Privacy wetgeving: beveiliging persoonsgegevens

Bij veel van onze klanten hebben we gemerkt dat privacy en de verwerking van persoonsgegevens vragen oproept. Daarom verstrekken we graag de belangrijkste informatie op dit gebied. We gaan in op de meest gestelde vragen op het gebied van privacy en in het specifiek het kopie identiteitsbewijs, ziekte medewerker, beveiliging persoonsgegevens, meldplicht datalekken en bewaartermijnen. In deze servicemail deel 3, waarbij we ingaan op het beveiligen van persoonsgegevens.

Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Bijvoorbeeld voor identiteitsfraude.

Maatregelen voor beveiliging

Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen.
Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn. Waar moet je op letten?

  • Verzamel en gebruik niet meer persoonsgegevens dan nodig.
  • Beperk de toegang tot persoonsgegevens.
    Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik. Zorg ervoor dat uitsluitend bevoegde medewerkers toegang hebben tot (digitale) dossiers.
  • Gebruik moderne beveiligingstechniek
    Je mag geen verouderde techniek gebruiken om persoonsgegevens te beveiligen. Hierdoor krijgen bijvoorbeeld hackers geen of weinig kans om toegang te krijgen tot persoonsgegevens.

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Het niet melden kan resulteren in een boete door de AP opgelegd. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Dit hangt af van de ernst van het lek. Als het onwaarschijnlijk is dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen, dan is het niet nodig dit aan hen te melden.
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Bewaartermijnen

Het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens (Wbp) regelt algemeen dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Een organisatie bepaalt aan de hand van het doel zelf hoelang gegevens bewaard moeten worden.
In onder meer de Archiefwet, het Burgerlijk Wetboek, de onderwijs- en belastingwetgeving en sollicitatiecodes (zie onder) zijn wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Samengevat gelden de volgende bewaartermijnen:

  • Sollicitatiegegevens:
    4 weken, 1 jaar met toestemming van de sollicitant of onbeperkt (hiervoor is toestemming van het College voor de Rechten van de Mens nodig). Het is verboden om sollicitatiegegevens door te spelen naar bijvoorbeeld een headhunter. De werkgever mag deze persoonsgegevens niet langer bewaren dan voor de selectie noodzakelijk is. (bron: Wbp).
  • Arbeidsoverkomsten en wijzigingen hierin, verslagen van functionerings- en beoordelingsgesprekken, correspondentie over benoeming, promotie, degradatie en ontslag:
    2 jaar na uitdiensttreding. (bron: artikel 52 Wet Rijksbelastingen).
  • Kopie identiteitsbewijs en loonbelastingverklaringen:
    5 jaar na uitdiensttreding. (bron: art. 66 lid 4 Uitvoeringsregeling LB).
  • Salaris, arbeidsvoorwaarden en andere fiscale gegevens:
    7 jaar. (bron: Wbp);
  • Re-integratiedossier:
    er bestaat geen wettelijke termijn voor het bewaren hiervan. Het is redelijk om het dossier in principe niet langer dan 2 jaar te bewaren nadat een werknemer uit dienst is.
  • Medisch dossier:
    wanneer je eigenrisicodrager voor de Ziektewet moet je het medisch dossier van een medewerker 10 jaar bewaren. De overige gegevens moet je 5 jaar voor het UWV bewaren (artikel 3, tweede lid, Regeling werkzaamheden, administratieve voorschriften en kosten eigenrisicodragen ZW).

Meer weten over de privacy wetgeving?

Lees ook deel 1 en 2 uit deze serie:

Persoonsgegevens beschermen

Gegevens van zieke medewerkers

Advies

Wilt u advies van een van onze specialisten over de privacy wetgeving? Klik op de button om het contactformulier in te vullen en wij nemen zo spoedig mogelijk contact met u op.

Contactformulier

 

Bronnen:
De Autoriteit Persoonsgegevens, HR-kiosk, Visma, privacy-advocaat.nl en Justitia.nl.

Dit artikel geeft een globaal beeld van uw privacyverplichtingen, maar behelst uitdrukkelijk geen juridisch advies. Dit artikel is niet juridisch bindend, noch kunnen hier rechten aan worden ontleend of kan hier enige aansprakelijkheid of verplichting voor Luba uit voortvloeien.

Meer nieuwsitems

1 4 127