Nieuwe Standard Contractual Clauses (SCC’s)

Op 16 juli 2020 heeft het Europese Hof van Justitie (HvJ EU) in de Schrems II-zaak het zogenoemde ‘Privacy Shield’ nietig verklaard. Dit heeft tot gevolg dat het Privacy Shield niet langer gebruikt mag worden voor de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Organisaties die persoonsgegevens doorgeven aan organisaties gevestigd in de VS moeten als gevolg hiervan aanvullende waarborgen treffen, indien zij BCR of een modelcontract gebruiken. Wat betekent dit voor uw organisatie? En heeft de Schrems II-uitspraak ook gevolg voor u indien u geen persoonsgegevens wisselt met de VS, maar wel met andere niet-Europese landen?

Achtergrond

Het doorgeven van persoonsgegevens buiten de Europees Economische Ruimte (EER) mag volgens de Algemene Verordening Gegevensbescherming (AVG) alleen indien het ontvangende land voldoende bescherming biedt. Binnen de EER is het beschermingsniveau gelijk. Er gelden daarom bijzondere regels voor doorgifte van persoonsgegevens aan organisaties en instanties gevestigd in derde landen naar zogenoemde ‘derde landen’. Deze doorgifte is dan ook alleen toegestaan indien het betreffende land een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens worden doorgegeven op basis van een adequaatheidsbesluit, binding corporate rules (BCR), passende waarborgen of specifieke uitzonderingen.

  • Adequaatheidsbesluit

De Europese Commissie (EC) kan vaststellen dat het beschermingsniveau van een derde land vergelijkbaar is met dat van de landen waar de AVG van toepassing is via een adequaatheidsbesluit. Voor doorgifte van persoonsgegevens naar dat derde land hoeven organisaties dan geen aanvullende waarborgen te treffen. Het Privacy Shield tussen de EU en de VS was een voorbeeld van een adequaatheidsbesluit.

  • BCR

Binding Corporate Rules (BCR) zijn ‘global privacy policies’ die gelden binnen een wereldwijd opererende organisatie voor doorgifte van persoonsgegevens naar derde landen, mits deze landen een gelijkwaardig beschermingsniveau kennen.

  • Passende waarborgen

Indien geen sprake is van een adequaatheidsbeslissing is een andere passende waarborg noodzakelijk voor doorgifte van persoonsgegevens naar een derde land. Dit kan met ‘Standard Contractual Clauses’ (SCC’s). Een SCC is een modelcontract dat door de EC is vastgesteld om persoonsgegevens door te geven naar derde landen. Een SCC kan gebruikt worden mits het derde land een gelijkwaardig beschermingsniveau kent.

Naast SCC’s kunnen een goedgekeurde gedragscode of een certificeringsmechanisme als waarborg gelden voor een passend beschermingsniveau. Hiervoor stelt de AVG nog wel aanvullende voorwaarden.

  • Specifieke uitzonderingen

Tenslotte is doorgifte naar derde landen mogelijk op basis van specifieke uitzonderingen, zoals uitdrukkelijke toestemming van betrokkenen of gewichtige redenen van algemeen belang. Op de website van de Autoriteit Persoonsgegevens (AP) leest u meer over specifieke uitzonderingen.

Schrems II

Voorafgaand aan Schrems II kon doorgifte van persoonsgegevens naar de VS op een veilige manier via het Privacy Shield. Met het Schrems II-arrest is het Privacy Shield ongeldig verklaard met als gevolg dat veel Europese organisaties geen rechtsgrond meer hebben voor het doorgeven van persoonsgegevens aan Amerikaanse organisaties.

Het HvJ EU constateerde dat de Amerikaanse wetgeving verschillende tekortkomingen kent die een belemmering vormen voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het beschermingsniveau van de VS niet gelijkwaardig is aan de bescherming die de AVG biedt, waardoor de VS niet langer als adequaat land wordt aangemerkt. Organisaties binnen de EER zullen doorgifte van persoonsgegevens naar de VS daarom met andere passende waarborgen, zoals bijvoorbeeld SCC’s, moeten realiseren.

Daarnaast heeft het HvJ EU in Schrems II bepaald dat partijen bij het sluiten van een SCC de garantie bieden dat de wetgeving in het derde land er niet voor kan zorgen dat de gegevensimporteur (de verwerkingsverantwoordelijke) niet kan voldoen aan de SCC. De reden hiervoor is dat de huidige door de EC vastgestelde SCC’s uit 2001, 2004 en 2010 afkomstig zijn, dus ruim voordat de AVG (2018) van kracht werd. De huidige SCC’s blijven voorlopig nog wel geldig voor doorgifte van persoonsgegevens vanuit de EEC naar een derde land, maar partijen moeten nagaan: i) of het recht van het derde land bescherming biedt in overeenstemming met de AVG, ii) welke richtlijnen gelden, iii) of er aanvullende maatregelen getroffen zijn en iv) welke omstandigheden toepasselijk zijn op de doorgifte op grond van die SCC’s. Indien de gegevensimporteur verwacht toch niet aan de SCC te kunnen voldoen, dient  hij de gegevensexporteur hierover te informeren. Het gevolg hiervan is dat exporterende organisaties zich zullen moeten inspannen voor een adequate bescherming van de gegevens en uiteindelijk de bestaande SCC’s zullen moeten vervangen.

Nieuwe SCC’s

Gezien Schrems II zijn de huidige SCC’s dan ook niet meer geschikt. Op 12 november 2020 kondigde de EC publicatie van nieuwe SCC’s aan om de doorgifte van persoonsgegevens tussen landen in de EER en derde landen te vergemakkelijken. De nieuwe SCC’s bestaan dan ook uit vier modules. Partijen kunnen op deze wijze het document verfijnen door alleen de modules op te nemen die van toepassing zijn op hun situatie. Zo zijn de nieuwe SCC’s toepasbaar in meerdere situaties.

De geformuleerde modules sluiten tevens nauw aan bij de AVG, in die zin dat een aparte verwerkersovereenkomst niet meer nodig is. Ook moet verdere doorgifte, naar bijvoorbeeld een adequaat land, ook voldoen aan de AVG. Daarbij moeten beide partijen dus kunnen aantonen dat ze voldoen aan de SCC’s. De bepalingen kunnen ook geïntegreerd worden in bredere (commerciële) overeenkomsten.

De nieuwe SCC’s kunnen worden gebruikt in de volgende situaties:

  • EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • EU verwerker aan niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerker naar EU-verwerker

Tenslotte zal per doorgifte een risicoanalyse gedaan moeten worden. Alleen het sluiten van een SCC is niet meer voldoende. Een zogenoemde Data Transfer Impact Assessment (DTIA) bevat een omschrijving van de diensten die de organisatie in een derde land aanbiedt. Verder moet uit een DTIA blijken welke passende waarborgen worden getroffen en welke maatregelen zijn genomen om persoonsgegevens te beschermen, naast de SCC’s.

Wat betekent dit voor uw organisatie?

SCC’s hoeven alleen gesloten worden voor verwerkingen waarop de AVG niet van toepassing is. Om huidige SCC’s te kunnen blijven gebruiken, is het voor organisaties van belang te inventariseren welke grensoverschrijdende overdracht van persoonsgegevens onder hun verantwoordelijkheid valt. Vervolgens dienen ze een risicoanalyse uit te voeren van het gegevensbeschermingsniveau van het ontvangende land. Uiterlijk 27 december 2022 moeten bestaande SCC’s die als doorgifte-instrument worden gebruikt, worden omgezet naar een van de varianten van de  nieuwe SCC’s.

Lumen Group kan ondersteunen bij het inventariseren en implementeren van SCC’s. Ook bij het uitvoeren van een DTIA kan Lumen Group ondersteunen. Neem vrijblijvend contact op via fg@lumengroup.nl of 030 889 65 75 om de mogelijkheden te bespreken.


Even voorstellen: Ruben

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ruben de Korver. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Mijn rol binnen Lumen Group is het ondersteunen van klanten met privacy gerelateerde uitdagingen. Dit doe ik in de hoedanigheid van Privacy Consultant. Ik geef advies en beantwoord vragen over het in de praktijk toepassen van de Algemene Verordening Gegevensbescherming (AVG).

Hoe zien jouw werkdagen eruit?

Mijn werkdagen zijn gevuld met verschillende onderdelen. Het kan zijn dat ik een overleg met een klant heb, een steekproef uitvoer of een DPIA analyseer. In de uitvoering van deze werkzaamheden probeer ik de juridische kaders altijd te vertalen naar praktisch toepasbare adviezen. Het geeft mij namelijk veel energie om bedrijven advies te geven waar klanten concreet iets mee kunnen. Verder heb ik veel contact met mijn collega’s. Wij werken veel samen en houden elkaar op de hoogte van wat er speelt bij onze klanten.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Lumen Group sprak mij aan vanwege het hechte team wat zich volledig focust op privacy. Lumen Group een niché consultancy kantoor, wat betekent dat iedereen die hier werkt erg gepassioneerd is over het onderwerp. Iedereen is gedreven om privacy meer onder de aandacht te brengen. Daarnaast is er veel persoonlijke begeleiding, wat mij zal helpen in mijn ontwikkeling.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik ben erg energiek, consistent en benaderbaar.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Ik wil de lezers van deze blog graag wijzen op een quote van de thrillerschrijver Lee Child “Hope for the best, plan for the worst”. In het kader van privacy en informatiebeveiliging is deze quote vrij treffend. Hoop op het beste, maar wees voorbereid op data-lekken, hacks en andere digitale ongein!

Wijziging Telecommunicatiewet: nieuwe regels voor telemarketing

Per 1 juli 2021 is de Telecommunicatiewet gewijzigd. De wetswijziging heeft betrekking op regels voor telemarketing. Tot 1 juli 2021 gold een “opt-out-systeem” voor het bellen van particulieren voor marketingdoeleinden. Dit betekent dat abonnees die geen rechtspersoon zijn ongevraagd telefonisch konden worden benaderd door verkopers, tenzij ze stonden ingeschreven in het bel-me-niet-register. Vanaf 1 juli 2021 moeten telemarketeers vooraf toestemming hebben van de particulieren die ze benaderen via de telefoon. In deze blog leggen wij uit wat deze wetswijziging betekent voor uw organisatie.

Opt-in-systeem

Met de wetswijziging is een algemeen “opt-in-systeem” ingevoerd voor directmarketing via de telefoon. Het opt-out-systeem is daarmee vervallen en het bel-me-niet-register is opgeheven. Onder het oude regime konden particulieren in beginsel via de telefoon benaderd worden door marketeers, tenzij ze zich hadden ingeschreven in het bel-me-niet-register. Het nieuw ingevoerde opt-in-systeem houdt in dat particulieren vooraf expliciet toestemming moeten geven voor ongevraagde commerciële en ideële communicatie en communicatie voor goede doelen (artikel 11.7 Telecommunicatiewet). Zonder dergelijke toestemming is ongevraagde telemarketing niet toegestaan. Onder “particulieren” wordt verstaan: consumenten, eenmanszaken, vennootschappen onder firma, commanditaire vennootschappen of maatschappen waar zzp’ers vaak gebruik van maken.

Aanleiding wijziging

Op grond van signalen, meldingen, onderzoeken en gevoerde gesprekken vanuit de samenleving, consumenten belangenbehartigers en de Autoriteit Consument en Markt (ACM), die toeziet op de naleving van de regels voor telemarketing, zijn een aantal problemen geconstateerd met betrekking tot de bescherming van consumenten tegen ongewenste telemarketing:

  • Consumenten zijn over het algemeen niet gediend van ongevraagde telemarketinggesprekken;
  • Natuurlijke personen zijn een relatief kwetsbare groep voor telemarketing, in die zin dat ze ieder moment van de dag ermee geconfronteerd kunnen worden en daar hinder, irritatie en privacyinbreuken van kunnen ondervinden;
  • Telemarketing veroorzaakt onbegrip en irritatie over dat natuurlijke personen steeds voor onbepaalde tijd gebeld kunnen worden, indien zij bij een partij een product of dienst hebben gekocht;
  • Natuurlijke personen zijn onbekend met het recht van verzet, waardoor zij zichzelf niet effectief kunnen beschermen tegen ongewenste telemarketing;
  • Er bestaat problematiek omtrent de effectiviteit van toezicht door de ACM.

Gevolgen

Vanaf 1 juli 2021 moeten telemarketeers van tevoren toestemming hebben van particulieren om ze te benaderen via de telefoon voor marketingdoeleinden. Dit is anders indien sprake is van betalende klanten die hiervan op de hoogte zijn gesteld toen ze klant werden en op dat moment tevens in de gelegenheid zijn gesteld om hiertegen bezwaar te maken . Indien zij geen bezwaar hebben gemaakt, mogen zij ongevraagd gebeld blijven worden.

Verdere uitzonderingen op het toestemmingsvereiste zijn rechtspersonen die handelen in de uitoefening van een beroep of bedrijf en hun telefoonnummer speciaal voor dergelijke doeleinden openbaar hebben gemaakt.

Ten slotte vallen ook abonnees die zijn gevestigd buiten de Europees Economische Ruimte buiten het toepassingsbereik van artikel 11.7 Telecommunicatiewet, indien is voldaan aan de daar toepasselijke regels voor telemarketing via de telefoon.

Wat betekent dit voor uw organisatie?

Indien uw organisatie gebruik maakt van telemarketing, dan moet u in eerste instantie kijken of er een of meerdere uitzonderingen van toepassing zijn, zodat u geen toestemming hoeft te vragen. Als deze uitzonderingen niet van toepassing zijn, dan zult u ervoor moeten zorgen dat u wel vooraf toestemming heeft gekregen.

Om te voldoen aan het toestemmingsvereiste moet de toestemming vrij, specifiek en geïnformeerd zijn. Bovendien moet het blijken uit ondubbelzinnige wilsuiting. Dit houdt in dat de particulier vrij moet zijn om toestemming te weigeren, de particulier goed moet weten aan wie en waarvoor hij toestemming geeft en dat het geven van toestemming moet voortkomen uit een actieve handeling.

De ACM heeft aangekondigd dat ze particulieren actief zullen informeren over de aangepaste regeling en de mogelijkheid tot klagen. De Autoriteit Persoonsgegevens (AP) kan tevens handhaven wanneer sprake is van een onrechtmatige verwerking van persoonsgegevens, wat snel aan de orde zal zijn bij het gebruik van telefoonnummers van particulieren die geen toestemming hebben gegeven.

Vragen?

Heeft u vragen of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link

Even voorstellen: Luna

Wat is jouw rol bij Lumen Group?

Bij Lumen Group ben ik werkzaam als werkstudent Marketing & Communicatie Data Privacy. Binnen deze functie houd ik me bezig met het verrichten van marketing- en communicatie-activiteiten via verschillende (sociale) mediakanalen en de website. Daarnaast valt het schrijven en ontwerpen van inhoudelijke content in de vorm van bijvoorbeeld blogs binnen het kader van mijn werkzaamheden. Verder bied ik ondersteuning bij enkele commerciële activiteiten van Lumen Group.

Hoe zien jouw werkdagen eruit?

Mijn werkdag begint samen met het team met een (online) dagstart. Tijdens deze dagstart bespreken we wat iedereen die dag gaat doen en waar we elkaar kunnen helpen en/of aanvullen. Mijn taken verschillen van dag tot dag, waardoor het werk nooit saai of eentonig is. Aan het einde van de dag vind ik het fijn om een momentje te nemen om te inventariseren welke taken zijn afgerond en welke taken ik de volgende dag oppak. Zo bewaar ik overzicht voor mezelf en kan ik op de meest efficiënte manier m’n werk verrichten.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Na het afronden van de bachelor Utrecht Law College heb ik ervoor gekozen om een jaar te gaan werken als werkstudent binnen marketing. Hier heb ik kennis gemaakt met het reilen en zeilen van de marketing en communicatie binnen een organisatie. Gedurende deze periode kreeg ik ook voor het eerst te maken met privacy in de praktijk. Ik merkte dat mijn interesse in dit rechtsgebied hierdoor groter werd. De keuze voor de master Intellectueel eigendomsrecht, innovatie en technologie was dan ook snel gemaakt. Tijdens de master merkte ik dat ik een stukje praktijk miste. Toen ik werd benaderd door Lumen Group was de keuze dus snel voor mij gemaakt. Bij Lumen Group kan ik zowel mijn werkervaring als mijn studie toepassen in de werkzaamheden. Dat, en de gezellige sfeer, zijn voor mij de  doorslaggevende factoren geweest om te kiezen voor Lumen Group.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik ben enthousiast, heb doorzettingsvermogen en ben gedreven.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Zoals Pippi Langkous ooit zei: “Ik heb het nog nooit gedaan, dus ik denk dat ik het wel kan”.

Drie jaar AVG: hoe staat het met de FG?

Met de komst van de AVG zijn organisaties die zelf een FG aanstellen verplicht deze aan te melden bij de Autoriteit Persoonsgegevens (AP). Voorheen werden deze gegevens door de AP in een openbaar FG-register gepubliceerd. Tegenwoordig is dit register echter niet meer openbaar. Onlangs is daarom via een Wob-verzoek het FG-register van de AP opgevraagd (door Gosse Bijlenga), om op deze manier een duidelijk beeld te krijgen van de geregistreerde FG’s. Op basis van deze gegevens hebben wij een globaal overzicht gemaakt van de geregistreerde FG’s per sector en hier zijn een aantal bevindingen uitgekomen. Hieronder hebben wij onze bevindingen in drie tabellen weergegeven.

 

Geregistreerde FG’s per sector

In het totaal zijn er 11.341 FG’s geregistreerd bij de Autoriteit Persoonsgegevens. Allereerst blijkt uit de cijfers dat van het totaal geregistreerde FG’s de sector gezondheid en welzijn het grootste aandeel in geregistreerde FG’s heeft (38%). Van het totaal aantal geregistreerde FG’s werkt 15% in de sector Onderwijs, 10% in de sector Informatie en Communicatie en 8% in de sector Zakelijk dienstverlening, respectievelijk Openbaar bestuur.

Verplicht en niet verplicht FG’s per sector

Verder geven de cijfers weer dat in de sector openbaar bestuur, in verhouding tot de andere sectoren, een relatief hoog percentage aangeeft dat er een verplichte FG is (99%). Ook in de sector Onderwijs (94%) en Gezondheid en welzijn (88%) liggen deze percentages hoog. Dit ligt ook voor de hand omdat in deze sectoren het aanstellen van een FG over het algemeen verplicht is. In de sectoren Zakelijke dienstverlening en Informatie en Communicatie geeft ongeveer meer dan de helft van de organisaties aan dat een FG verplicht is (54% en 55%). Over het algemeen kan geconcludeerd worden dat als een organisatie een FG registreert, dat het aanstellen van een FG door de organisatie ook doorgaans verplicht is. Slechts 24% van de organisaties geeft aan dat zij vrijwillig een FG hebben aangesteld.

Interne of externe FG’s per sector

Het is aan de organisaties zelf om een keuze te maken tussen het intern of extern regelen van de FG-functie. In dat kader hebben wij tevens geconstateerd dat op dit moment in bijna alle sectoren het aanstellen van een FG grotendeels intern wordt ingericht (60% is intern). Desondanks zien wij op basis van eerdere gegevens dat steeds meer organisaties de voordelen van het uitbesteden aan een onafhankelijke gespecialiseerde FG inzien en daar dan ook de voorkeur aan geven. In de sector Openbaar bestuur is 66% van de FG’s intern, in de sector Zakelijke dienstverlening is dat 75% en in de sector Informatie en communicatie is dat 72%. In de sector Gezondheid en welzijn is de helft intern (50%). De enige sector waar meer externe FG’s dan interne FG’s zijn aangesteld is de sector Onderwijs (slechts 40% is intern).

Is de FG-functie binnen uw organisatie toekomstbestendig ingericht?

Lumen Group biedt een handreiking met praktische checklist voor directeuren, bestuurders en commissarissen. Krijg duidelijkheid en download onze handreiking met praktische checklist hier. Via ons FG-abonnement helpen wij organisaties aan een onafhankelijke externe toezichthouder, teneinde te voldoen aan artikel 37 AVG. Klik hier voor meer informatie over ons FG-abonnement.

Heb je vragen over de FG-functie?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link.

Op welke manier kun je veilig thuiswerken? (checklist)

Onlangs publiceerde het Centrum Informatiebeveiliging en Privacy (CIP) een praktische handreiking voor Veilig Thuiswerken. Hierin heeft zij tips voor organisaties en adviezen aan medewerkers opgenomen. Hoewel dat de handreiking het CIP primair gericht is op overheidsinstanties, vinden wij dat de tips en adviezen ook voor andere sectoren nuttig en van belang zijn. Daarom hebben wij de checklist hieronder weergegeven. De volledige handreiking van het CIP kun je hier terugvinden.

Checklist voor Veilig Thuiswerken

 

1.  Basisinstellingen van je thuiswerksituatie

Stel de juiste basisinstellingen voor veiligheid en privacy in op al je middelen in je thuiswerksituatie (laptop, computer, printer, telefoon, enz.). Wanneer je twijfelt, lees de handleiding van het apparaat of neem contact op met de helpdesk.

2. Zakelijk

  • Zorg goed voor je apparatuur en maak een veilige verbinding met internet (geen openbare verbinding zonder wachtwoord);
  • Bewaak de actualiteit van je hard- en software (dus installeer aangeboden updates zo snel mogelijk), i.v.m. de support van de leverancier;
  • Gebruik alleen vertrouwde draadloze netwerken;
  • Beveilig je draadloze netwerk met een veilig en sterk wachtwoord;
  • Update het besturingssysteem en de software op je apparatuur zeer regelmatig;
  • Gebruik voor je zakelijke activiteiten altijd je virtuele werkplek binnen de Citrix-omgeving, ook als je thuiswerkt (of managed laptop, VPN en andere MFA oplossingen);
  • Gebruik liefst een veilige app Signal of Threema i.p.v. WhatsApp, zeker als het gaat om het delen van zeer vertrouwelijke informatie;
  • Gebruik een wachtwoordenkluis.

3. Werk je op een apparaat van jezelf?

  • Installeer alle software updates direct;
  • Gebruik een goede virusscanner;
  • Verwijder eventueel lokaal opgeslagen werkinformatie onmiddellijk na gebruik (ook uit de prullenbak!);
  • Mailen naar je privé account is niet toegestaan.

4. Privé

Zet op al je privé-accounts tweefactor-authenticatie, denk aan Twitter, Facebook, Whatsapp, Gmail, Signal, Linked-in, enz. en check geregeld of je wachtwoorden zijn gelekt (bijv. op de website Scattered Secrets).

5. Je werkruimte

  • Werk thuis volgens het clean desk principe: sluit je computer na gebruik af, laat geen documenten liggen. Vergrendel ook thuis het scherm als je weggaat van de werkplek;
  • Zorg ervoor dat je de werkruimte goed opruimt, weet wat je wel en niet kunt bespreken als er mensen op gehoorafstand zijn. Bespreek vertrouwelijke informatie alleen in een afgesloten ruimte
  • Moet je echt iets printen? Gooi deze documenten na gebruik dan niet zomaar weg maar versnipper ze eerst. Of bewaar ze op een veilige plaats thuis en gooi later weg op kantoor;
  • Deel bedrijfsapparatuur nooit met familie of vrienden/bekenden. Laat hen niet meelezen op het scherm;
  • Wees voorzichtig met het plaatsen van foto’s van je thuiswerkplek/apparatuur op sociale media. Wees bewust van informatie die op de foto in te zien is.

6. Wees alert op verdachte contacten via telefoon, sms, e-mail en sociale media

  • Open geen bijlagen, klik niet op links en vul geen gegevens in, als je de afzender niet kent of vertrouwt. Dit geldt ook voor SMS- en Whatsapp-berichten en telefoontjes;
  • Verifieer of een onbekende persoon daadwerkelijk is wie hij/zij zegt te zijn (check bijvoorbeeld het e-mailadres van de afzender;
  • Verstrek nooit vertrouwelijke gegevens aan onbekenden;
  • Meld berichten die je niet vertrouwt. Je service-desk kan je waarschijnlijk helpen.

7. Online vergadersoftware

Gebruik alleen een video-vergader toepassing die door je werkgever is goedgekeurd. Niet alle programma’s voldoen aan de eisen van privacybescherming en informatiebeveiliging.

Meer tips voor Veilig Thuiswerken

Naast de checklist van het CIP voor Veilig Thuiswerken zijn er nog meer tips voor handen. Wij raden aan om de adviezen van het NCSC op te volgen. Hier vind je de link naar de website van het NCSC. Verder raden wij aan om ook de adviezen van de Autoriteit Persoonsgegevens (AP) in het achterhoofd te houden. Hier vind je de link naar de website van de AP.

Heb je vragen over veilig thuiswerken?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Even voorstellen: Ronald

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ronald Jacobs. We stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Ronald: Mijn voornaamste taak is het commercieel ontwikkelen van de huidige Lumen diensten. Het creëren van nieuwe klanten buiten de bestaande markten. Voor Lumen Group is het actief benaderen van de markt in ontwikkeling en daar ga ik mijn actieve bijdragen aan leveren.

Hoe zien jouw werkdagen eruit?

De dag begint vroeg met een kop koffie en een snelle blik op de markt. Aan de hand van de directe en lange termijn kansen maak ik een dagplanning. In de dagstart bespreken wij elke ochtend de dag met het team. Hier krijg ik van het team extra input wat mij weer scherper maakt om mijn dagtaken goed in te vullen. De rest van de dag bestaat grotendeels uit het benaderen van de markt, het netwerk en het opvolgen van commerciële kansen.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

In de periode 2005 tot nu heb ik mij gespecialiseerd in het vermarkten van privacy en informatiebeveiligingsdiensten. Met de ISO 27001, NEN 7510 en de aangrenzende normenkaders heb ik al vele certificatie, audit, training en adviesdiensten mogen vercommercialiseren. Met de AVG heb ik ervaring opgedaan met advies en interim-management. Mijn professionele achtergrond was voor mij het eerste vinkje. Nadien heb ik gedurende de sollicitatiegesprekken een goed beeld kunnen krijgen van de organisatie, de managementstijl, kwaliteit en klantgerichte werkwijze. Ik was erg onder de indruk en dat was voor mij het tweede vinkje wat ik kon zetten en wist ik dat het een perfecte match was.

Wat zijn jouw 3 opvallendste eigenschappen?

Ondernemend, gericht op het ontzorgen van mijn klanten en werkt altijd aan continue verbetering.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

De quote “Make a customer, not a sale” van Katherine Barchetti, staat voor mijn werkstijl. Door de klant centraal te stellen en altijd kwaliteit te leveren blijven klanten en trekt het nieuwe klanten aan.

Hoe kan ik privacyvriendelijk online vergaderen?

Hoe kan ik privacyvriendelijk online vergaderen?

 

Lumen Group volgt de privacyontwikkelingen zowel in binnen- als buitenland. Onlangs publiceerde de Spaanse toezichthouder (AEPD) een interessant artikel over privacy bij het online vergaderen. Hierin geeft de AEPD aan waar je vanuit privacyoogpunt op moet letten bij online vergaderen. Wij hebben dit hieronder samengevat.

Online vergaderingen door middel van videobellen en spraakoproepen via video- of webservices zijn aan de orde van de dag, vooral als gevolg van de COVID-19-pandemie. Hoewel we ons steeds meer bewust zijn van de noodzaak om onze privacy en veiligheid online te beschermen, vereisen deze vergaderingen wel specifieke maatregelen.

Een recent voorbeeld hiervan vond afgelopen november plaats, toen een Nederlandse journalist Daniël Verlaan een videoconferentie van de EU defensieministers bezocht na een fout van het team van de Nederlandse minister van Defensie: de toegangscode voor de bijeenkomst was op sociale media geplaatst.

Bij het voorbereiden van een  online vergadering moet je daarom rekening houden met privacyrisico’s en ervoor zorgen dat ongewenst gedrag van gesprekspartners, (voormalige) collega’s, ontevreden werknemers of zelfs cybercriminelen wordt voorkomen. Door een aantal simpele voorzorgsmaatregelen te nemen, kun je effectief en veilig  online vergaderen én tegelijkertijd incidenten vermijden die een inbreuk op persoonsgegevens vormen of anderszins de privacy in gevaar brengen.

Basisregels voor veilige en privacyvriendelijke online vergaderingen

Hieronder zijn er een aantal basisregels voor het veilig en privacyvriendelijk online vergaderen. Deze lijst is niet uitputtend, maar geeft wel goede basistips die je kunt overwegen en toepassen. 

  • Houd je aan het organisatiebeleid met betrekking tot online vergaderingen: maak bijvoorbeeld alléén gebruik van door de organisatie goedgekeurde technologieleveranciers.
  • Wijs bij vergaderingen met een groot aantal deelnemers van meerdere organisaties één deelnemer aan die de organisator helpt met controle van deelnemers en met privacy- en beveiligingskwesties.
  • Denk van tevoren na over de gevoeligheid van de te bespreken onderwerpen, de identiteit van de aanwezigen en de mogelijke verspreiding als de meeting wordt opgenomen.
  • Beperk het hergebruik van toegangscodes/links. Als je al een tijdje dezelfde code/link gebruikt, heb je deze waarschijnlijk met meer mensen gedeeld dan je je nog kunt herinneren.
  • Als het onderwerp van de vergadering gevoelig is (t.a.v. het onderwerp en/of de identiteit van de deelnemers), moet je werken met codes, koppelingen en/of toegangspins voor éénmalig gebruik. Denk ook na over de noodzaak om tweefactorauthenticatie te gebruiken. Dit voorkomt dat iemand kan deelnemen door simpelweg de URL of code van de toegangslink te achterhalen.
  • Schakel onnodige functies zoals chatten, het delen van bestanden of het delen van schermen uit.
  • Beperk waar nodig wie het scherm kan delen om ongewenste of onverwachte beelden te voorkomen. Voordat iemand zijn of haar scherm deelt, moet je hem of haar herinneren aan het risico van het delen van gevoelige informatie.
  • Stuur de uitnodiging alléén naar specifieke contactpersonen en bij voorkeur niet naar groepen of mailinglijsten, zodat je controle houdt over de identiteit van de deelnemers.
  • Gebruik een ‘wachtkamer’ om deelnemers toe te laten en start de vergadering pas als de ‘host’ deelneemt.
  • Schakel de meldingsfunctie in wanneer deelnemers in de vergadering komen, bijvoorbeeld door een signaal/geluid of melding van hun naam. Als je provider deze optie niet biedt, vraag als host dan of nieuwe deelnemers zich willen identificeren.
  • Gebruik indien beschikbaar een paneel ter controle van de actieve deelnemers en voor identificatie van de overige deelnemers.
  • Neem de vergadering alléén op als dat nodig is. Informeer in dat geval de deelnemers van tevoren goed over het doel van de opname en wanneer deze start/stopt. Sommige providers doen deze aankondigingen automatisch.
  • Controleer voor de vergadering wat er achter je zichtbaar is en of je persoonlijke informatie onthult. Overweeg een virtuele achtergrond om de ruimte achter je te verbergen.
  • Waarschuw eventuele huisgenoten dat je een vergadering begint en neem de nodige maatregelen om hun activiteit buiten het bereik van de microfoon en camera te houden.
  • Schakel je microfoon en camera uit tijdens de vergadering wanneer dit niet nodig is, vooral als je iets gaat doen buiten de focus van de camera. Let vooral op draadloze microfoons.
  • Houd er rekening mee dat video- en audio-opname kan doorgaan, als gevolg van een menselijke of systeemfout, wanneer je denkt dat de vergadering voorbij is.
  • Wanneer de vergadering is afgelopen, moet je de camera fysiek uitschakelen (tabblad, sticker of iets dergelijks). Verwijder het niet totdat je een nieuwe verbinding opstart.

Online vergaderingen met (zeer) gevoelige gegevens

In die gevallen waarin zeer gevoelige gegevens of informatie worden besproken, is het raadzaam om een IT- en beveiligingsprofessional in je organisatie te raadplegen en, indien nodig, aanvullende voorzorgsmaatregelen te nemen:

  • Gebruik alléén door je organisatie goedgekeurde virtuele vergaderservices voor deze specifieke situaties met end-to-end-encryptie en verschillende codes of wachtwoorden voor elke deelnemer. Geef instructies zodat ze niet worden gedeeld.
  • Gebruik deelnemersdashboards ter controle wie er aan de vergadering deelnemen.
  • Blokkeer de toegang tot de vergadering zodra alle deelnemers zijn geïdentificeerd.
  • Sta alleen hosts toe om hun scherm te delen.
  • Als er opnames worden gemaakt, moeten ze worden versleuteld met een sterk algoritme en sterke wachtwoorden. Verwijder alle opnamen die mogelijk bij de provider zijn opgeslagen.
  • Vraag deelnemers expliciet om alleen apparaten te gebruiken die door de organisatie zijn geleverd en/of goedgekeurd.

Heb je vragen over dit artikel?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Even voorstellen: Frederik

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Frederik Petersen. We stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Frederik: “Binnen Lumen Group vervul ik de functie van Privacy Consultant/ Functionaris Gegevensbescherming (FG). In die rol adviseer ik onze opdrachtgevers op het gebied van privacy wet- en regelgeving. Daarnaast begeleid ik onze opdrachtgevers met het implementeren van privacy wet- en regelgeving: dit gebeurt via het uitvoeren van analyses en opstellen van rapportages. Hierin zit ook het toezicht element op naleving van deze wet- en regelgeving.

Hoe zien jouw werkdagen er ongeveer uit?

Frederik: “De werkdag start met koffie en onze (online) Lumen dagstart, waarin we elkaar op de hoogte houden van ieders werkzaamheden en waar nodig onderling ondersteuning bieden. Gedurende de dag beantwoord ik privacy gerelateerde vragen van onze opdrachtgevers door middel van het geven van praktische oplossingen: daarnaast begeleid ik hen bij implementatie en compliance van privacy wet- en regelgeving, o.a. via monitoringsrapportages waaruit blijkt in welke mate onze klanten ‘privacy compliance’ zijn.”  

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken?

Frederik: “De voornaamste reden om te kiezen voor Lumen Group is de hoge mate van kwaliteit en ‘in house’ expertise, gecombineerd met een heldere en pragmatische aanpak. Daarbij heeft Lumen Group een ambitieuze groeistrategie, waar ik met mijn ruime ervaring in het bedrijfsleven en als zelfstandig privacy consultant graag een bijdrage aan wil leveren.”

Wat zijn jouw 3 opvallendste eigenschappen?

Frederik: “Ik werk resultaatgericht en gestructureerd, met oog voor kwaliteit en een kritische blik op het eindresultaat: waar kunnen we het nog beter doen voor onze opdrachtgevers?”

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

Frederik: “Goede keuzes maak je door ervaring, ervaring krijg je door verkeerde keuzes.”

 

Even voorstellen: Enna

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Enna Lujinović. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Ik ga de rol van een Privacy Consultant vervullen. Uiteraard zal ik op de lange termijn ook de rol van Functionaris Gegevensbescherming (FG)  gaan vervullen. Vanuit de rol als Privacy Consultant/FG zal ik adviseren over de toepassing en de implementatie van de Algemene Verordening Gegevensbescherming (AVG).  Hierbij kijk ik naar wat de wet- en regelgeving vereist en welke praktische toepassing voor de Opdrachtgever het beste is.

Hoe zien jouw werkdagen er ongeveer uit?

Ik begin elke dag met een lekkere kop koffie. Daarna beginnen we bijna meteen met de dagstart. Tijdens de dagstart bespreken we wat er op de planning staat voor die dag. Zo weten we van elkaar wie zich met welke taken bezighoudt. Vervolgens begin ik met het lezen van mijn e-mails en het beantwoorden van klantvragen.

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken?

Ik heb voor Lumen Group gekozen, omdat ik me graag verder wil ontwikkelen als Privacy Consultant/FG. Deze mogelijkheid krijg ik bij Lumen Group doordat je je eigen verantwoordelijkheid moet nemen en ervoor moet zorgen dat de AVG door verschillende bedrijven en organisaties wordt nageleefd. Ook kan ik bij Lumen Group meehelpen aan de groei van de organisatie. Gezien de specialistische kennis van Lumen Group en het belang van privacy- en informatiebeveiliging, draag ik hier graag aan bij.

Wat zijn jouw 3 opvallendste eigenschappen?

Enthousiast, doorzetter en gedisciplineerd.

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

Wees jezelf, er zijn al anderen genoeg.