persoonsgegevens

  • Voorkom een boete door te laat melden datalek

Voorkom een boete door te laat melden datalek

Bij een beveiligingsincident moet er voortvarend worden gehandeld. Vaak is er nader onderzoek nodig om te kunnen vaststellen of er sprake is van een datalek. Het binnen 72 uur doen van een pro forma melding bij een mogelijk datalek, kan een boete besparen.

Onlangs kreeg een groot bedrijf een boete van €475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?

Wanneer melding datalek?
Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Tijd voor onderzoek
In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.

Te laat…
Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.

De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.

Pro-formamelding
De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kun je een boete vanwege een te late melding voorkomen.

Tip! Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.

Contact
Zijn er vragen over bovenstaand bericht, neem dan vooral contact met ons op via telefoonnummer 0222-314141 voor onze vestiging op Texel of 0223-612255 voor onze vestiging in Den Helder.

Door |2021-07-26T10:47:04+02:0026 juli 2021|Nieuws, Nieuws zonder blog|Reacties uitgeschakeld voor

Voorkom een boete door te laat melden datalek

  • Een verplichte Coronatest voor de werknemer, mag dat?

Een verplichte Coronatest voor de werknemer, mag dat?

Kan een werkgever de werknemer verplichten een Coronatest te ondergaan? Mag een werkgever een werknemer met Coronaklachten naar huis sturen? En mag een werkgever de temperatuur van een werknemer opnemen? Deze vragen leven op de werkvloer en worden hieronder beantwoord.

Kan een werkgever de werknemer verplichten een Coronatest te ondergaan?
Nee, dat kan niet. Het is een werkgever in verband met het recht van de werknemer op lichamelijke integriteit niet toegestaan de werknemer verplicht te onderwerpen aan een Coronatest. Met het recht op lichamelijke integriteit wordt bedoeld dat ieder mens zelf mag bepalen wat er met zijn of haar lichaam gebeurt.

Uiteraard kan de werkgever de werknemer wel wijzen op het advies van het RIVM om bij klachten die te maken hebben met verkoudheid, verhoging of koorts, keelpijn en hoest, een afspraak te maken om een test te ondergaan.

Werknemer naar huis sturen?
Als de werkgever op de werkvloer constateert dat de werknemer klachten heeft die gerelateerd zijn aan Corona, kan de werkgever de betreffende werknemer naar huis sturen. Dit kan op basis van het instructierecht van de werkgever en zijn zorgplicht ten opzichte van andere werknemers in het bedrijf, waar het gaat om het creëren van een veilige werkomgeving.

Sneltest
Inmiddels zijn er verschillende sneltesten in omloop. Uiteraard mag de werkgever zijn werknemers aanbieden een sneltest te ondergaan. Maar ook hier geldt, dat het ondergaan van een sneltest op vrijwillige basis moet gebeuren. Een weigerachtige werknemer kan dus niet gesanctioneerd worden. De sneltest moet op basis van vrijwilligheid worden uitgevoerd en na uitdrukkelijke toestemming van de medewerker. Gelet op de hiërarchische relatie tussen werkgever en medewerker kan de vraag gesteld worden of er wel sprake kan zijn van uitdrukkelijke toestemming.

Uitsluitend een zorgprofessional mag een test afnemen. De uitslag van de test betreft privacygevoelige informatie die alleen met de werknemer mag worden gedeeld. Eventuele kosten verbonden aan de test komen voor rekening van de werkgever. Wordt de test niet door een zorgprofessional afgenomen, dan is de werkgever in overtreding en kan hij beboet worden.

De Autoriteit Persoonsgegevens heeft inmiddels een standpunt ingenomen over sneltesten en heeft daarbij aansluiting gezocht bij hetgeen ze heeft bepaald over het opnemen van de temperatuur. Zo geldt ook bij het afnemen van een sneltest dat de privacywetgeving (de AVG) niet geldt als de uitslag van de sneltest alleen wordt afgelezen. Daarbij moet wel voldaan zijn aan de volgende drie voorwaarden:
1. De testuitslag mag niet worden opgenomen in een bestand, zoals een Excellijst met namen en de gemeten testuitslagen.
2. De sneltest mag niet geautomatiseerd plaatsvinden, zoals met bepaalde elektronische analyseapparatuur.
3. De verwerking mag geen geautomatiseerd gevolg hebben.

Temperaturen
Hoe zit het met het opnemen van de temperatuur van een werknemer? Lichaamstemperatuur is een persoonsgegeven als deze temperatuur te herleiden is tot een specifiek persoon. Aangezien lichaamstemperatuur informatie geeft over iemands gezondheid, is het ook een gezondheidsgegeven. Een gezondheidsgegeven is een bijzonder persoonsgegeven waarbij geldt dat het verboden is deze te verwerken, tenzij er een uitzondering uit de wet geldt. Bij uitdrukkelijke toestemming kan er sprake zijn van een uitzondering. Het is echter de vraag of hier, gelet op de afhankelijkheidsrelatie van de werknemer, wel sprake van kan zijn.

Drie voorwaarden
De Autoriteit Persoonsgegevens (AP) geeft aan dat de Algemene Verordening Persoonsgegevens (AVG) niet van toepassing is indien de temperatuur alleen wordt afgelezen en dus niet als persoonsgegeven wordt verwerkt. Wel gelden daarbij de volgende, zoals dus ook bij de sneltest, drie voorwaarden:
1. de temperatuur mag niet worden opgenomen in een bestand, zoals een Excellijst met namen en de gemeten temperatuur;
2. de meting mag niet geautomatiseerd plaatsvinden, zoals met een warmtecamera, en
3. de verwerking mag geen geautomatiseerd gevolg hebben. Denk bij dit laatste aan poortjes die automatisch openen na het temperaturen of een licht dat automatisch op groen gaat als de temperatuur niet te hoog is.

Als niet aan genoemde voorwaarden wordt voldaan, is sprake van verwerking van persoonsgegevens en geldt de AVG wel.

Let op! Inmiddels heeft de AP twee bedrijven beboet, omdat die gegevens over de werknemers van wie de temperatuur was opgemeten wel hadden verwerkt.

Contact
Zijn er vragen over bovenstaand bericht, neem dan vooral contact met ons op via telefoonnummer 0222-314141 voor onze vestiging op Texel of 0223-612255 voor onze vestiging in Den Helder.

Door |2020-12-16T08:20:43+01:0016 december 2020|Nieuws, Nieuws zonder blog|Reacties uitgeschakeld voor Een verplichte Coronatest voor de werknemer, mag dat?