Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG, ook bekend onder de Engelse afkorting GDPR) in werking getreden. Het is als ondernemer zaak om jezelf en je medewerkers duidelijk te maken hoe je hier het beste mee omgaat. Daarom geven wij enkele tips voor het veilig omgaan met persoonlijke data.
Als boekhouder, accountant of ondernemer heb je veel persoonlijke gegevens van klanten en werknemers. Daar moet je zorgvuldig mee omgaan. Toch zit een ongeluk in een klein hoekje en kan deze data ‘gelekt’ worden, bewust of onbewust. Als dit binnen jouw bedrijf gebeurt, heb je de plicht dit te melden bij de Autoriteit Persoonsgegevens (AP).
Datalekken zijn kunnen erg gevaarlijk zijn. Wanneer persoonsgegevens in de verkeerde handen vallen, kunnen ze worden gebruikt voor bijvoorbeeld allerlei soorten van fraude en oplichting. Zelfs met gegevens als namen, adressen en telefoonnummers kan kwaad worden aangericht, dus kijk daar altijd mee uit.
Wat doet de AVG?
De AVG zorgt ervoor dat mensen meer rechten kunnen uitoefenen om hun persoonsgegevens te beschermen. Als een klant dat wil, moet je hem precies kunnen vertellen wat voor persoonsgegevens je van hem opslaat en hoe lang je deze bewaart. In bepaalde gevallen kan hij of zij je ook verzoeken alles te verwijderen.
Als er klanten zijn die vinden dat je niet zorgvuldig met hun persoonsgegevens omgaat, kunnen zij een klacht indienen bij de AP. Er zijn sinds de AVG werd ingevoerd, al duizenden klachten ingediend en vele boetes uitgedeeld. Medewerkers hebben tevens ook recht op bescherming van hun persoonsgegevens.
Veilig omgaan met data: 6 tips
1. Check je e-mails.
Verreweg de meeste datalekken gebeuren door foutjes met e-mailen: een bestand wordt bijvoorbeeld gestuurd naar een verkeerde ontvanger met dezelfde achternaam, of er wordt een tikfout gemaakt in het e-mailadres. Wanneer je privacygevoelige data verzendt, is even dubbel checken zeker niet overbodig. Kijk kritisch naar de inhoud van je e-mails, vooral als je berichten doorstuurt. Welke gegevens staan daar in, en zijn die relevant voor de volgende ontvanger?
2. Wees voorzichtig met e-mailbijlagen.
Een document vol persoonsgegevens als bijlage naar iemand anders e-mailen is niet volledig veilig. Daarom kun je bijlagen met grote hoeveelheden persoonlijke informatie het beste vergrendelen met een wachtwoord. Houd daarbij in je achterhoofd dat de AVG altijd uitgaat van een ‘risicogebaseerde aanpak’: hoe groter de privacyrisico’s, hoe meer veiligheidsmaatregelen de AVG van jou verwacht en omgekeerd.
3. Gebruik software om wachtwoorden op te slaan.
Veel verschillende wachtwoorden onthouden is lastig. Veel mensen, waarschijnlijk ook sommige van jouw medewerkers, gebruiken daarom steeds dezelfde wachtwoorden, laten de laptop of smartphone wachtwoorden onthouden of ze slaan ze op in een mail of document. Dat is niet veilig. In ons blog over handige online tools gaven we het voorbeeld van 1Password. Dat is software die helpt bij het onthouden van moeilijke maar veilige wachtwoorden. Probeer dit te integreren in je bedrijfsvoering
4. Maak duidelijke afspraken over welke software je als kantoor gebruikt.
In je dagelijks werk gebruik je diverse soorten software. Denk aan software om bestanden te delen, zoals WeTransfer en Dropbox. Goed om te weten: de betaalde versie van Dropbox biedt betere bescherming dan de gratis versie. Betaalde software, zoals Microsoft Office 365, is in veel gevallen veiliger dan gratis software (waarbij je vaak betaalt met je data).
Let op, dit betekent niet dat software waarvoor je betaalt automatisch veiliger is dan gratis software. Hier moet je per programma naar kijken.
5. Werk buiten de deur via een veilige verbinding.
Als je je computer aan een openbaar wifinetwerk verbindt zonder een VPN-verbinding te gebruiken kunnen anderen heel gemakkelijk toegang krijgen tot je laptop en alle bestanden. Verbied het je medewerkers dus om, als zij met de bedrijfslaptop elders werken of in de trein zitten, openbare wifi-netwerken te gebruiken zonder VPN. Het is vaak mogelijk bedrijfssoftware zo in te stellen dat het alleen werkt als er een VPN-verbinding is.
6. Wees alert op phishing e-mails.
Train je in het herkennen van phishing e-mails: dat zijn allang geen knullige teksten meer vol taalfouten, maar vaak heel professioneel uitziende e-mails van bedrijven als Apple of ING. Als je de afzender van een mail niet kent of de mail ziet er verdacht uit: klik dan nooit op de links. Wees ook alert als men in een mail om geld of gegevens vraagt of als het verzoek spoed heeft. Open in geen geval bijlagen en voer nooit inloggegevens in via een link uit de e-mail.
Wat doe je als ondernemer?
Loop dit jaar je privacyprocessen na en breng waar nodig zaken op orde. Laat privacywerkzaamheden waar je al eerder aan begonnen bent niet liggen. Zie de AVG daarbij als een kans om je bestaande processen te heroverwegen en te vernieuwen. En bedenk dat klanten eerder kiezen voor bedrijven die privacy en databescherming hoog op de agenda hebben staan.