Een vrouw met krullen en een bril is in gesprek met een man - wat te doen bij dataverlies in de uitzendbranche

4 vragen over dataverlies in de uitzendbranche

Dataverlies, bijvoorbeeld door diefstal, komt regel­matig voor bij bedrijven. Harald Spijkerman legt uit welke gevolgen dat kan hebben voor ondernemers in de uitzend­branche.

Ondernemen 11 nov 2021 6 minuten
Diefstal van persoonsgegevens is zeer winstgevend voor criminelen. Gestolen gegevens worden bijvoorbeeld gebruikt voor chantage, iden­ti­teits­fraude, of om de personen van wie de gegevens zijn gelekt, te bestelen. Dat heeft niet alleen grote gevolgen voor hen, maar ook voor u als ondernemer in de uit­zendbranche. Harald Spijkerman, Specialist Zakelijke Schade­verzekeringen bij Centraal Beheer met de uitzend­branche als speciaal aandachts­gebied, geeft uitleg bij 4 belangrijke vragen.
Harald Spijkerman

4 vragen over dataverlies

 

Bijna elk bedrijf verwerkt persoonsgegevens. Denk aan het opslaan van klant- en leveranciersgegevens in een CRM-systeem. Of aan een portal waarin de gegevens van uitzendkrachten zijn verzameld. Of het contactformulier op uw bedrijfs­website waar mensen een vraag kunnen stellen. In dat opzicht is een uitzend­organisatie dus niet bijzonder. Maar in de uitzendbranche worden regelmatig veel meer persoonsgegevens verwerkt dan bij een gemiddeld bedrijf. En veel van die gegevens zijn zeer privacygevoelig. Denk maar aan BSN-nummers. Of kopieën van identiteitsbewijzen zoals rijbewijzen en paspoorten. En registraties van voer­tuigen aan de hand van kentekens. Er gelden strenge regels voor het verwerken van persoonsgegevens. Die zijn onder andere vastgelegd in de Algemene veror­dening gegevensbescherming (AVG).  

Voor een uitzendorganisatie kunnen de gevolgen van een datalek groot zijn. Uitzendbureaus verwerken meer persoonsgegevens dan de meeste bedrijven. Die zijn bovendien gevoeliger dan gemiddeld. Bij een datalek is een uitzend­bureau dus extra kwetsbaar. Daarom is aandacht voor digitale veiligheid van groot belang voor uitzendondernemers. 

De AVG stelt regels voor het verzamelen en bewaren van persoons­gegevens. De belangrijkste is dat u niet zomaar alles mag vastleggen. Als een uitzendkracht ziek wordt, is de oorzaak van de ziekte privé. Die mag dus nooit in een dossier terecht­komen. Toch gaat dat vaak fout, zonder dat er opzet in het spel is. Bij­voor­beeld als de inlener telefonisch doorgeeft dat de uitzendkracht ver­moeid­heids­klachten heeft omdat er thuis financiële problemen zijn. Een notitie is dan snel gemaakt. Als die informatie in handen valt van criminelen bestaat de kans dat privé-informatie op straat komt te liggen. Met een mogelijke schadeclaim van de uitzendkracht bij de uitzendorganisatie tot gevolg. 

In de AVG staan 6 grondslagen voor het verwerken van deze gegevens:

  1. U heeft toestemming van de persoon om wie het gaat.
  2. De gegevens zijn nodig om een overeenkomst uit te voeren.
  3. De wet verplicht u de gegevens te verwerken.
  4. De gegevens zijn noodzakelijk om belangen te beschermen.
  5. De gegevens zijn noodzakelijk voor een taak van algemeen belang of openbaar gezag.
  6. U heeft de gegevens nodig om uw gerechtvaardigde belang te behartigen.

Stel dat criminelen uw netwerk of systemen hacken en persoonsgegevens stelen. Mogelijk ontvangt u dan een e-mail die bewijst dat ze toegang tot gevoelige informatie hebben. En dat ze die gegevens niet openbaar zullen maken als u losgeld betaalt. Ze beloven de gestolen gegevens bij betaling te vernietigen. Een moeilijke beslissing, want u krijgt heeft eigenlijk geen enkele garantie.

Los van cybercriminaliteit kan het ook voorkomen dat een medewerker zelf een datalek veroorzaakt. Bijvoorbeeld door een e-mailbijlage met persoonsgegevens naar de verkeerde ontvanger te sturen. 

Wat de oorzaak ook is, de gevolgen kunnen enorm zijn en het kost vaak veel tijd en geld om een incident op te lossen. Dat gaat verder dan het technische aspect: u zult misschien ook tijd moeten besteden aan het herstellen van relaties en de reputatie van uw bedrijf onder uitzendkrachten en inleners. 

Gelukkig zijn er verschillende maatregelen die u kunt treffen in het kader van uw cyber­veiligheid. Denk aan het laten uitvoeren van een Cyber Assessment, of het afsluiten van een Cyberverzekering voor bedrijven

Let op: u bent verplicht om een datalek te melden bij de Autoriteit Persoons­gegevens. U kunt een boete krijgen als u de privacywetgeving overtreedt. Die kan oplopen tot een maximumbedrag van 20 miljoen euro of 4% van de jaar­omzet van uw bedrijf wereldwijd.


Om te beginnen: zorg voor voldoende maatregelen om de cyberveiligheid van uw bedrijf te waarborgen. Daarover vertel ik meer in het artikel over de cyberveiligheid van uw uitzendorganisatie. Daarnaast is het belangrijk dat u de regels van de AVG volgt. 3 tips:

  • Bewaar uitsluitend wat u mag bewaren en niet meer dan u nodig heeft voor de bedrijfsvoering van uw uitzendorganisatie. Voor alle gegevens die u bewaart moet een wettelijke grondslag zijn (zie vraag 2 van dit artikel).
  • Bewaar persoonsgegevens niet langer dan strikt noodzakelijk. Wat u niet meer heeft kan ook niet gestolen worden. In de Algemene verordening gegevensbescherming (AVG) staan geen concrete bewaartermijnen. Het uitgangspunt is dat u persoonsgegevens niet langer bewaart dan noodzakelijk.
    Een voorbeeld: de Belastingdienst bepaalt dat u de basisgegevens altijd 7 jaar moet bewaren. Het gaat dan om uw debiteuren- en crediteuren, de in- en verkoopadministratie en het grootboek. 
    Kijk dus altijd kritisch naar wat u bewaart. Als u gegevens of bepaalde onderdelen daarvan niet meer nodig kunt u ze beter verwijderen.
  • Zorg voor strikte naleving van wie welke gegevens mag inzien. Dat geldt intern voor uw eigen medewerkers, maar ook voor als u met andere partijen of organisaties samenwerkt. Werkt u samen met externe partijen? Zorg dan voor een verwerkersovereenkomst. Die bepaalt onder welke voorwaarden die partijen over gegevens mogen beschikken.

 

Met onze gratis Cyber Quickscan brengt u gemakkelijk mogelijke kwetsbaarheden van uw website in kaart. U ontvangt een handig rapport met eventuele aandachtspunten en een overzicht van de controles die zijn uitgevoerd. Zo kunt u direct aan de slag met de cyberveiligheid van uw bedrijf.