Baas mag privécommunicatie medewerkers alleen na melding inzien

Werkgevers mogen de privécommunicatie van hun medewerkers alleen in de gaten houden, als zij hier van tevoren een melding over krijgen.

Dat heeft de Grote Kamer van het Europees Hof voor de Rechten van de Mens (EHRM) recent bepaald. Het Hof doet zijn uitspraak in een langlopende zaak die werd aangespannen door de Roemeen Bogdan Mihai Bărbulescu. Hij werd in 2007 ontslagen, nadat zijn werkgever had opgemerkt dat hij privégesprekken had gevoerd via Yahoo Messenger.

De Roemeen vond dat zijn privacy werd geschonden door de werkgever. Bij nationale rechtbanken kreeg hij echter ongelijk, waarna hij in 2008 naar het EHRM stapte.

Daar ving Bărbulescu in eerste instantie ook bot. Artikel 8 van het Europees Verdrag voor de Rechten van de Mens, dat een recht op respect voor privé- en familieleven garandeert, werd niet geschonden, zo oordeelde het Hof vorig jaar. Het was redelijk dat de werkgever van Bărbulescu privécommunicatie bekeek in de context van een onderzoek naar tijdverspilling op zijn werk, stelden de rechters toen.

Notificatieplicht

In beroep besloot de Grote Kamer van het Hof echter dat de privacy van Bărbulescu wel degelijk is geschonden, omdat hij geen bericht kreeg over het monitoren van zijn privécorrespondentie. Zo’n notificatie is wel verplicht om de privacyschending te rechtvaardigen, stelt het Hof dinsdag. In de Grote Kamer vonden elf rechters dat er sprake was van een ongeoorloofde privacyschending, terwijl zes rechters het daar niet mee eens waren.

In zijn uitspraak bepaalt het Hof verder dat rechtbanken die toetsen of een privacyschending door een werkgever gerechtvaardigd is, moeten onderzoeken of er goede redenen voor de schending waren. Ook moet het duidelijk zijn dat er geen minder indringende maatregelen beschikbaar waren.

Tegen de uitspraak van de Grote Kamer is geen beroep meer mogelijk. Daardoor zullen alle lidstaten van de Raad van Europa, waaronder alle EU-landen, voortaan een notificatieplicht voor het doorzoeken van privécommunicatie door werkgevers moeten handhaven.

Bron: Nu.nl

meldplicht datalekke: wat betekent dit voor u?

Per 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra zij een ernstige datalek hebben.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Treedt er bij uw organisatie een ernstig datalek op, dan bent u verplicht om een melding te doen bij het CBP. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Wanneer u ten ontrechte een datalek niet meldt bij het CBP, dan kan het CBP u een boete geven. De maximale boete is € 810.000,-.

U kunt nu al preventieve maatregelen treffen. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Daarnaast kunt u bijvoorbeeld:

  • een goed incidentenbeheer inrichten;
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij  het CBP;
  • nadenken over hoe u de betrokkenen gaat informeren bij een datalek;
  • nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met uw bewerkers controleren.

Elke ondernemer krijgt met deze wet te maken, omdat in elke onderneming of bedrijf data zijn opgeslagen die privacy gevoelig zijn. Denk maar aan personeelsadministratie en ziekteverzuimregistratie. Daarnaast zullen accountants, notarissen, advocaten maar ook medici de komende periode nog kritischer moeten kijken naar de beveiliging van hun netwerk. De gegevens van hun cliënten zijn per definitie privacygevoelig en vallen ook onder het beroepsgeheim. Het hebben van een extern ICT bedrijf dat service en onderhoud verricht, ontslaat de ondernemer niet van zijn verantwoordelijkheid. Het is dus zaak om de overeenkomst met de ICT, inclusief eventueel de algemene voorwaarden, na te kijken op het aspect beveiliging en zo nodig een aanvullende overeenkomst op te stellen, waarin duidelijk staat dat het ICT instaat voor de goede beveiliging van het bedrijfsnetwerk. Daarbij is het gebruik van virusscanner, firewall en regelmatige update van beveiligingssoftware vereist. Een Window XP besturingssysteem is dan ook definitief exit.

Dan zijn we er nog niet. Ook het eigen personeel moet duidelijk worden gemaakt dat recreatief surfen onder werktijd en het klakkeloos gebruik van USB sticks van onbekende herkomst fatale gevolgen kan hebben. En dan gaan we er maar vanuit dat het wachtwoord bij het inloggen ‘sterk’ is en regelmatig wijzigt. Er is nog veel te doen, want er blijken nog genoeg wachtwoorden met Admin, welkom01 of de naam van een huisdier te worden gebruikt.

Bron: Actuele artikelen

oplossing voor cookies die gegevens verzamelen

cookies die gegevens verzamelen

Websites hoeven bezoekers binnenkort geen toestemming meer te vragen voor ‘first party analytische cookies’. Het gaat dan om cookies waarmee uitsluitend anoniem gemaakte gegevens worden verzameld over bezoekers van de eigen website. Minister Kamp van Economische Zaken schrijft in een brief aan de Tweede Kamer dat daarvoor ruimte is binnen de cookiewet. Voorwaarde is wel dat de privacy van bezoekers van websites niet in het geding mag zijn. De via de first party analytische cookies verzamelde gegevens mogen ook niet worden gedeeld met derden.

. . . lees verder op Internet

instemmingsrecht OR wordt vaak omzeild

ondernemingsraad vaak buitenspel

Volgens de Wet op de ondernemingsraden mag een directeur geen personeelsregeling instellen of wijzigen zonder uitdrukkelijke instemming van de ondernemingsraad. Het gaat dan bijvoorbeeld om regelingen op het gebied van vakantie, werktijden, arbeidsomstandigheden, beoordeling, opleidingen en privacy. Uit onderzoek blijkt echter dat bijna 40% van de ondernemingsraden niet alle instemmingsverzoeken krijgt die de raad wel zou moeten krijgen.

Van de gemiddeld zes keer per jaar dat een ondernemingsraad haar instemming zou moeten geven met een wijziging in de personeelsregeling, gebeurt dit slechts vijf keer. Een op de zes keer wordt de OR dus omzeild.

In 2011 heeft 92% van de ondernemingsraden een of meer instemmingsverzoeken gekregen van de bestuurder, 8% van de ondernemingsraden heeft dus geen enkel instemmingsverzoek ontvangen. In kleinere organisaties, tot 100 werknemers, heeft zelfs 17% geen instemmingsverzoek gehad.         

. . . lees verder op Internet

Beelden bewakingscamera’s sneller openbaar

Na aangifte kunnen beelden van bewakingscamera’s straks sneller worden gebruikt voor opsporing. Dit staat in een wetsvoorstel van staatssecretaris Teeven (VenJ) waarmee de ministerraad heeft ingestemd. Nu is voor het openbaar maken van deze beelden nog een langdurige en omslachtige procedure nodig.

Burgers en bedrijven mogen straks, nadat ze aangifte hebben gedaan en na toestemming van justitie, zelf beelden van bewakingscamera’s verspreiden. Openbaarvervoerbedrijven, decentrale overheden en voor het publiek toegankelijke instellingen kunnen de beelden behalve op internet ook op bijvoorbeeld billboards plaatsen.

. . . lees verder op Internet