Datalek leaserijders ook zaak voor ondernemingsraad
De ondernemingsraad moet waken over de privacy van werknemers. Gegevens van werknemers met een auto van de zaak liggen mogelijk op straat door groot datalek.
De persoonlijke gegevens van 20.000 leaserijders waren in te zien door onbevoegden als gevolg van een datalek bij kredietverstrekker AutoCash. Het lek is inmiddels gedicht maar de gegevens zoals naam, adres, maandsalaris, woonlasten en bankrekeningnummer van leaserijders liggen mogelijk op straat. Het datalek is gemeld bij de Autoriteit Persoonsgegevens zoals de meldplicht datalekken (tools) verplicht. Onlangs zorgde een datalek bij softwarebedrijf CarWise ICT ervoor dat de namen, adressen, leasecontracten en bekeuringen van 100.000 leaserijders bij 52 Nederlandse leasemaatschappijen in Nederland waren in te zien. Dat lek werd 24 uur na de melding gedicht.
Instemmingsrecht op verwerking persoonsgegevens
De OR heeft de plicht om de privacy van werknemers te beschermen. Zo heeft de OR volgens artikel 27 lid 1k van de Wet op de ondernemingsraden (WOR) instemmingsrecht op nieuwe of te wijzigen bedrijfsregels over het verwerken van persoonsgegevens. Neem het beleid rond datalekken voor uw organisatie dus regelmatig samen met de afdeling HR kritisch onder de loep om te bepalen of de maatregelen de veiligheid en privacy nog voldoende garanderen of dat ze aanscherping nodig hebben. Communiceer het (verscherpte) beleid vervolgens duidelijk naar alle werknemers, zodat ze weten hoe ze hun gegevens zo veilig mogelijk registreren en opslaan of hoe ze moeten handelen als ze hun laptop of USB-stick verliezen of op een andere manier met een datalek te maken krijgen.
Bewerkersovereenkomst per 25 mei 2018 wettelijk verplicht
Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in ter vervanging van de Wet bescherming persoonsgegevens (Wbp). Uw bestuurder is vanaf dan ook verplicht om een zogenoemde bewerkersovereenkomst (tool) af te sluiten met een partij die persoonsgegevens van werknemers of klanten voor uw organisatie beheert, verwerkt of opslaat. De verantwoordelijkheid voor de beveiliging van de data blijft namelijk bij uw organisatie. In zo'n bewerkersovereenkomst staan afspraken over bijvoorbeeld de beveiliging van de gegevens en een eventuele schadevergoeding in geval van een datalek. Ook heeft uw bestuurder per mei 2018 het recht om een audit bij zo’n partij te doen om te zien hoe de beveiliging geregeld is.