Een lek in je digitale snelweg

Een lek in je digitale snelweg

De prachtig lange zomer is helaas achter de rug, de bladeren worden weer geel en pepernoten liggen weer in de winkels. Wij zijn uitgerust terug gekomen van vakantie  en zijn over de ‘hervattingsdrempel’ heen. Met nieuwe energie en veel enthousiasme beginnen we weer aan al het werk dat is blijven liggen of zich heeft opgestapeld tijdens onze afwezigheid. Wie kan zich nu nog herinneren hoeveel onrust het invoeren van de Algemene Verordening Gegevensbescherming (AVG) voor de zomer heeft veroorzaakt? De berichten in de media over boetes die tot 20 miljoen euro kunnen oplopen en alle zaken die de werkgever niet meer ‘mag’ ?

Sindsdien zijn  talloze artikelen, handboeken en handleidingen beschikbaar gesteld om enige structuur en duidelijkheid in de wirwar van informatie te scheppen. Ik zou ook een boek kunnen schrijven over wat mag en wat niet, of de werkgever een loonwaarde kan bepalen zonder tussenkomst van de bedrijfsarts (antwoord hierop is te vinden op onze website), wie verantwoordelijk is voor de verwerkerovereenkomst en waarom? Vandaag wil ik me echter beperken tot een onderdeel waar wij bij Vesting Casemanagement steeds vaker tegenaan lopen en ik ben overtuigd dat zelfstandige verzuimprofessionals hier ook last van hebben: het versturen van gevoelige informatie per mail. Oftewel, risico op een datalek.

Het is zeer gebruikelijk dat leidinggevenden per mail vragen stellen aan de verzuimprofessional waarbij enorme hoeveelheid aan achtergrondinformatie wordt vermeld. Op zich helemaal niets mis mee want je moet wel een goed beeld hebben van de situatie. We zien echter in de mails informatie die zeer gevoelig is en niet zomaar gedeeld kan worden. De meest gemaakte fouten zijn:

  • Benoemen van klachten
  • Benoemen van zwangerschap
  • Adviseren van een interventie met naam en toenaam
  • Opschrijven van belevingen

In onze dagelijkse praktijk zien we dat wij als professionals ook niet altijd bewust zijn dat we niet conform de wetgeving hanteren. Heb je wel eens een arbeidsdeskundig onderzoek per mail naar je opdrachtgever verstuurd? Heb je wel eens een interventie genoemd in de mail? Of heb je een leidinggevende geïnformeerd dat een bepaalde medewerkers verzuimt? Al deze informatie valt onder privacy wetgeving en vormt een potentiële risico op een datalek.

Bij Vesting Casemanagement worden we steeds vaker door organisaties gevraagd om het huidige verzuimproces inzichtelijk te maken middels onafhankelijke dossierscreening. Het doel hiervan is om op korte termijn een slag te slaan in het oplossen van langdurige dossiers en om inzicht te krijgen in de knelpunten van het verzuimproces. Om praktische handvatten voor een plan van aanpak te geven worden de terugkoppelingen op zowel individueel als overkoepelend niveau gemaakt. En nu begint het lastig te worden: hoe leveren we de terugkoppelingen aan de opdrachtgever? Wij als organisatie hebben hier een oplossing voor maar wat we in de praktijk van zelfstandige verzuimprofessionals zien, is dat dit soort documenten nog vaak per mail verstuurd worden. Dergelijke informatie is zeer gevoelig en dient met grote zorgvuldigheid behandeld te worden, zelfs als je met een personeelsnummer werkt in plaats van met de naam van de medewerker.

Ik hoor al een aantal mensen zeggen: zo erg is het niet, wie zou nou mijn mail willen hacken?Je hebt gelijk, wie zou het doen en waarom? Heb gebeurt ook niet zo vaak. Maar zo eenvoudig is het helaas niet, ruim 70% van de datalek gevallen is veroorzaakt door het versturen van de informatie naar een verkeerd e-mailadres! Wie van ons is dit niet overkomen? Met name als ons email programma zelf het e-mailadres invult op basis van de eerste paar letters. Ook in dit geval dien je binnen 72 uur een melding van een datalek bij de Autoriteit Persoonsgegevens door te voeren, zelfs als je een zelfstandig ondernemer bent. De procedure kun je zelf via de website van AP opstarten.

Ik kan me voorstellen dat je de procedure van datalek melden liever niet hebt. Het kost tijd, energie en waarschijnlijk (afhankelijk van de informatie in de mail) veel stress. De oplossing hiervoor is relatief simpel en vaak zeer betaalbaar. Om veilig en zorgeloos gevoelige informatie te delen kun je bijvoorbeeld een programma gebruiken die je mails versleuteld. Bij het versturen van een encripted (versleuteld) e-mailbericht wordt de tekst vaak weergegeven als een gecodeerde reeks onleesbare tekens of een gecodeerd bericht. Uitsluitend de persoon (geadresseerde) die over een sleutel beschikt is in staat om het bericht te decoderen en lezen. Klinkt goed, en zo doen we dat ook binnen Vesting Casemanagement.

Er zijn hier vele mogelijkheden voor beschikbaar. En gemiddeld kost deze veiligheid je een tientje per maand. Natuurlijk moet je wel even de tijd moet nemen om de beste en meest adequate oplossing voor jezelf te vinden. Ik denk echter wel dat de geïnvesteerde tijd zijn vruchten zal afwerpen als je met een gerust hart gevoelige informatie kan delen met het oog op de privacy van de persoon in kwestie. En natuurlijk kan ik je hier nog wel wat advies in geven. Al met al zou het ons uitgangspunt moeten zijn dat we met gegevens van anderen omgaan alsof het onze eigen gegevens zijn.

 

Alina Pielczyk
Consultant