon de telefoon.
  • Als een organisatie een alternatief moet kiezen, doe ‘onderzoek’ naar de privacy risico’s en maak gemotiveerd een keuze. Controleer dus in ieder geval de privacyverklaring van de leverancier en de veiligheid van de verbinding.
  • Stel –indien mogelijk- de tool gebruiksvriendelijk in.
  • Weiger niet-relevante cookies.
  • Sluit verwerkersovereenkomsten waar nodig.
  • Verwijder data zo snel mogelijk.
  • Probeer zo min mogelijk (gevoelige) gegevens te delen.
  • Vraag instemming rondom het gebruik en informeer klanten over het gebruik van nieuwe communicatiemiddelen.
  • Update de eigen privacyverklaring.

Keuzehulp privacy bij videobel-apps

De AP heeft bij 13 veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Zoals welke gegevens de app verzamelt, wat de app daarmee doet en of de communicatie beveiligd is. Aan de hand daarvan heeft de AP een keuzehulp gemaakt welke kan bijdragen aan een keuze maken voor een geschikt middel.

Onderzoek door IBD

Onderzoek IBD De informatiebeveiligingdienst (IBD) heeft van gemeenten veel vragen gekregen over videoconferencing tools. Daarom hebben zij onderzoek gedaan en verschillende adviezen op een rijtje gezet. Deze zijn niet alleen voor gemeenten interessant, maar voor iedere organisatie die deze tools wil gebruiken. De IBD heeft daarbij ook quickscan gedaan op de beveiligingsmaatregelen van veel verschillende tools.

De IBD is onderdeel van de VNG en ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). Teksten van de IBD-website mogen worden overgenomen, daarin mogen echter geen veranderingen worden aangebracht. Om deze reden vindt u hieronder een kopie van het door de IBD gedeelde bericht.

Videobellen is in deze tijd een welkome aanvulling op alle andere kanalen die we al gebruiken om met elkaar te communiceren nu het persoonlijke contact tot een minimum beperkt moet worden. Videobellen is niets meer dan een stream van beeld en geluid daar waar we voorheen voornamelijk alleen geluid van de telefoon gebruikten. De beveiligingsmaatregelen zijn ook niet anders dan die we nu al gebruiken voor de communicatie via mail, geluid en chatten gebruiken. Het NCSC heeft in 2017 een factsheet “Kies een berichtenapp voor uw organisatie”  geschreven die ook goed toepasbaar is op tools voor videobellen.

Let op dat er altijd een zekere mate van beveiligings- en privacyrisico is bij het gebruik van dergelijke tools. Het risico moet u afwegen tegen het doel en de omstandigheden. Videochatten zal bijna nooit het medium zijn voor het uitwisselen van (zeer) vertrouwelijke informatie.

Dit advies gaat in op technische en juridische maatregelen, de factor mens is echter een hele belangrijke. Zeker in deze periode van thuiswerken is het goed mogelijk dat gezinsleden van de deelnemers delen van het gesprek meekrijgen, screenshots en video-opnames kunnen worden gedeeld, etc. Dat vereist een zekere mate van vertrouwen in de deelnemers.

Daarom tip 1:

Besef wat u deelt! Houd rekening met het feit dat wat u bespreekt in principe openbaar zou kunnen worden.

Een generieke aanpak voor het beoordelen van een app voor videobellen kan zijn:

Denk voor de risicoafweging aan de volgende punten:

  • De keuze voor een app is afhankelijk van het doel van de vergadering en welke (persoons)gegevens er worden gedeeld in zo’n vergadering. Ook kunnen organisaties waar u mee gaat vergaderen andere eisen stellen aan de vergaderomgeving.
  • De risico’s die te maken hebben met Amerikaanse cloudleveranciers hebben we op onze website al op een rijtje gezet
  • Controleer of de videoapp/aanbieder tenminste over de volgende maatregelen beschikt:
    1. End-to-end encryptie

    2. Hashing van wachtwoorden
    3. AES 256 bit TLS encryptie bij voorkeur
    4. SAML 2.0
    5. Unieke vergader id’s om vergaderingen af te schermen
    6. Compliant aan AVG/GDPR of EU privacyshield
    7. Bij voorkeur: Datacenter in EU, verwerking in EU
    8. Gecertificeerd: ISAE 3402 type 2, SOC 2 type 2, ISO 27001
    9. Client over HTTPS
    10. Lage latency
    11. Indien gewenst: on-premise mogelijkheden met eventueel cloud back-up
  • Controleer de bovenstaande beveiligingseisen (zie hiervoor de quickscan).
  • Controleer of de aanbieder van de app voldoet aan de AVG/GDPR en of er privacyvriendelijke instellingen aanwezig zijn, zoals de keuze om persoonsgegevens alleen op te slaan in de EU of een optie om een adresboek van de organisatie niet te uploaden naar de server. Lees ook de aanbevelingen van het NCSC en de Autoriteit Persoonsgegevens over videochatdiensten.
  • Als (een deel van) de opslag of andere verwerking van persoonsgegevens door de aanbieder buiten de EER plaatsvindt, controleer dan of er een adequaatsheidsbesluit is genomen door de Europese Commissie, of (bij Amerikaanse partijen) of er een Privacyshield certificaat is. Verifieer het certificaat op https://www.privacyshield.gov/list.
  • Zorg ervoor dat de omgang met en inrichting van de tool zoveel mogelijk privacyvriendelijk gebeurt: zet (attention)trackingfuncties uit en neem het gesprek niet op.
  • Wijs iemand in de groep aan die in de gaten houdt of hetgeen besproken wordt ook besproken kan en mag worden (let in het bijzonder op persoonsgegevens).
  • Creëer een intern of besloten adresboek/contactlijst van de organisatie om te gebruiken in de app.
  • Maak medewerkers bewust van de omgeving wanneer u de tool gebruikt. Denk om zaken zoals wie kan meeluisteren, of er (gevoelige) persoonsgegevens in beeld zijn tijdens de videoconference en het afsluiten van de videoconference na afronding van het gesprek.
  • Stel een toegangsbeperkende maatregel (bijv. pincode) in voor het gebruik van de app of kies een app die een random nummer gebruikt voor een uniek gesprek.
  • Gebruik alleen apps waarbij end-to-end encryptie ingeschakeld is.
  • Wordt de app ook mobiel gebruikt, zorg dan bij voorkeur voor een MDM/MAM oplossing voor het beheer van de mobiele devices.
  • Wordt de toepassing ook gebruikt voor klantcontact, zorg dan voor een verificatieprocedure, zodat u kunt vaststellen dat u ook zeker weet dat de ander is wie hij zegt dat hij is.

Bron: Informatiebeveiligingsdienst, 25 maart 2020

DPIA?

DPIA? Normaal gesproken moet een organisatie een DPIA uitvoeren bij het gebruik van nieuwe technologieën. Dit is ook het geval als werkgevers besluiten gebruik te gaan maken van nieuwe tools om bijvoorbeeld te kunnen videobeelden. De punten waar hierboven naar wordt verwezen zijn belangrijk om mee te nemen in zo een DPIA. Aangezien we nu te maken hebben met een bijzondere situatie en er snel geanticipeerd moet worden op deze situatie, kan een DPIA lastig zijn. Een verkort onderzoek kan daarom voor nu ook voldoende zijn. De AP geeft aan dat er sowieso onderzoek gedaan moet worden naar de privacy risico’s. Vergeet dit dus echt niet ondanks alle hectiek.

Let op: Het is raadzaam om later alsnog een volledige DPIA uit te voeren.

Privacy van de thuiswerkende werknemer

Privacy thuiswerkende werknemer Ook thuiswerkende werknemers hebben recht op privacy. Dit betekent dat werkgevers hun werknemers niet zomaar mogen controleren. Dit is alleen toegestaan als wordt voldaan aan de AVG en de UAVG. Ook tijdens een pandemie.

Voorbeeld: Werkgevers zullen benieuwd zijn naar de productiviteit van werknemers. Echter, e-mails mogen inhoudelijk niet zomaar bekeken worden. Een minder ingrijpende actie kan zijn om te kijken naar de hoeveelheid e-mails die verstuurd zijn. Verder is een goed controlemiddel het gebruik maken van een werklijst. Hierbij is redelijkheid nog steeds een vereiste, maar kan een werkgever wel vragen in brede zin waar de werknemer dus zijn of haar tijd aan heeft besteed. Niet op de minuut natuurlijk en vooral geen wc-breaks laten opnemen.

Alles over controle van werknemers kunt u vinden op de website van de AP.