Persoonsgegevens niet veilig in de cloud

Zakelijke dienstverleners en andere bedrijven moeten verwerkte persoonsgegevens goed beveiligen tegen misbruik. Dat kan behoorlijk lastig zijn als je in de cloud werkt. Waar moet je sinds kort extra op letten?

Een groot deel van de bedrijven voldoet niet aan de regels voor de bescherming van persoonsgegevens, zo blijkt uit een recent onderzoek van PwC.

Voor wie wil weten hoe een accountantskantoor of bedrijf moet omgaan met persoonsgegevens, vormen de privacyverklaringen van nba.nl en accountant.nl een goed oriëntatiepunt. De NBA belooft gegevens alleen te gebruiken voor de afgesproken doelen en zal die gegevens niet met anderen delen en zorgvuldig beveiligen. Net als bij veel kantoren en bedrijven vraagt de NBA gegevens om diensten te kunnen verlenen. De beroepsorganisatie slaat de gegevens, e-mails of andere berichten niet langer op dan de wet toestaat.

De abonnees van de nieuwsbrieven staan uiteraard ook in een bestand. Onder aan iedere nieuwsbrief staat een link, waarmee de ontvanger zich, zoals het hoort, in één klik kan afmelden als abonnee. NBA-leden kunnen zich ook afmelden via hun ledenprofiel op MijnNBA.nl. De NBA en accountant.nl geven verder aan hoe de gegevens worden beveiligd en welke gegevens u ongemerkt prijsgeeft als u de websites bezoekt.
Overigens heeft u volgens de wet het recht om uw gegevens in te zien, te corrigeren en te verwijderen.

Cookies

Vrijwel alle websites hebben op de openingspagina een cookieverklaring, een soms hinderlijke balk die vraagt of u een cookie wilt.
Cookies zijn kleine tekstbestandjes die tijdens het bezoek aan een website worden opgeslagen op de computer, tablet of mobiele telefoon. Dankzij deze bestandjes kan de website de bezoeker herkennen en bijhouden waar zijn belangstelling naar uitgaat.

Meestal worden ze gebruikt om de website ‘te analyseren en te verbeteren’ en om advertenties te laten zien. Adverteerders plaatsen nu eenmaal graag cookies om een gerichter aanbod te kunnen doen. Als uw kantoor of klant zich presenteert of verslag doet van een gebeurtenis met een video worden ook vaak cookies geplaatst.

Soms mogen cookies zonder toestemming worden geplaatst. Dat mag bijvoorbeeld als de cookie noodzakelijk is om de website te laten werken of de gevraagde dienst uit te voeren. Denk aan een inlog-cookie voor internetbankieren. Het mag ook om de kwaliteit of effectiviteit van de website te verbeteren, mits de gegevens niet worden gebruikt om bijvoorbeeld een profiel van uw internetgebruik op te stellen. Bovendien mogen de vergaarde gegevens niet worden doorgegeven aan andere bedrijven.

Privacy-adviseur Herman Braam van Privyon, die de NBA adviseerde: “Door het technische karakter heeft de eigenaar van de website vaak niet door welke cookies nu precies worden gebruikt. Maar dat ontslaat je niet van je verantwoordelijkheid. De verantwoordelijke moet hierover goede afspraken maken en een en ander laten toetsen.”

‘Wie een ‘smoelenboek’ op de kantoorsite wil zetten, moet toestemming vragen aan de medewerkers.’

Smoelenboek

Accountantskantoren en bedrijven hebben allemaal een klanten- en personeelsbestand. Klanten en werknemers geven meestal in kleine lettertjes toestemming om hun gegevens te verwerken als zij een dienst afnemen of in dienst gaan. Wie een ‘smoelenboek’ van het team op de kantoorsite wil zetten, moet daarvoor met zo veel woorden toestemming vragen aan de partners en medewerkers.
Normaalgesproken moet degene die verantwoordelijk is voor de verwerking van de gegevens de verwerking aanmelden bij de Autoriteit Persoonsgegevens. In die aanmelding staat in grote lijnen hetzelfde als in de privacyverklaring op deze site. Maar bij de meest gebruikelijke verwerkingen is aanmelden niet nodig.
Accountants, andere financiële dienstverleners en juridische dienstverleners hebben eenvrijstelling van de aanmeldplicht. Maar sommige klanten moeten dus melden.

Privémails lezen

De vraag of je als werkgever de e-mails van werknemers mag lezen, werd onlangs weer eens beantwoord door het Europese Hof voor de Rechten van de Mens. Het principe is duidelijk: in beginsel mag je de mails niet lezen. Maar dit elektronisch briefgeheim is niet absoluut. Onder bepaalde omstandigheden is meelezen dus toegestaan.

‘In beginsel mag je mails van werknemers niet lezen. Maar dit is niet absoluut.’

Het Europese Hof vond het onlangs geen ongeoorloofde inbreuk op de privacy, omdat de werknemer het duidelijke verbod had overtreden om de spullen van de zaak te gebruiken voor privédoeleinden. De werkgever keek een week lang mee in het Yahoo Messenger-account van de werknemer. De werknemer had gezegd dat hij dit account gebruikte om vragen van klanten te beantwoorden en de werkgever mocht er dus van uitgaan dat het een zakelijk account was. In de ontslagprocedure gebruikte hij een transcript van alle berichten. Omdat de de inhoud van de privéberichten aan broer en verloofde geen rol speelde, kan het meelezen in dit geval door de beugel.

Het lezen van e-mailberichten kan (volgens de kantonrechter) ook geoorloofd zijn als:

@ er verdenkingen bestaan dat meerdere werknemers betrokken zijn bij malversaties;

@ het controleren van de e-mailberichten noodzakelijk en proportioneel is;

@ er geen minder belastend controlemiddel voorhanden is.

Onveilige cloud

Werken in de cloud, zoals online boekhouden of het exploiteren van een website, houdt in dat er (ook) persoonsgegevens worden verstuurd. Daarbij moet je ervoor zorgen dat die persoonsgegevens voldoende worden beschermd en dat is sinds kort een stuk onoverzichtelijker.

Herman Braam: “In de cloud worden veel gegevens verwerkt op of via buitenlandse servers. Maar persoonsgegevens die de Europese Unie verlaten mogen alleen naar landen die een passend beschermingsniveau bieden. Als dat niet het geval is kunnen die gegevens alleen onder bepaalde voorwaarden worden doorgegeven.”

Tot oktober 2015 konden bedrijven zich bijvoorbeeld aansluiten bij het Safe Harbor agreement om te zorgen dat de verwerking in de Verenigde Staten voldoet aan de eisen van een passend beschermingsniveau. Het Europese Hof van Justitie heeft dit verdrag met de Verenigde Staten ongeldig verklaard. Onder meer omdat de Amerikaanse overheid op grote schaal persoonsgegevens verwerkt van Europeanen.

‘Je moet met je IT-leverancier regelen dat de gegevens alleen worden verwerkt in een land en door een partij die voldoende bescherming biedt.’

Eind januari bereikten de Europese Commissie en de Verenigde Staten een principeakkoord over een nieuw verdrag: EU-US Privacy Shield. De tekst van dit verdrag is nog niet bekend, maar volgens de Europese Commissie heeft minister van Buitenlandse Zaken zwart op wit beloofd dat de Amerikaanse autoriteiten niet meer massaal gegevens van Europeanen zullen verwerken. De Europese persoonsgegevensbeschermingsautoriteiten beoordelen momenteel of die belofte stand houdt onder een nieuwe Amerikaanse regering. Het nieuwe verdrag staat dus nog niet vast. Volgens critici stellen de waarborgen – voor zo ver bekend – niet veel voor en is “de keizer zijn kleren aan het passen”.

Voorlopig moeten bedrijven zich nog even behelpen met alternatieven, zoals modelcontracten en binding corporate rules. Herman Braam: “Je moet met je IT-leverancier regelen dat de gegevens alleen worden verwerkt in een land en door een partij die voldoende bescherming biedt. Als organisatie blijf je namelijk zelf verantwoordelijk voor de bescherming van de persoonsgegevens die je verwerkt of laat verwerken.”

Dit artikel is eerder verschenen op accountant.nl, net als  deel 1 van dit privacy-tweeluik