Bestanden delen & mailen onder de AVG
Met de komst van de AVG is het er niet duidelijker op geworden. Wij merken dat bij veel klanten vragen leven over de naleving van de AVG. Behalve algemene vragen zoals "Heb ik een Functionaris voor de Persoonsgegevens nodig?" leven er ook veel praktische vragen. Zeker als het gaat om je website, e-mail nieuwsbrieven en het delen of mailen van bestanden.
Wat mag er nu wel en niet? Wij zetten 7 veel voorkomende vragen over de AVG op een rijtje:
- Mag ik een loonstrook of andere persoonsgegevens per e-mail versturen?
Het
gaat heel makkelijk, je stuurt even het adres of telefoonnummer van een nieuwe
collega per mail. Maar mag dat nog wel? De Autoriteit Persoonsgegevens zegt
hierover: Aan
het verzenden van informatie via e-mail zitten risico’s. Dus wilt u
persoonsgegevens via e-mail versturen? Dan bent u er als organisatie
verantwoordelijk voor dat u die gegevens veilig verzendt. U moet maatregelen
treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. Helaas
wordt er niet vermeld welke maatregelen dat zijn. Wel dat het passende
maatregelen moeten zijn. Denk bijvoorbeeld aan:
- het vergaand
versleutelen van de e-mail en de bijlage
- het versturen
van dit soort bestanden via een gesloten netwerk
Het antwoord op de vraag is dus eigenlijk: nee, dat mag niet zonder extra maatregelen.
- Is het nog veilig om bestanden te delen via Dropbox of WeTransfer?
Dat
ligt er aan welke informatie de bestanden bevatten. Als het bijvoorbeeld om een
patiëntendossier, een jaarrekening, een eigendomsbewijs of een salarisstrook
gaat dan is dat zeker niet aan te raden. Omdat van deze partijen niet duidelijk
is waar de bestanden precies staan (binnen of buiten de EU) en op welke manier
de beveiliging geregeld is. Verstuur je de opmaak van een pagina uit een
reisgids, dan is het weer geen probleem.
Wil je toch privacygevoelige gegevens
uitwisselen? Dan is een gesloten systeem de beste optie. Denk bijvoorbeeld aan
het BG portaal. Binnen zo’n besloten netwerk kan je veilig gegevens
uitwisselen. Onze IT partner interparts, biedt diverse oplossingen op dit
gebied.
- Als ik mijn mailverkeer laat versleutelen, kan ik dan gewoon alles mailen?
Je
hoort de laatste tijd veel over het versleuteld versturen van informatie. Dit
betekent dat jouw e-mail via een bepaalde code omgezet wordt (encrypted) zodat
de informatie niet te begrijpen is. Dit gebeurt zonder dat je er zelf iets van
merkt. Maar vaak wordt zo’n versleutelde mail als hij is aangekomen automatisch
weer uitgepakt, ongeacht wáár of bij wié hij is aangekomen. In dat geval is een
simpele versleuteling dus niet voldoende.
Verstuur
je persoonsgegevens, dan is een vergaande versleuteling nodig. Dit soort
versleuteling checkt of degene de die de mail opent ook de geadresseerde is. Je
moet je dan identificeren door middel van een wachtwoord of pincode. Dat kan
bijvoorbeeld met Cryptshare . Het
antwoord op de vraag is dus dat het ligt aan de mate van versleuteling en hoe
gevoelig de informatie is die je verstuurt.
- Mag ik de gegevens van mijn medewerkers of collega’s op een lijst zetten of moet ik daarvooraf toestemming voor vragen?
Je
kent het wel, je verzamelt online de inschrijvingen voor het
bedrijfstennistoernooi, zet de verjaardagen van collega’s op het intranet of je
hebt een smoelenboek op je website. Mag dat nog wel?
Dat mag
alleen met toestemming van de betrokkenen. Zonder die toestemming mag je geen
personeelsgegevens, foto’s of contactgegevens publiceren. Zelfs niet op een
intern systeem. Datzelfde geldt bijvoorbeeld voor het registeren van bezoekers
van een evenement om ze achteraf een enquête te sturen. Dat mag alleen als de
betrokkenen daar toestemming voor hebben gegeven. En is de enquête eenmaal
verstuurd, dan moeten daarna de gegevens verwijderd worden!
- Hoe zorg ik er voor dat mijn website AVG-proof is?
Om aan de regels van de AVG te voldoen, heeft de website minimaal een SSL certificaat en een privacy verklaring nodig. Lees in dit artikel wat je zelf kan doen om je website te AVG-proof te maken.
- Mag ik mijn klanten nog steeds nieuwsbrieven sturen of moet ik opnieuw om toestemming vragen?
Je mag je ‘bestaande klanten’ (donateurs, afnemers, patiënten, etc) gewoon nieuwsbrieven blijven sturen per e-mail. Ze hoeven daarvoor niet opnieuw toestemming te geven, maar je moet wél een makkelijke, gratis afmeldmogelijkheid bieden bij elk bericht dat je verstuurt. Als je nieuwe klanten krijgt, moet je deze wél nadrukkelijk om toestemming vragen om nieuwsbrieven te mogen sturen!
- Waar kan ik terecht met mijn vragen over de AVG?
De enige instantie die antwoord kan geven op de meeste vragen is de Autoriteit Persoonsgegevens. Ga niet gokken of zelf googlen, want online is een jungle aan informatie te vinden die elkaar ook nog regelmatig tegenspreekt.
Nieuwe wet, nieuwe vragen
Dagelijks ontstaan er nog nieuwe vragen over de naleving van de AVG. Wij hebben uiteraard niet alle antwoorden en zelfs de Autoriteit Persoonsgegevens is op sommige punten niet duidelijk. Zie dit artikel dus als een richtlijn, we pretenderen niet dat we de wijsheid in pacht hebben en aanvaarden dan ook geen aansprakelijkheid voor bovenstaande informatie.
Wat doet BG accountants?
Wij hebben uiteraard onze eigen organisatie ook goed onder de loep genomen in het kader van de AVG. Gelukkig waren we in veel gevallen al aardig AVG-proof. Zo ontmoedigen we het versturen van gegevens via e-mail en raden we aan om zo veel mogelijk via ons eigen, beveiligde portaal te communiceren en bestanden te delen. We hebben onze klanten verwerkersovereenkomsten gestuurd en een Functionaris voor de Persoonsgegevens aangesteld. Onze website is AVG-proof en onze medewerkers moeten regelmatig hun wachtwoorden aanpassen. Zij zijn zich bewust van het feit dat ze met privacygevoelige informatie werken en maken per keer een risico-inschatting voordat ze gegevens versturen of verwerken.