Op het moment van schrijven, zit ik thuis aan mijn keukentafel. Al een kleine drie maanden werk ik vaak thuis, daarmee zoveel mogelijk de RIVM-richtlijnen volgend. Nog nooit was videobellen in het zakelijk verkeer zo ‘gewoon’ als nu. Maar hoe zit dat nu eigenlijk met veilig thuiswerken en privacy? Waar moet je zoal op letten? Welke privacyregels moet je in ieder geval in acht nemen? Hier volgen een aantal praktische tips.

1.Werk in een beveiligde thuis(net)werkomgeving
Log thuis in op de netwerkomgeving van jouw organisatie en doe dit het liefst met een device (laptop, computer of tablet) van de zaak. Zo maak je de kans om gehackt te worden aanzienlijk kleiner. Maak in het zakelijk verkeer liever geen gebruik van gratis opslag-, cloud- en/of e-maildiensten. Vaak gebruiken de aanbieders van deze diensten jouw gegevens ook voor andere doeleinden, zoals bijvoorbeeld marketing of verkoop van gegevens aan derden. Daarnaast laat de beveiliging van gratis diensten vaak te wensen over.

2. Zorg dat je jouw (zakelijke) documenten goed beschermt
Wees voorzichtig met (gratis) diensten die opslagruimte aanbieden. Sla in principe documenten alleen op binnen de netwerkomgeving van jouw organisatie en niet op de laptop, computer of tablet. Dit geldt al helemaal voor bedrijfsgevoelige informatie. Wees extra alert bij (bijzondere) persoonsgegevens, waaronder de persoonsgegevens van je klanten en medische gegevens gebruik bij voorkeur geen USB-sticks. Je raakt ze makkelijk kwijt en dat kan leiden tot een datalek die je moet melden bij de Autoriteit Persoonsgegevens (AP). Als je al een USB-stick gebruikt, versleutel deze dan.

3. Gebruik veilige (video)communicatiemiddelen
We zijn de laatste maanden massaal gaan videobellen. De meeste videobel-apps zijn echter niet veilig genoeg en voldoen vaak ook niet aan de privacywetgeving. Gebruik in principe alleen de beveiligde opties voor beeldbellen die jouw organisatie beschikbaar stelt. Gratis alternatieven voor beeldbellen zijn meestal niet goed beveiligd. Wees dus voorzichtig met het gebruik van zulke alternatieven.

Bij videobellen voor het werk geldt dat de werkgever verantwoordelijk is voor het beschikbaar stellen van de juiste app aan de werknemer beschikbaar. Eentje die de privacy van de werknemer én van de klanten beschermt. De AP heeft bij dertien vaak gebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten en een te downloaden keuzehulp privacy videobellen (versie 2 juni 2020) op haar website gepubliceerd (zie www.autoriteitpersoonsgegevens.nl). Bij die privacyaspecten kun je denken aan de gegevens die de app verzamelt, wat de app daarmee vervolgens doet en of de communicatie beveiligd is. Belangrijk is dat de app zogenoemde end-to-end versleuteling ondersteunt. End-to-end versleuteling is kort gezegd een techniek die ervoor zorgt dat alleen de verzender en de ontvanger de inhoud van het gesprek kunnen zien en lezen. Let op: bij groepsgesprekken wordt end-to-end versleuteling niet zonder meer ondersteund.

Ook is belangrijk dat de app geen gegevens verwerkt over het gevoerde gesprek, zoals wie met wie belt en op welk tijdstip en vanaf welke locatie. Dat zijn de zogeheten metadata. Als je niet wilt dat de gegevens buiten de Europese Unie worden verwerkt waar andere privacyregels gelden, kies dan voor een videobelapp waarbij je enige invloed kunt uitoefenen op de locatie van de verwerking, bijvoorbeeld door een verwerkersovereenkomst af  te sluiten met de app-dienst.

Kortom
Bij de keuze voor een videobel-app dient de organisatie dus goed naar de privacyaspecten en de (beveiligings)mogelijkheden te kijken. Ga daarbij ook na of je een verwerkersovereenkomst met de videobel-app kunt afsluiten.

In het algemeen geldt: een betaalde versie van een app biedt meer privacywaarborgen dan een gratis app. En een app met gegevensverwerking in de EU biedt doorgaans op grond van de Europese privacywetgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG), meer privacywaarborgen dan een app met gegevensverwerking buiten de EU.

Heb je vragen over het privacyrecht dan kun je mij mailen of bellen: E: privacy@danielshuisman.nl en T: 0570-61 33 27.

Paul Arentshorst
Advocaat IE-, ICT- en Privacyrecht bij
Daniels Huisman Advocaten te Deventer

- Advertentie -