Coronacrisis en thuiswerk - gegevensbescherming, privacy en GDPR

In verband met thuiswerk is het aangewezen om de nodige voorzorgsmaatregelen te nemen en rekening te houden met de bestaande wetgeving met betrekking tot gegevensbescherming en privacy.

Hierna sommen wij alvast enkele elementen op:

1. Databescherming

Eerst en vooral is het belangrijk te beseffen dat met thuiswerk bepaalde data en gegevens de onderneming tijdelijk verlaten. Zowel fysiek als digitaal worden deze gegevens uit de normale omgeving gehaald.

Wat betreft de fysieke gegevens is vooral een goed beleid en de nodige sensibilisering van de werknemers primordiaal. Zorg dat de werknemers weten welke documenten kunnen worden meegenomen, hoe hiermee moet omgegaan worden en probeer zelf ook zicht te houden wat zich waar bevindt.

Aangaande digitale gegevens, die ongetwijfeld meer aan de orde zijn in het kader van thuiswerk, hangt veel af van de wijze waarop ze thuis kunnen worden benaderd en gebruikt. Het is ondertussen reeds gemeen goed dat e-mailboxen en clouddiensten vlot thuis vanaf de laptop of de gsm kunnen worden gebruikt.

In dit kader is het steeds aangewezen de nodige beveiliging in te stellen om een ongebreidelde toegang tot deze gegevens te voorkomen.

Zo zijn een goede paswoordkeuze, multi factor authenticatie en het beperken van de toegang tot de strikt nodige gegevens steeds aangewezen. Daarnaast zijn ook verdere maatregelen evenzeer te overwegen, zoals het opstellen van een VPN-verbinding met het bedrijfsnetwerk en het vermijden van het gebruik van gratis niet professionele chat- en clouddiensten (zoals bv. Whatsapp).

Een goede analyse van de risico’s die verbonden zijn met het telewerken en de wijze waarop deze risico’s worden ingedekt zal dan ook de basis zijn om latere problemen te vermijden.

Dit alles is uiteraard eenvoudiger uit te werken indien de werknemers een laptop van de werkgever bezitten, waar de regelingen voor telewerk meer dan waarschijnlijk reeds uitgewerkt zijn. Indien daarentegen vanop een eigen apparaat wordt gewerkt is het belangrijk dat hiertoe bijkomende beveiligingsmaatregelen worden genomen en de nodige beveiliging worden geïnstalleerd (zoals bv. een antivirus-scanner en mobile device management).

2. Sensibilisering van de werknemers

Waar de technologische ondersteuning van het telewerk uiteraard als basis essentieel is, hangt het voornamelijk van de handelingen van de gebruikers af in welke mate de beveiliging wel degelijk werkt.

Fouten gebeuren net in aanzienlijke mate door inadequaat en onvoorzichtig gebruik vanwege de gebruiker zelf.

Een even groot onderdeel van de beschermingsmaatregelen zal dan ook bestaan in het sensibiliseren van de werknemers. Hoe moet ik omgaan met de gegevens die ik thuis verwerk? Hoe herken ik phishing emails? Hoe doe ik geregeld virusscans? Hoe weet ik dat er nieuwe updates zijn die ik zeker moet uitvoeren?

Hieromtrent moeten de nodige richtlijnen en verplichtingen bestaan die ook afdoende aan de werknemers worden overgebracht. 

Infosessies waarbij dit alles wordt uitgelegd evenals de nodige bijkomende tools en tips die worden aangeleverd, zorgen ervoor dat de werknemer zich bewust is van de gevaren en de nodige aandacht aan de dag legt bij zijn digitaal verkeer. Zonder de nodige bewustwording en voorzichtigheid bij de gebruikers zal ook het best beveiligde netwerk het risico lopen om het slachtoffer te worden van virussen en exploits.

Zoals steeds is elk beveiligingssysteem maar zo sterk als zijn zwakste schakel.

3. Privacy van de werknemers

Naast de bescherming van de gegevens die worden gebruikt, moet bij telewerken evenzeer rekening gehouden worden met de privacy van de werknemers zelf.

Waar de telewerker zich uiteraard iets verder bevindt van de werkgever, beperkt dit evenzeer de controlemogelijkheden van de werkgever.

De aard van een arbeidsovereenkomst houdt echter impliciet ook het recht in voor een werkgever om zijn werknemers te controleren bij de uitvoering van hun arbeid. Hierbij zal steeds een evenwicht moeten worden gezocht tussen het privéleven van de werknemers en het controlerecht van de werkgever met betrekking tot alles wat te maken heeft met het uitvoeren van de arbeidsovereenkomst.

Bij het uitwerken van deze controlemogelijkheden, is het dus ook belangrijk er ook steeds rekening mee te houden dat het recht op privacy van de werknemers ook bij telewerken verder blijft gelden. Zo gelden er specifieke richtlijnen voor de controle van online communicatiegegevens, voor camerabewaking, de regels voor huisbezoeken, enz.

Daarnaast zijn eveneens indirecte controlemaatregelen mogelijk (bv. registratie van gewerkte uren, analyse van quota’s) waarop geen specifieke wettelijke regels van toepassing zijn en men op de algemene principes van het arbeidsrecht terugvalt.

4. Vergeet de AVG (GDPR) niet!

Ongetwijfeld zullen naar aanleiding van telewerk (en bij het uitvoeren van maatregelen in het kader van de corona-crisis), ook persoonsgegevens worden verwerkt.

Van zodra er persoonsgegevens worden verwerkt of gecontroleerd bij telewerk, moet men rekening houden met de Algemene Verordening inzake Gegevensbescherming (GDPR). Deze Verordening is ondertussen bijna 2 jaar in werking.

Waar reeds vele ondernemingen aanzienlijke stappen gezet hebben binnen hun gegevensverwerkingsbeleid en alle verplichtingen en principes die daarbij moeten worden gehanteerd, blijft het voor velen nog steeds een continu evoluerend proces om ermee in regel te zijn en te blijven.

De komende Coronavirus-periode is daarom hét moment bij uitstek om de maatregelen hieromtrent en de GDPR-compliance verder op te volgen. Deze wetgeving vormt immers een (belangrijk) verlengde van algemeen gegevensbeheer.

Het spreekt voor zich dat Seeds of Law u hierbij steeds kan bijstaan. U kunt ons contacteren via info@seeds.law of +32 (0)2 747.40.07.