Een goede relatie van mij belde. Hij kreeg in het kader van de AVG van zijn brancheorganisatie een standaardomschrijving voor in zijn model arbeidsovereenkomsten toegestuurd.
Zijn vraag aan mij was of hij nu echt die hele lange bepaling op moest nemen waarin stond wat zijn werknemers moeten doen als zij een USB-stick verliezen. Of als zij een virus, trojan of andere malware aantreffen op hun laptops, computer, tablet, telefoon of ander apparaat?
Kortom, moet je zo’n bepaling opnemen om datalekken te voorkomen?
Wat is een datalek?
De Autoriteit Persoonsgegevens geeft de volgende voorbeelden:
– Het verlies van een USB-stick met niet-versleutelde gegevens.
– Een cyberaanval waarbij persoonsgegevens zijn verkregen.
Wie veroorzaakt een datalek?
Wat blijkt: werknemers zijn de grootste veroorzakers van datalekken.
Wat moet je doen als je een datalek hebt?
Dat legt Charlotteslaw veel beter uit dan ik in dit blog.
Heel belangrijk is dat je er snel van op de hoogte bent, zodat je tijdig kunt handelen.
Wat mag je van je werknemer verwachten?
Dus als je werknemer een datalek veroorzaakt, is het allerbelangrijkste dat hij dit snel meldt aan jou als leidinggevende of een andere persoon binnen de organisatie die weet hoe hiermee om te gaan.
Het moet dus duidelijk zijn voor je werknemer dat hij verplicht is om het te melden bij de juiste persoon. Zorg daarom dat het voldoende helder is wie die persoon is.
Is je werknemer aansprakelijk voor een datalek?
Nee, tenzij je kunt aantonen dat je werknemer opzettelijk of bewust roekeloos heeft gehandeld. Kun je bewijzen dat je werknemer expres die USB-stick verloor of dat hij iets dacht in de trant van ach, kan mij het schelen, als ik deze film illegaal downloadt en misschien ook een virus binnenhaal?
Ik denk dat je er een lastige dobber aan zult hebben. Maar ik brainstorm hier graag over. Dus kom maar op met die lastige zaken.
Wat doe je ter voorkoming van een datalek door je werknemer?
In mijn blog over bring your own device gaf ik al een aardige opsomming over hoe je misbruik in de hand houdt.
In mijn blog over het opnemen van het privacybeleid in je gedragscode gaf ik aan hoe je aan de slag gaat.
Mijn tips:
- Zorg ervoor dat je werknemer niet zijn zakelijke e-mail uitleest via een openbaar WIFI-netwerk.
- Regel je beveiliging goed.
- Zorg voor een gedragscode.
- Maak je werknemers bewust van de inhoud.
- Attendeer ze regelmatig op het bestaan van je privacybeleid.
- Geef je werknemer eerst een waarschuwing bij een misstap.
- Overleg met een specialist wanneer je denkt klaar te zijn voor een ontslag.
- Als je een dergelijk reglement invoert en je hebt een ondernemingsraad dan zal je die altijd vooraf moeten vragen om instemming.
Dus hoe ga je aan de slag zonder dikke boekwerken en aanpassing van alle contracten?
Neem in je gedragscode, personeelshandboek of arbeidsvoorwaardenreglement een korte tekst op hoe om te gaan met datalekken.
