Bestanden delen & mailen onder de AVG

Met de komst van de AVG is het er niet duidelijker op geworden. Wij merken dat bij veel klanten vragen leven over de naleving van de AVG. Behalve algemene vragen zoals "Heb ik een Functionaris voor de Persoonsgegevens nodig?" leven er ook veel praktische vragen. Zeker als het gaat om je website, e-mail nieuwsbrieven en het delen of mailen van bestanden.

Wat mag er nu wel en niet? Wij zetten 7 veel voorkomende vragen over de AVG op een rijtje:

• Mag ik een loonstrook of andere persoonsgegevens per e-mail versturen?

Het gaat heel makkelijk, je stuurt even het adres of telefoonnummer van een nieuwe collega per mail. Maar mag dat nog wel? De Autoriteit Persoonsgegevens zegt hierover: Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verzendt. U moet maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. Helaas wordt er niet vermeld welke maatregelen dat zijn. Wel dat het passende maatregelen moeten zijn. Denk bijvoorbeeld aan:
- het vergaand versleutelen van de e-mail en de bijlage
- het versturen van dit soort bestanden via een gesloten netwerk

Het antwoord op de vraag is dus eigenlijk: nee, dat mag niet zonder extra maatregelen.

• Is het nog veilig om bestanden te delen via Dropbox of WeTransfer?

Dat ligt er aan welke informatie de bestanden bevatten. Als het bijvoorbeeld om een patiëntendossier, een jaarrekening, een eigendomsbewijs of een salarisstrook gaat dan is dat zeker niet aan te raden. Omdat van deze partijen niet duidelijk is waar de bestanden precies staan (binnen of buiten de EU) en op welke manier de beveiliging geregeld is. Verstuur je de opmaak van een pagina uit een reisgids, dan is het weer geen probleem.
Wil je toch privacygevoelige gegevens uitwisselen? Dan is een gesloten systeem de beste optie. Denk bijvoorbeeld aan het BG portaal. Binnen zo’n besloten netwerk kan je veilig gegevens uitwisselen. Onze IT partner interparts, biedt diverse oplossingen op dit gebied.

• Als ik mijn mailverkeer laat versleutelen, kan ik dan gewoon alles mailen?

Je hoort de laatste tijd veel over het versleuteld versturen van informatie. Dit betekent dat jouw e-mail via een bepaalde code omgezet wordt (encrypted) zodat de informatie niet te begrijpen is. Dit gebeurt zonder dat je er zelf iets van merkt. Maar vaak wordt zo’n versleutelde mail als hij is aangekomen automatisch weer uitgepakt, ongeacht wáár of bij wié hij is aangekomen. In dat geval is een simpele versleuteling dus niet voldoende.
Verstuur je persoonsgegevens, dan is een vergaande versleuteling nodig. Dit soort versleuteling checkt of degene de die de mail opent ook de geadresseerde is. Je moet je dan identificeren door middel van een wachtwoord of pincode. Dat kan bijvoorbeeld met Cryptshare . Het antwoord op de vraag is dus dat het ligt aan de mate van versleuteling en hoe gevoelig de informatie is die je verstuurt.

• Mag ik de gegevens van mijn medewerkers of collega’s op een lijst zetten of moet ik daarvooraf toestemming voor vragen?

Je kent het wel, je verzamelt online de inschrijvingen voor het bedrijfstennistoernooi, zet de verjaardagen van collega’s op het intranet of je hebt een smoelenboek op je website. Mag dat nog wel?
Dat mag alleen met toestemming van de betrokkenen. Zonder die toestemming mag je geen personeelsgegevens, foto’s of contactgegevens publiceren. Zelfs niet op een intern systeem. Datzelfde geldt bijvoorbeeld voor het registeren van bezoekers van een evenement om ze achteraf een enquête te sturen. Dat mag alleen als de betrokkenen daar toestemming voor hebben gegeven. En is de enquête eenmaal verstuurd, dan moeten daarna de gegevens verwijderd worden!

• Hoe zorg ik er voor dat mijn website AVG-proof is?

Om aan de regels van de AVG te voldoen, heeft de website minimaal een SSL certificaat en een privacy verklaring nodig. Lees in dit artikel wat je zelf kan doen om je website te AVG-proof te maken.

• Mag ik mijn klanten nog steeds nieuwsbrieven sturen of moet ik opnieuw om toestemming vragen?

Je mag je ‘bestaande klanten’ (donateurs, afnemers, patiënten, etc) gewoon nieuwsbrieven blijven sturen per e-mail. Ze hoeven daarvoor niet opnieuw toestemming te geven, maar je moet wél een makkelijke, gratis afmeldmogelijkheid bieden bij elk bericht dat je verstuurt. Als je nieuwe klanten krijgt, moet je deze wél nadrukkelijk om toestemming vragen om nieuwsbrieven te mogen sturen!

• Waar kan ik terecht met mijn vragen over de AVG?

De enige instantie die antwoord kan geven op de meeste vragen is de Autoriteit Persoonsgegevens. Ga niet gokken of zelf googlen, want online is een jungle aan informatie te vinden die elkaar ook nog regelmatig tegenspreekt.

Nieuwe wet, nieuwe vragen

Dagelijks ontstaan er nog nieuwe vragen over de naleving van de AVG. Wij hebben uiteraard niet alle antwoorden en zelfs de Autoriteit Persoonsgegevens is op sommige punten niet duidelijk. Zie dit artikel dus als een richtlijn, we pretenderen niet dat we de wijsheid in pacht hebben en aanvaarden dan ook geen aansprakelijkheid voor bovenstaande informatie.

Wat doet BG accountants?

Wij hebben uiteraard onze eigen organisatie ook goed onder de loep genomen in het kader van de AVG. Gelukkig waren we in veel gevallen al aardig AVG-proof. Zo ontmoedigen we het versturen van gegevens via e-mail en raden we aan om zo veel mogelijk via ons eigen, beveiligde portaal te communiceren en bestanden te delen. We hebben onze klanten verwerkersovereenkomsten gestuurd en een Functionaris voor de Persoonsgegevens aangesteld. Onze website is AVG-proof en onze medewerkers moeten regelmatig hun wachtwoorden aanpassen. Zij zijn zich bewust van het feit dat ze met privacygevoelige informatie werken en maken per keer een risico-inschatting voordat ze gegevens versturen of verwerken.