Nederland blijft stug doorwerken. De coronacrisis betekent wel dat veel thuis wordt gewerkt. Hoe doe je dat veilig zonder het risico te lopen de AVG te overtreden?
Volgens de Autoriteit Persoonsgegevens (AP) is een foutje snel gemaakt. Gevoelige data kunnen daardoor op straat komen te liggen: een horrorscenario. De AP geeft daarom advies om waar mogelijk thuis in een beveiligde omgeving te werken. Je bent het meest safe als je thuis inlogt op de server van je organisatie. En doe dat bij voorkeur met apparatuur die je werkgever heeft verschaft. Bewaar gevoelige documenten op de bedrijfsserver en niet op een usb-stick. Let op phishing mails. Cybercriminelen zijn momenteel extra actief.
De AP maant ook tot voorzichtigheid met (video)chatdiensten. Bespreek gevoelige gegevens door een veilig communicatie. Dat is de telefoon. Mocht u toch liever beeldbellen of chatten gebruik dan beveiligde systemen zoals in de zorg. Deze beveiligde opties hebben de voorkeur boven WhatsApp, Skype, Messenger en andere communicatiekanalen.
Zorg dat u zo min mogelijk gevoelige gegevens bespreekt. De AP stelt voor om bijvoorbeeld g een namen te noemen maar in plaats daarvan zaken als agendanummering of patiëntennummers.
European Data Protection Board
Hier en daar klinkt echter ook de roep om de privacyregels minder streng toe te passen. Dit geldt met name voor de verwerking van persoonsgegevens in verband met het coronavirus. Probleem is dat hier binnen de EU verschillend over wordt gedacht. De European Data Protection Board (EDPB) vindt dat dit kan als de omstandigheden daartoe dwingen. Maar dan moet wel toestemming worden gegeven of er moet sprake zijn van noodzaak voor het algemeen belang of de vitale belangen van een individu.
De AP onthoudt zich echter van een advies op dit punt. België bijvoorbeeld legt de grondslag ‘vitale belangen’ restrictief uit. Lastig wordt het als een werkgever gezondheidsgegevens van werknemers wil verwerken. In Nederland is dit in principe niet toegestaan. Een uitzondering wordt gemaakt voor de arbodienst of bedrijfsarts. België staat dit juist weer toe vanuit het algemeen belang of arbeidsrechtelijke verplichtingen. Ook Duitsland en Ierland zitten op die lijn.
Verwarring is er ook over de vraag of aan de staf mag worden doorgegeven dat op een bepaalde afdeling het coronavirus is opgedoken. Ook ontbreekt unanimiteit als het gaat om de vraag of mag worden vastgelegd of iemand risicogebieden heeft bezocht. Het AP geeft op beide laatste punten geen helderheid.
Kortom, rond privacy en gegevensbescherming bestaan momenteel nogal wat onzekerheden.
Worstelt uw organisatie met AVG-problemen als gevolg van de coronacrisis? En hoe wordt daarmee omgegaan?
