[genodigde artikel]
De coronacrisis heeft ervoor gezorgd dat werknemers massaal van thuis uit werken. Alhoewel het onduidelijk blijft hoelang de coronacrisis nog duurt, lijkt telewerk een aanhoudende trend te worden.
Wanneer werknemers telewerken, kunnen zij ook toegang hebben tot (gevoelige) bedrijfsinformatie. Informatie waartoe werknemers toegang krijgen, bevat in veel gevallen ook persoonsgegevens in de zin van de privacyregelgeving (in het bijzonder de Algemene Verordening Gegevensbescherming, ook gekend als GDPR). Dit zorgt voor tal van uitdagingen op vlak van informatieveiligheid en gegevensbescherming.
Denk hierbij bijvoorbeeld aan de volgende (vrijwel realistische) situaties:
- Een lid van een HR-departement kijkt de afgedrukte loonfiches na van enkele werknemers tijdens het telewerken en gooit die daarna weg in de doos met “papier en karton”. Bij het ophalen van het papier en karton, blijkt de doos onvoldoende afgesloten. Een aantal van de loonfiches komen op straat terecht waardoor toevallige voorbijgangers deze kunnen raadplegen.
- Een werknemer van het marketingdepartement heeft vanuit zijn thuiskantoor toegang tot de CRM-databank. Zij vraagt of zij tijdens de zomermaanden vanuit haar land van herkomst, Turkije, mag werken. Turkije is echter geen land met een passend beschermingsniveau onder de GDPR. Is telewerk vanuit dit land mogelijk?
- De Finance-Director doet betalingen vanuit zijn thuiskantoor met een privécomputer en privé-internetaansluiting. Hij wordt het slachtoffer van een cyberaanval.
Is de werkgever verplicht om maatregelen te treffen om dergelijke situaties te voorkomen of hieraan tegemoet te komen wanneer de werknemers telewerken?
Het antwoord op deze vraag luidt volmondig: ja.
Wanneer telewerkers thuis toegang krijgen tot (gevoelige) persoonsgegevens, is de GDPR immers van toepassing. En volgens de GDPR moeten werkgevers technische en organisatorische maatregelen nemen om deze persoonsgegevens te beveiligen. Deze maatregelen moeten bescherming bieden tegen bijvoorbeeld ongeoorloofde toegang of verwerking, verlies en beschadiging van persoonsgegevens.
Zelfs indien de informatie waartoe werknemers toegang krijgen geen persoonsgegevens bevat (wat in de praktijk weinig realistisch is), is het dan nog van uiterst belang dat bedrijven hun commercieel gevoelige informatie met de grootste zorg beschermen.
Technische en organisatorische maatregelen
De GDPR bevat geen lijst van technische en organisatorische maatregelen die elke werkgever moet nemen. De concrete maatregelen hangen immers af van de risico’s en de omvang van de verwerking, alsook de kost en de technische haalbaarheid van de maatregelen.
In het kader van telewerk, kan een bedrijf bijvoorbeeld de volgende technische en organisatorische maatregelen nemen:
- Sensibilisering en opleiding van personeel;
- Uitstippelen van een veiligheidsbeleid met duidelijke regels over hoe met bedrijfsinformatie omgegaan moet worden als men telewerkt (bv. gedragscode IT-gebruik, klachtenprocedure, aanduiden van verantwoordelijke voor IT-veiligheid, etc.);
- Beveiliging van het netwerk (ook wanneer werknemers telewerken via VPN-verbinding);
- Logische beveiliging van de toegang tot computers en systemen (codes, etc.).
Andere aandachtspunten
Los van de organisatorische en technische maatregelen die werkgevers moeten treffen onder de GDPR, zijn er vanuit informatieveiligheidsoogpunt ook andere aandachtspunten voor werkgevers.
Wanneer telewerkers thuis toegang krijgen tot (gevoelige) bedrijfsinformatie en persoonsgegevens, moet een werkgever zich in ieder geval de volgende vragen stellen:
- Staan wij telewerkers toe om op andere plaatsen dan thuis (bv. co-working ruimtes, cafés, restaurants, bibliotheken, etc.) te werken? Indien dat het geval is, hoe verzekeren wij de beveiliging van informatie (bv. geen gebruik maken van een openbare wifiverbinding, werken met een privacy screen, etc.)?
- Mogen werknemers van thuis uit printen? Zo ja, wat moeten werknemers doen met geprinte documenten die gevoelige informatie bevatten (bv. gebruik van shredders, richtlijnen omtrent weggooien van gevoelige informatie, etc.)?
- Mogen werknemers vanuit het buitenland werken? Wat gebeurt er indien het een land betreft buiten de Europese Economische Ruimte zonder passend beschermingsniveau onder de GDPR? Wat met de potentiële impact op de toepasselijke sociale zekerheidswetgeving en fiscaliteit?
- Mogen werknemers papieren dossiers met gevoelige bedrijfsinformatie meenemen naar huis? Moeten zij in dat geval de papieren dossiers op een speciale plaats bewaren (zodat bv. gezinsleden of bezoekers daar geen toegang toe hebben)?
Het is aangewezen dat werkgevers nadenken over informatiebeveiliging bij telewerk en een passend beleid uitstippelen. Deze oefening kan deel uitmaken van een globaal informatiebeleid, dat ook van toepassing is wanneer werknemers op kantoor werken. Hoe informatie op een veilige manier verwerkt, maar ook weggegooid of vernietigd wordt, zal daar (onder meer) een belangrijk aspect van moeten zijn. Thuis shredden wordt in deze context misschien dan toch de “new normal”.
Over de auteurs
Julien Hick, Partner bij AKD Benelux Lawyers & Heleen Franco, Senior Associate bij AKD Benelux Lawyers