Bij Lumen Group hebben wij de afgelopen tijd gemerkt dat ‘veilig mailen’ een steeds actueler onderwerp is geworden. Mede naar aanleiding van de publicatie van de NTA 7516 krijgen wij in toenemende mate hierover vragen.  Met de publicatie van de NTA 7516 op 15 mei 2019 is er voor het per e-mail versturen van persoonlijke gezondheidsinformatie een veldnorm in het leven geroepen. Dit houdt in dat Iedere professional die persoonlijke gezondheidsinformatie per e-mail wil versturen, gebruik moet maken van een NTA 7516-veilig e-mail product én ook zelf moet voldoen aan de eisen van de NTA 7516.

In de praktijk kan dit tot problemen leiden. Wanneer de ontvanger van jouw e-mails vanwege vertragende beveiligingsmaatregelen moeite moet doen om ze te vinden, te openen en te lezen, dan gaat tot wel 30% van de door jou gestuurde berichten verloren. En dat terwijl de informatie in de e-mails juist zo belangrijk is! Zo schiet gegevensbescherming dus makkelijk z’n doel voorbij. Maar het kan ook anders: veilig mailen met het grootste gemak voor zowel de verzender als de ontvanger.

Wij vroegen Yvonne Hoogendoorn (CEO bij SecuMailer) om wat meer uitleg te geven in deze blog. SecuMailer heeft namelijk als initiatiefnemer voor de NTA 7516 een slimme oplossing voor veilig e-mailen, die zorgt dat zowel de ontvanger als de verzender moeiteloos en veilig kunnen blijven e-mailen.

Yvonne Hoogendoorn van SecuMailer over de NTA 7516 en veilig mailen:

Wie, wat, waar van de NTA 7516

• Wie: Professionals die e-mails versturen met persoonlijke gezondheidsinformatie.
• Wat: Digitale veiligheidseisen om privacy en doktersgeheim in e-mails te garanderen.
• Waar: Gewoon in je mailbox en tijdens het e-mailverkeer.
• Waarom: Om het lekken van persoonlijke gegevens te voorkomen.
• Wanneer: Als je een e-mail verstuurt.
• Hoe: Met de slimme beveiliging van SecuMailer die je niet merkt.

Word jij ook gek van al die ophaalberichten in je mail?

De afgelopen jaren is er in de zorg veel elektronische informatie uitgewisseld in portalen. Dit was nodig omdat e-mail verkeer niet veilig te versturen was. Een logische stap was om ook berichten bedoeld voor patiënten in een portaal te plaatsen. Hier kan zowel de patiënt of een andere zorg professional via een ophaalbericht  naar het portaal klikken en dan met een extra code of wachtwoord het bericht inzien. Hartstikke lastig vaak, en soms zelfs onmogelijk. Denk maar aan mijn berichtenbox van de overheid, dat is ook nooit een fijne ervaring.

Het goede nieuws is: Dit is niet meer nodig.

Door te kiezen voor SecuMailer voorkom je dat de beveiliging van e-mail door de ontvangers als ‘gedoe’ wordt ervaren. Het gebruik van portalen, fileshare servers en/of lokale plug-ins is namelijk niet nodig met SecuMailer. Je krijgt hiermee een oplossing die zoveel mogelijk lijkt op de ‘gewone’ manier van e-mailen, echter met de garantie van versleutelde aflevering.

Veel organisaties kijken nu naar een portaaloplossing voor veilig e-mailen omdat ze dit al vaker hebben gezien. De grote nadelen voor de ontvanger en de grote belasting voor de eigen ICT omgeving zijn echter goede redenen om de moderne oplossing voor veilig e-mailen zonder ophaalberichten en portalen te overwegen.

Maar hoe doe je dat dan met het beroepsgeheim van de (zorg)professional?

De artseneed werd in 1878 ingevoerd in Nederland en sinds dien is het dus al goed gebruik dat medische informatie niet zomaar bij de verkeerde persoon terecht komt. Niets nieuws dus dat ook per e-mail niet zomaar medische gegevens verstuurd kunnen worden. De zorgprofessional moet eerst vaststellen dat de ontvanger recht heeft op de informatie.

De eerste keer dat een patiënt bij een dokter komt moet hij zich inschrijven. Het BSN-nummer wordt vastgelegd, de identiteit wordt gecontroleerd met een officieel identiteitsbewijs en de adresgegevens worden in het medisch dossier gezet. Daarna hoef je bij je huisarts echt niet iedere keer je paspoort te laten zien.

Twee Factor Authenticatie. Maximaal 4 x per jaar

Voor vertrouwelijke e-mails kan het vaststellen van de identiteit van de ontvanger op de volgende manier. De zorg professional (of in ieder geval de organisatie) heeft e-mailadres en telefoonnummer van de ontvanger. De identiteit van de ontvanger kan je dan controleren door een combinatie van een e-mail en een bericht naar de telefoon.

Vanaf dat moment is zorgvuldig aangetoond dat de ontvanger is wie hij zegt te zijn en via het e-mailadres veilig te bereiken is. Alle e-mails kunnen vanaf dan veilig in de mailbox van de ontvanger komen. Na 90 dagen is het weer nodig om opnieuw een combinatie van e-mail en bericht op de telefoon te sturen.

Wettelijk kader

Sinds mei 2020 zijn er nieuwe regels voor veilig e-mailen met persoonlijke gezondheidsinformatie. Die zijn vastgelegd in de NTA 7516 veilig e-mailen in de zorg. Deze regels zijn gebaseerd op de volgende wettelijke kaders:

De AVG:

Privacywetgeving die verplicht tot het nemen van voldoende technische en organisatorische maatregelen om te voorkomen dat vertrouwelijke gegevens in verkeerde handen komen. E-mail moet volgens deze wet versleuteld verstuurd worden.

De WGBO:

Dit is de wet op de geneeskundige behandelovereenkomst. Hierin is het beroepsgeheim van de zorg professional vastgelegd. Omdat deze twee wetten ten grondslag liggen aan de NTA 7516, hoeft de NTA 7516 zelf geen wet te zijn, maar zijn de eisen wel verplicht voor iedereen de een medisch beroepsgeheim heeft. Veel lagere overheden en ministeries gaan ook met de regels van de NTA 7516 werken, omdat zij ook regelmatig persoonlijke gezondheidsinformatie nodig hebben of versturen.

Eisen Forum standaardisatie:

De open standaarden voor veilig digitaal internetverkeer die het forum standaardisatie oplegt aan (semi)overheden zijn ook toegepast in de NTA 7516 eisen. Ook dit is een reden waarom veel gemeenten en ministeries de NTA 7516 norm voor veilig e-mailen willen gaan toepassen.

Meer weten?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Ook kun je direct contact opnemen met Yvonne Hoogendoorn via de website van SecuMailer.

Veel onderwijsinstellingen waren vanaf het begin van de coronacrisis genoodzaakt om les op afstand te geven. Het toetsen van studenten en leerlingen hoort daar natuurlijk ook bij, en het leek erop dat de toetsing ook op afstand moest gebeuren. Diverse onderwijsinstellingen maakten in dat kader gebruik van online surveillance-software, wat ook wel ‘online proctoring’ wordt genoemd.

Het gebruik van dergelijke software roept echter privacyvragen op zoals: hoe zit het met de AVG? Zijn er geen minder ingrijpende toetsingsalternatieven zodat er geen online surveillance-software gebruikt hoeft te worden? Waar moet ik aan voldoen volgens de AVG als ik wel online proctoring wil toepassen? Hier bestond binnen de onderwijspraktijk veel onduidelijkheid over. Er zijn zelfs Kamervragen gesteld over het gebruik van surveillance-software bij toetsen. Ook hebben studenten aangegeven erg bezorgd te zijn over hun privacy. Zo hebben studenten van de Universiteit van Amsterdam (UvA) in een kort geding een verbod op proctoring gevraagd. Het Gerechtshof Amsterdam heeft op 1 juni 2021 uitspraak gedaan over het gebruik van proctoring op de UvA.

In deze blog zullen wij als Lumen Group ingaan op het oordeel van het Hof met betrekking tot de vraag of online proctoring de juiste aanpak is vanuit privacyperspectief, en of er wellicht betere alternatieven bestaan. Tot slot zullen wij toelichten aan welke AVG-vereisten men nog meer moet denken bij het gebruik van online proctoring. Let op, naar aanleiding van de uitspraak van het gerechtshof Amsterdam inzake online proctoring op de UvA hebben wij deze blog recentelijk aangepast.

Waarom is ‘online proctoring’ een ingrijpend middel voor privacy van studenten en leerlingen?

Online proctoring ligt in het verlengde van de ‘klassieke’ toetsing in een klaslokaal of gymzaal waarbij een surveillant meekijkt, maar dan op een meer ingrijpende manier voor de privésfeer van studenten/leerlingen. Online proctoring wordt namelijk gebruikt om fraude gedurende een toets te herkennen en te voorkomen. In dit kader zal bij online proctoring de identiteit van de kandidaat vastgesteld worden en om het toetsingsproces te bewaken wordt er gebruik gemaakt van “live video streams”. Dit wordt vaak gerealiseerd door de webcam van de laptop in te schakelen, het scherm van de laptop te delen en de camera van een smartphone te richten op de omgeving waar de leerling de toets aflegt. Daarbij wordt de student gevraagd om zijn studentenkaart te laten zien.

Online proctoring kan als (erg) ingrijpend worden gezien voor de privacy van studenten/leerlingen. Online proctoring vindt namelijk plaats in de vertrouwde omgeving, waarbij de student of leerling letterlijk in de gaten wordt gehouden. Daarnaast worden de opgenomen beelden verwerkt binnen een proces waar de student/leerling in eerste instantie geen zicht op heeft en waarbij algoritmes ook beslissingen nemen aan de hand van beeldanalyse. Dit verwerkings- en beslissingsproces is vaak niet goed duidelijk voor studenten/leerlingen. Dit blijkt ook niet altijd even goed uit de privacyverklaring van de aanbieders van online proctoring.

Deze situatie vraagt dus om een juiste borging van de privacy van de student of leerling, maar ook is een gepaste beveiliging van het systeem vereist. In dit kader moet online toetsen op afstand worden uitgevoerd op een fraudebestendige manier, maar met respect voor de privacy én met inachtneming van de juiste veiligheidsmaatregelen. Omdat online proctoring dus een zeer ingrijpend middel is, is een DPIA (Data Protection Impact Assessment) verplicht. Lumen Group kan helpen bij het verrichten van deze DPIA.

Is online proctoring de beste privacyoplossing, of zijn er minder ingrijpende alternatieven?

Het is dus duidelijk dat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Daarom raden wij aan om zeker eerst te kijken naar alternatieven voor online proctoring. Naast de inzet van online proctoring zijn er ook mogelijk andere opties om de kwaliteit van het onderwijs te borgen en fraude tegen te gaan bij jouw onderwijsinstelling. Hiermee wordt dus hetzelfde doel bereikt, maar dan met minder ingrijpende middelen. Denk hierbij aan het aanpassen van de toetsingsvormen door middel van openboektentamens en essayopdrachten. Deze kunnen dan door plagiaatscanners (zoals Turnitin) of tekstanalysesoftware (zoals Ans) op verdachte zaken achteraf worden gecontroleerd. Dit is een minder ingrijpend middel dan online proctoring. Het gebruik van deze minder ingrijpende alternatieven ligt hiermee dan ook voor de hand en raden wij ook aan vanuit privacyperspectief.

Welke verwerkingsgrondslag moet ik gebruiken voor online proctoring?

Als een onderwijsinstelling toch gebruik wil maken van online proctoring, dan moet hiervoor een verwerkingsgrondslag voor worden gevonden. De AVG biedt verschillende grondslagen voor het verwerken van persoonsgegevens. Voor online proctoring lijken een drietal grondslagen relevant, namelijk: (A) de taak van het algemeen belang voor de onderwijsinstelling, (B) de toestemming van de student of leerling en (C) het gerechtvaardigd belang. Het Hof Amsterdam heeft in zijn uitspraak bepaald dat de verwerking een taak van algemeen belang betreft.

Uitspraak van het Hof Amsterdam d.d. 1 juni 2021

Studenten van de UvA hebben een kort geding aangespannen tegen de UvA en vorderden een verbod op het gebruik van online proctoring wegens strijd met de Algemene Verordening Gegevensbescherming (AVG). Volgens de Centrale Studentenraad en de Facultaire Studentenraad van de UvA brengt het gebruik van online proctoring door de universiteit een schending van de privacy van studenten met zich mee. Zij brachten naar voren dat de surveillancesoftware veel meer dan alleen de noodzakelijke informatie zou verzamelen. Hierdoor zijn de studentenraden van mening dat studenten op zijn minst toestemming moeten geven voor de opnames. Bovendien zouden er alternatieven beschikbaar moeten zijn. De UvA heeft wel een DPIA uitgevoerd.

Het Gerechtshof Amsterdam oordeelt in hoger beroep dat de studenten onvoldoende duidelijk hebben gemaakt dat hun privacy geschonden zou zijn. Daarnaast is het gebruik van de software volgens het Hof noodzakelijk om fraude tegen te gaan, aangezien er geen passend alternatief mogelijk is gezien de omstandigheden. Dit maakt dat aparte toestemming vanuit studenten niet nodig is. Het aanbieden van online tentamens en het inzetten van surveillancesoftware is noodzakelijk ter vervulling van de taak van de UvA. Als verwerkingsgrondslag voor het gebruik van online proctoring is dus een taak van algemeen belang of openbaar gezag (artikel 5 lid 1 sub e AVG) aangewezen.

Mogelijke verwerkingsgronden AVG

De verwerkingsgrondslagen worden hieronder in het kader van online proctoring uiteengezet, waarbij wij zullen aangeven hoe aannemelijk wij het gebruik van de diverse grondslagen vinden.  

A) Taak van algemeen belang

De eerste mogelijkheid om als verwerkingsgrondslag te gebruiken voor online procotoring is de uitoefening van een taak van algemeen belang. Ondanks dat het Hof een taak van algemeen belang of openbaar gezag als verwerkingsgrondslag heeft aangewezen in de rechtszaak tegen de UvA, ligt deze grondslag naar onze mening niet voor de hand. Voor deze grondslag zal het doel van online proctoring (het voorkomen van fraude) namelijk in overeenstemming moeten zijn met het doel die een publieke taak omvat. Weliswaar kan het verzorgen van onderwijs en het afnemen van toetsen aangemerkt worden als een publieke taak waarvoor een grondslag bestaat in de wet, maar dit levert geen grondslag op voor het doel om fraude te voorkomen. Het doel van online proctoring is niet direct verenigbaar met het doel van de publieke taak van een onderwijsinstelling, omdat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Wij zijn van mening dat het wenselijk is dat het gebruik van online proctoring een op zichzelf staande belangenafweging krijgt. Hierbij moet dan worden nagegaan of de rechten en vrijheden van studenten/leerlingen niet zwaarder wegen dan het noodzakelijk, gerechtvaardigd belang van de onderwijsinstelling. Het lijkt ons niet wenselijk dat de rechten en vrijheden van studenten/leerlingen niet centraal staan bij het gebruik van online proctoring door te kiezen voor de taak van algemeen belang als grondslag. Daarom lijkt deze verwerkingsgrondslag geen uitkomst te bieden voor online proctoring.

B) Toestemming

De tweede mogelijkheid om een grondslag te gebruiken voor de verwerking bij online proctoring betreft het vragen van de toestemming van leerlingen/studenten. Afgevraagd kan worden of de toestemming van een student of leerling een gangbare en werkbare grondslag is. Naar onze mening lijkt dit niet het geval te zijn, omdat een toestemming vrij gegeven moet zijn volgens de AVG. In deze kwestie kunnen er twijfels bestaan in hoeverre een student/leerling de keuze om een toets op afstand te weigeren als ‘vrij’ ervaart. Omdat de weigering voor het geven van toestemming betekent dat de student of leerling hierdoor een studievertraging oploopt, zal de student/leerling deze keuze niet snel maken en is deze toestemming dan ook niet vrij gegeven.

Een andere reden wat de gangbaarheid en werkbaarheid van deze grondslag in de weg kan staan, heeft te maken met de gevallen waarin studenten/leerlingen geen toestemming geven. In dergelijke gevallen moet de onderwijsinstelling een beschikbaar alternatief bieden en vaak is dit niet of lastig beschikbaar. Wanneer een groep studenten/leerlingen die geen toestemming hebben verleend beperkt in omvang is, dan zou een beschikbaar alternatief kunnen zijn dat deze studenten/leerlingen fysiek de toets komen afleggen op school. Het Kabinet sluit de mogelijkheid immers niet uit dat studenten/leerlingen toetsen kunnen afleggen op school wanneer dit noodzakelijk is. Hierbij moeten de veiligheidsmaatregelen en adviezen uiteraard wel in acht worden genomen ten behoeve van de gezondheid van de studenten/leerlingen en medewerkers.

C) Gerechtvaardigd belang

Een andere mogelijkheid als grondslag voor online proctoring is het gerechtvaardigd belang. Hierbij is dan geen voorafgaande toestemming van de student/leerling nodig. Deze grondslag is naar onze mening de meest gangbare grondslag voor online proctoring waarop onderwijsinstellingen zich moeten baseren.

Maak een belangenafweging

Om gerechtvaardigd belang als grondslag te gebruiken zal er voorafgaand een belangenafweging moeten plaatsvinden. Hierbij moet dan een afweging worden gemaakt tussen het doel van de gegevensverwerking en de rechten en vrijheden van de studenten/leerlingen. Wanneer het belang van de onderwijsinstelling om online proctoring te gebruiken zwaarder weegt dan de rechten en vrijheden van de studenten/leerlingen, dan kan er een (geldig) beroep worden gedaan op het gerechtvaardigd belang. Deze belangenafweging dient wel voldoende onderbouwd te worden om de noodzakelijkheid om online proctoring te gebruiken te kunnen bepalen.

Stel belang van onderwijsinstelling vast

Onderdeel van de belangenafweging is dat wordt vastgesteld en onderbouwd waarom de onderwijsinstelling een belang heeft bij online proctoring, en dat dit belang gerechtvaardigd is. Een onderwijsinstelling zou de volgende belangen kunnen hebben:

1. Controleren wat de identiteit is van de student/leerling (wie maakt de toets?);
2. Vaststellen dat er tijdens het maken van het toets geen fraude is gepleegd;
3. Vaststellen dat de student/leerling niet langer bezig is met de toets dan het daarvoor gegeven tijdskader.

Noodzakelijkheid en proportionaliteit

Wanneer kan worden vastgesteld dat de onderwijsinstelling een belang heeft bij online proctoring, moet vervolgens worden gekeken naar de noodzakelijkheid en proportionaliteit van online proctoring. Zo zal moeten worden onderbouwd en aangetoond dat online proctoring noodzakelijk is om het belang van de onderwijsinstelling te bereiken. Daarnaast zal moeten worden gekeken of de inzet van online proctoring proportioneel is. Dit houdt in dat er gekeken moet worden of het gebruik van online proctoring in verhouding staat tot het doel dat de onderwijsinstelling nastreeft. Daarnaast moet ook gecheckt worden of er mindere ingrijpende middelen voor de hand liggen om het belang van de onderwijsinstelling te behartigen. Denk hierbij bijvoorbeeld aan aangepaste toetsingsvormen, zoals wij ook al eerder aangaven.

Om de noodzakelijkheid van online proctoring verder te kunnen aantonen is het naar onze mening van belang om vast te stellen of studenten/leerlingen de mogelijkheid hebben om wel of niet de toetsen fysiek op locatie te kunnen maken. Hierbij zullen de overheidsmaatregelen uiteraard een rol spelen. Heeft een school de mogelijkheid om op een veilige manier de toetsen fysiek af te nemen, dan zal de noodzakelijkheid om op afstand te toetsen minder waarschijnlijk zijn. Hier bestaat er mogelijk geen noodzakelijk gerechtvaardigd belang.

Als de noodzakelijkheid en proportioneel voldoende zijn onderbouwd, dan is er sprake van een gerechtvaardigd belang waarbij het belang van de onderwijsinstelling zwaarder weegt dan de rechten en vrijheden van studenten/leerlingen. Let er op dat het wel altijd van belang is dat de studenten/leerlingen de mogelijkheid hebben om de werkwijze van het toetsen op afstand in te zien en te controleren. Dit kan bijvoorbeeld door heldere en transparante beschrijving in de privacyverklaring.

Bied mogelijkheid tot bezwaar

De AVG (art. 21 AVG) geeft studenten/leerlingen de mogelijkheid om bezwaar aan te tekenen tegen de beslissing van de onderwijsinstelling om online proctoring in te zetten. Studenten/leerlingen kunnen in specifieke situaties onderbouwd bezwaar aanvoeren tegen online proctoring. De onderwijsinstelling zal elk bezwaar afzonderlijk moeten beoordelen om te kijken of er nog steeds dwingende gerechtvaardigde gronden bestaan voor de inzet van online proctoring. Hierbij moet worden beoordeeld of voor de specifieke situatie het belang bij online proctoring zwaarder weegt dan de belangen, rechten en vrijheden van de student/leerling. Indien deze niet bestaan, dan zal de onderwijsinstelling de verwerking van persoonsgegevens in kwestie moeten staken en daarmee de inzet van online proctoring. Zoals hierboven besproken, zal de beslissing om de verwerking te staken minder waarschijnlijk zijn wanneer aan een student/leerling écht geen alternatief geboden kan worden, zoals het fysiek afleggen van de toets op locatie.

Aan welke AVG-vereisten moet ik nog meer denken bij online proctoring?

Naast een verwerkingsgrondslag moet de onderwijsinstelling ook voldoen aan andere AVG-verplichtingen wanneer het gaat om online proctoring. Hieronder tref je de belangrijkste uitgangspunten.

Voer een DPIA uit

Zoals ook eerder vermeld, raden wij allereerst aan voorafgaand het inzet van online proctoring een DPIA (Data Protection Impact Assessment – een privacy risicoanalyse) uit te voeren om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze door middel van beheersmaatregelen te mitigeren of te elimineren. Bij het inzet van online proctoring worden veel persoonsgegevens verwerkt en kan sprake zijn van een niet-transparant proces, waarbij gebruik wordt gemaakt van algoritmes. Hierdoor lijkt sprake te zijn van hoge privacy- en informatiebeveiligingsrisico’s. Daarom vereist het inzetten van online proctoring strenge maatregelen en lijkt een DPIA verplicht te zijn. Lumen Group heeft veel ervaring met het uitvoeren van een DPIA en kan ook  jouw organisatie hierbij van dienst zijn.

Let bij de DPIA vooral op het beginsel van dataminimalisatie. De AVG schrijft voor dat de verzameling van persoonsgegevens beperkt wordt tot het minimale voor zover noodzakelijk voor de uitvoering van de taak in kwestie. Dit betekent dus onder andere dat er strikte bewaartermijnen van video opnames bepaald moeten worden. Slechts in uitzonderlijke gevallen zouden deze beelden geraadpleegd kunnen worden, zoals bij een verdenking van fraude.

Informeer betrokkenen

Daarnaast raden wij aan om een privacyverklaring en -beleid op te stellen waarin de onderwijsinstelling aangeeft hoe zij omgaat met persoonsgegevens met betrekking tot online proctoring. Geef daarbij specifiek aan op welk wijze (beslisregels) algoritmes worden ingezet. Uiteraard is het mogelijk dat de bestaande verklaring en beleid hiermee worden aangevuld.

Selecteer de applicatie zorgvuldig

Ook raden wij aan om zorgvuldig te zijn in het kiezen van de applicatie of tool die zal worden gebruikt voor het inzetten van online proctoring. In onze eerdere blog kun je teruglezen waar je op moet letten bij het kiezen van tools en applicaties. SURF maakte reeds een privacyrisico analyse over de beschikbare documentatie van drie online proctoring software aanbieders (Proctorio, ProctorExam en RPnow). Deze analyse kun je hier terugvinden.

Meer weten?

Wij hopen met het schrijven van deze blog een antwoord te hebben gegeven op de voornaamste vragen als het neerkomt op het gebruik van online surveillance-software. Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Voor meer informatie over de AVG in het onderwijs verwijzen wij je graag naar onze andere blogs op de website van Lumen Group. Meer informatie over de AVG en het lesgeven op afstand kun je vinden in onze webinar. De webinar kun je terugkijken via deze link.

Momenteel werkt Nederland thuis in verband met het Coronavirus. Dit vergt veel aanpassingsvermogen van iedereen en roept nieuwe situaties in het leven. Ook cybercriminelen hebben dit in de gaten. Afgelopen tijd was al vaker te lezen in het nieuws (zoals bijvoorbeeld: Politie, FD.nl en RTL Nieuws) dat cybercriminelen phishingberichten versturen als gevolg van de Coronacrisis. Ook een aantal van onze klanten is hierdoor inmiddels getroffen. Phishing kan grote gevolgen hebben, zoals bijvoorbeeld een datalek of gijzeling van de systemen. Kortom, pas op voor phishing, juist in de Coronacrisis. In deze blog geven we aan waar je op moet letten en wat je moet doen om phishing van jouw gegevens te voorkomen.

Wat is phishing en hoe herken je phishing?

Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door via een valse e-mail, appbericht, SMS of zelfs QR-code persoonlijke en gevoelige gegevens ‘binnen te hengelen’ en afhandig te maken. Makers van phishingberichten gaan steeds professioneler te werk, waardoor de kans op phishing ook bij jou of jouw organisatie kan voorkomen.

Een phishingbericht ziet er uit als een gewone e-mail, app of SMS waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen cybercriminelen zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via phishingbericht kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Wat kun je doen om phishing van jouw gegevens te voorkomen?

Als je een phishingbericht krijgt, is het van belang dat je direct op de juist manier handelt. Hieronder geven wij aan wat je moet doen als je een phishingbericht ontvangt:

• Reageer nooit op e-mails of appjes met verzoeken om persoonlijke inlogcodes of pincode. Banken, creditcard maatschappijen en bijvoorbeeld webshops vragen hier nooit om. Ontvangt je zo’n e-mail? Verwijder deze dan meteen. Klik in geen geval op een link die in de e-mail staat.
• Krijg je betaalverzoeken van onbekenden, klik deze dan niet aan.
• Stuur jouw bankpas niet op. Jouw bank zal hier nooit om vragen. Als je een nieuwe pas krijgt, vraagt de bank altijd om jouw oude pas door te knippen en weg te gooien.
• Stuur ook nooit een kopie van jouw identiteitsbewijs op. Criminelen kunnen jouw BSN-nummer gebruiken om een bankpas aan te vragen.
• Geef nooit zomaar persoonlijke gegevens over de telefoon.
• Wil je een betaalverzoek doen, log dan in op jouw eigen bankapp of de website van jouw bank en doe daar de betaling. Geef ook aan bij de koper dat je op deze manier betaalt. Vaak zal de fraudeur dan al afhaken en geen verdere actie ondernemen.
• Vertrouw je een link niet helemaal, check hem via de website checkjelinkje.nl.
• Zorg dat wachtwoorden veilig zijn en verander ze regelmatig. Wees er zeker van dat jouw computer de laatste software- en beveiligingsupdates heeft gehad.

Meer informatie over phishing vind je terug op de website van de Politie.

Wat moet ik als organisatie doen als mijn medewerker is getroffen door phishing?

Eerder schreven wij een blog over hoe je als organisatie moet handelen zodra iemand uit jouw organisatie op een phishinglink heeft geklikt. Meer informatie hierover en welke stappen je moet nemen als organisatie lees je hier.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Het Coronavirus leidt bij veel werkgevers tot privacy gerelateerde vragen. Vragen zoals bijvoorbeeld: Is het Coronavirus een uitzondering waarbij je gezondheidsgegevens mag verwerken? Mag je met werknemers spreken over ziekteverschijnselen? Mag je werknemers scannen op koorts? In dit artikel geven we je een kort overzicht.

Staat de AVG in de weg aan maatregelen die genomen moeten worden in het kader van het Coronavirus?

Volgens de Europese toezichthouders hoeft de AVG geen belemmering te vormen voor maatregelen in de strijd tegen het Coronavirus. Dit heeft de European Data Protection Board (EDPB) op 16 maart 2020 in een verklaring naar buiten gebracht. De AVG voorziet immers in de wettelijke gronden om de werkgevers en de bevoegde volksgezondheidsinstanties staat te stellen persoonsgegevens in het kader van epidemieën te verwerken. Hiervoor is dan niet de toestemming van de betrokkene nodig. Dit geldt bijvoorbeeld wanneer de verwerking van persoonsgegevens noodzakelijk is voor de werkgevers om redenen van algemeen belang op het gebied van de volksgezondheid of om vitale belangen te beschermen (artikel 6 en 9 van het AVG) of om te voldoen aan een andere wettelijke verplichting.

Maar wat betekent dit nou voor de Nederlandse werkgever?

In aanvullende Nederlandse wetgeving (UAVG) is opgenomen dat de situaties zoals hierboven zijn omschreven niet zo zeer van toepassing zijn in Nederland. De Nederlandse wetgeving bepaalt namelijk dat hiervan pas sprake is als de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven. Dit betekent dat we terugvallen op de algemene regels van de AVG en de richtlijnen van de Autoriteit Persoonsgegevens. Hieronder hebben wij voor jou deze regels en richtlijnen weergegeven en wat deze inhouden.

Mag ik als werkgever gezondheidsgegevens verwerken in het kader van het Coronavirus?

De AVG stelt dat het verwerken van gezondheidsgegevens van werknemers in principe verboden is, tenzij er sprake is van een uitzondering (artikel 9 AVG) en een grondslag (artikel 6 AVG) aanwezig is. De vraag die bij veel werkgevers leeft, is of het voorkomen van de verdere verspreiding van het Coronavirus als uitzonderingssituatie kan worden aangemerkt. Dan zou het mogelijk zijn om informatie over gezondheidsklachten, en daarmee mogelijke besmettingen, bij te houden om zo meer controle te houden over de situatie.

De Autoriteit Persoonsgegevens stelt zich op het standpunt dat enkel in heel uitzonderlijke gevallen mogen bijzondere persoonsgegevens worden verwerkt door werkgevers. Hieruit kan worden afgeleid dat de wettelijke plicht van werkgevers om te zorgen voor een veilige werkomgeving volgens de Autoriteit Persoonsgegevens niet zover strekt dat werkgevers in geval van een virus-uitbraak wél allerlei gezondheidsgegevens mogen verwerken. Er zijn meer volgens de AP proportionele alternatieven voorhanden, zoals bijvoorbeeld het creëren van bewustwording omtrent hygiënemaatregelen, de mogelijkheid bieden tot thuiswerken en het eerder inschakelen van de bedrijfsarts.

Wat mag ik als werkgever nog wel vragen in het kader van het Coronavirus?

Ja, de AVG verbiedt werkgevers niet om met werknemers ziektesymptomen mondeling te bespreken of gezondheidsgegevens te documenteren die niet herleidbaar zijn naar een specifiek persoon. Deze informatie mag echter niet digitaal wordt vastgelegd of bijvoorbeeld in het personeelsdossier worden opgenomen. Ook kunnen werknemers niet worden verplicht om dergelijke informatie te verstrekken. De werknemer behoudt het recht op privacy en de werkgever mag niet zomaar inbreuk maken op dit recht.

Mag ik mijn werknemers controleren op symptomen van het Coronavirus?

Nee, dit is niet toegestaan. Van werkgevers wordt verwacht dat (privacy)gevoelige informatie alleen wordt verwerkt als het belang van de werkgever om dit te doen zwaarder weegt dan het algemene grondrecht van de werknemer op eerbiediging van de persoonlijke levenssfeer, én als het nodig is (effectief is) om het beoogde doel te bereiken.

Een voorbeeld van controleren op symptomen zou zijn het meten van koorts. Dit zou in sommige gevallen heel wenselijk zijn. Volgens de Autoriteit Persoonsgegevens is het op grond van de AVG verboden om de temperatuur op te nemen bij werknemers met bijvoorbeeld koortsscanners. Werknemers mogen dit volgens de Autoriteit Persoonsgegevens dan ook weigeren. Een meer proportioneel alternatief zou zijn dat je als werkgever de situatie bespreekt met de werknemer, zodat de werknemer thuis kan werken en zelf contact opneemt met de huisarts en/of GGD voor eventuele behandeling.

Mag ik mijn werknemers informeren over een besmette collega?

Nee, want het onderling delen van gezondheidsinformatie (“Persoon X is besmet met het Coronavirus.”) valt onder het verbod uit de AVG. Het delen van deze informatie is niet toegestaan. Wel kan in algemene bewoordingen, en zonder dat bekend wordt over welke persoon het gaat, worden aangegeven dat sprake is van een verhoogd risico, waardoor bijvoorbeeld nieuwe maatregelen moeten worden genomen. Als een werknemer zelf gezondheidsgegevens bekend maakt, of aan de werkgever vraagt informatie over zijn of haar gezondheid met collega’s te delen, dan levert dat geen strijd op met de AVG. Wél moet voorkomen worden dat deze informatie (digitaal) wordt bewaard.

Beoordeel de situatie altijd per specifiek geval

In dit nieuwsbericht hebben wij de belangrijkste regels en richtlijnen weergegeven. Wel raden wij altijd aan om de situatie per specifiek geval te bekijken. Twijfel je over jouw situatie of wil je meer weten? Neem dan contact met ons op via telefoonnummer 030 889 67 75 of via e-mail info@lumengroup.nl.

Sinds twee jaar biedt Lumen Group een FG abonnement aan binnen diverse sectoren waaronder zorg, bedrijven, (semi)-overheid en onderwijs. Organisaties maken steeds vaker gebruik van dit FG abonnement. Maar waarom kiezen organisaties toenemend voor een externe FG? Hieronder een korte analyse, waarna de voordelen van een FG abonnement zijn opgesomd.

De functie groeit een interne FG vaak boven het hoofd

Vaak zien wij dat een interne medewerker parttime wordt aangewezen voor de functie van FG. Hij of zij komt er in toenemende mate achter dat deze functie veel meer inhoudt dan oorspronkelijk gedacht en daarmee gecompliceerder is. Interne FG’s zijn na bijna twee jaar na invoering van de AVG meestal nog bezig met de implementatie, en vaak nog niet met controles en toezichthouden. De uitdaging die er vaak ligt is om een concreet plan van aanpak op te stellen en dit plan vervolgens uit te voeren. Hulp van een buitenstaander is dan gewenst om hierin te voorzien.

De kwaliteitseisen aan de FG worden steeds zwaarder

Van een FG wordt verwacht dat deze vanuit zijn functie een relatie opbouwt met de organisatie en belanghebbenden, en zorgt voor diepgang ten aanzien van de wet- en regelgeving. Dit houdt concreet in dat een FG een goed gesprek op gang weet te brengen over de privacy- en informatiebeveiligingsvraagstukken binnen de organisatie. Ook moet de FG concreet advies geven aan collega’s, én daarnaast zelf controles uitvoeren op de naleving van de AVG. Deze ‘dubbelrol’ van advies en controle kan erg lastig zijn. Met name omdat de onafhankelijke positie van de FG ook in het geding komt; de slager keurt daarmee zijn eigen vlees en dit is niet wenselijk vanuit de toezichtsfunctie.

De competenties en interesse bij de (huidige) interne FG ontbreken vaak

De vervulling van deze dubbelrol vraagt meerdere belangrijke competenties, zoals het stellen van de juiste vragen, goed kunnen luisteren, empathisch vermogen en lef tonen. Ook is het hebben van controle-ervaring en adviesvaardigheden buitengewoon wenselijk. Als FG moet je soms kritisch durven zijn naar directe collega’s en naar het hoogste management/bestuur. Ondanks de wettelijke ontslagbescherming van de FG kan dit soms een moeilijke opgave zijn.

Een externe FG zorgt voor veel diepgang en effectief toezicht

Wij zien vaak dat een interne FG het lastig vindt om aan tafel te komen en te blijven, omdat zijn functie niet goed is vastgelegd of wordt gedragen. Als externe partij blijkt het minder moeilijk te zijn om met de juiste personen aan tafel te komen, om zo toch regelmatig te kunnen rapporten. Ook luisteren mensen vaak beter naar een externe expert en ‘dwingen vreemde ogen’.

Lumen Group heeft een methode opgesteld om structuur aan te brengen in de monitoring, zodat op een logische en zorgvuldige wijze toezicht wordt gehouden. Doordat Lumen Group in meerdere sectoren actief is als externe FG, is het mogelijk om ook ‘over de schutting te kijken’, en zo best practices mee te nemen en toe te passen. Wij merken dat bestuurders, commissarissen en toezichthouders (RvT) graag onafhankelijke rapportages ontvangen, omdat zij dan objectieve inzichten verkrijgen over hoe het er voor staat met de privacy en informatiebeveiliging binnen hun eigen organisatie.

Een externe FG is qua kosten bereikbaar geworden voor organisaties

De reden dat Lumen Group voor een abonnementsvorm heeft gekozen, is omdat organisaties voor een vast bedrag per maand vooraf gedefinieerde diensten afnemen. Dit zorgt voor duidelijkheid in de rolverdeling. Een abonnement zorgt door haar langere tijdsduur ervoor dat de FG en de elkaar kunnen leren kennen en een duurzame relatie aangaan. Een FG abonnement brengt uiteraard kosten met zich mee, maar iemand hiervoor aannemen of (parttime) vrijmaken ook!

De voordelen van een FG abonnement

• U voldoet meteen aan artikel 37 van de AVG en kunt dit ook intern en extern verantwoorden.
• De onafhankelijkheid van uw FG is geborgd.
• U betaalt een vast bedrag per maand, dus voorspelbare kosten.
• Onze opgedane ‘best practices’ worden ingezet bij uw organisatie.
• Uw organisatie profiteert van een hoge kwaliteit van advies en goed toezicht door middel van monitoring, rapportages en steekproeven.
• Bij een incident of datalek staan wij 24/7 voor u klaar via ons datalekloket.
• De Lumen Group Helpdesk staat altijd tot uw beschikking om vragen te beantwoorden.

Ook gebruik maken van de voordelen van onze externe FG diensten?

Kies dan voor ons FG abonnement en neem contact met ons op voor een offerte. Neem contact op met Mitchell Hendriks via mitchell.hendriks@lumengroup.nl of Peter Tanamal via peter.tanamal@lumengroup.nl of via 030- 889 6575 voor een vrijblijvend gesprek.

Events

Lumen Group organiseert regelmatig events met een actueel thema gericht op privacy en informatiebeveiliging. Meer weten? Klik hier voor aankomende evenementen.