Privacyborging tijdens coronacrisis (inclusief 6 tips!)

Privacyborging tijdens coronacrisis (inclusief 6 tips!)

23/6/20

Door: Stefan van de Giessen

Met de coronacrisis is het thuiswerken binnen organisaties massaal ingevoerd. Dat geldt ook voor pensioenfondsen en hun uitbestedingspartijen. Zo zijn in snel tempo de technische faciliteiten gerealiseerd voor videoconferencing en de toegang tot de bedrijfsnetwerken vanuit huis. De vraag die daarbij opkomt: zijn de privacyrisico’s van dit nieuwe werken voldoende in beeld? Hoe veilig zijn de nieuwe IT-tools? En voldoet het autorisatiemanagement van medewerkers nog in de nieuwe situatie? Kortom, is het nieuwe werken (nog steeds) AVG-proof?

AVG vóór de coronacrisis

Pensioenfondsen maken op grote schaal gebruik van persoonsgegevens, met name van gegevens van hun deelnemers en pensioengerechtigden. Het is van het grootste belang dat de vertrouwelijkheid van deze gegevens geborgd blijft. De AVG heeft behoorlijke impact (gehad) op pensioenfondsen en hun uitbestedingspartijen. Zo zijn verwerkingsregisters opgesteld, procedures voor datalekken opgesteld en geïmplementeerd (inclusief datalekregister), analyses van cloudoplossingen gedaan en Data Privacy Impact Analyses (DPIA) uitgevoerd. Dit geldt voor de pensioenfondsen zelf, maar ook voor hun uitbestedingspartijen. Veel pensioenfondsen hebben een functionaris gegevensbescherming of privacy officer aangesteld om het bestuur hierover te adviseren. Dit alles met het doel om AVG-proof te zijn en te blijven.

AVG na de coronacrisis

Inmiddels is de situatie in de wereld door de coronacrisis ingrijpend gewijzigd, ook bij de Nederlandse pensioenfondsen en hun uitbestedingspartijen. Dit geldt ook voor de manier van werken. Door de noodzaak tot fysieke afstand is thuiswerken de norm geworden. Veel partijen hebben in ijltempo de technische faciliteiten gecreëerd om thuiswerken mogelijk te maken. In plaats van op locatie vergaderen is videoconferencing massaal ingevoerd. Dit gebeurt bij de fondsorganen van het pensioenfonds (bestuur, raad van toezicht e.d.), maar ook bij het bestuursbureau en andere uitbestedingspartijen. Allerlei IT-tools (Teams, VPN, Dropbox, Zoom, etc…) die deze nieuwe manier van werken mogelijk maken, zijn daarvoor geïmplementeerd. Voor een deel was thuiswerken al gemeengoed bij partijen, maar voor een deel is dit een noodgedwongen nieuwe ontwikkeling. In ieder geval is de mate waarin deze tools worden gebruikt enorm toegenomen. En hoe sneller je deze tools wist in te zetten, des te vlotter je weer in business was.

Is het nieuwe werken AVG-proof?

De vraag die opkomt is of de nieuwe manier van werken AVG-proof is. We hebben snel een nieuwe manier van werken weten te vinden, maar zijn de privacy risico’s van het werken met deze nieuwe IT-tools goed in beeld? Hoe zit het bijvoorbeeld met de veiligheid van de gebruikte IT en online vergadertools? Inmiddels zijn er al discussies ontstaan over het privacybeleid van bepaalde IT-leveranciers. Hoe is geborgd dat de persoonsgegevens van pensioenfondsen bij thuiswerken op een vertrouwelijke wijze worden gebruikt? Een goede autorisatieregeling voor wie toegang heeft tot welke (persoons)gegevens is bij thuiswerken alleen maar belangrijker geworden. En voldoen de nieuwe gebruikte cloudtoepassingen aan de AVG (waar staan de gegevens opgeslagen?), en zijn deze cloudtoepassingen ook gemeld aan DNB (ingeval het een kritische uitbestedingsrelatie betreft)? Denk alleen al aan alle chats en het opgenomen beeldmateriaal. Waar blijft dat? Wie kan er bij?

In de praktijk (6 tips)

In het kader van de AVG zijn dit relevante vragen voor pensioenfondsen die een antwoord verlangen. Niet om het nieuwe werken binnen pensioenfondsen te frustreren, maar om nakoming van de AVG te waarborgen, ook ten tijde van deze coronacrisis. En daarna, want het nieuwe werken kan nog lang voortduren. Onze adviseurs zien in de praktijk de uitdagingen voor besturen. En zij zien creatieve oplossingen die ook bij andere fondsen kunnen werken. Hierbij geven wij u een aantal praktische tips om beheerst om te gaan met ‘het nieuwe werken’:

1. Bevraag uitbestedingsrelaties op welke wijze de huidige coronacrisis heeft geleid tot een nieuwe manier van werken en de gevolgen die dit heeft voor de beheersing van het privacyrisico?
2. Indien sprake is van (meer) thuiswerken, vraag na bij uitbestedingsrelaties welke maatregelen zijn genomen ter beheersing van het privacyrisico?

Proceswijzigingen?

Is bijvoorbeeld sprake van aangepaste autorisatieregelingen? Worden vier-ogen principes nog steeds ongewijzigd gehanteerd?

Technische wijzigingen?

En welke (aangepaste) technische maatregelen zijn genomen ter waarborging van het cyberrisico? Werken medewerkers van de uitbestedingsrelatie thuis op eigen hardware en/of software of wordt dit ter beschikking gesteld door de werkgever? Wordt aanvullend gebruik gemaakt van werken in de cloud?

3. Heeft de uitbestedingsrelatie een Data Privacy Impact Analyse (DPIA) gemaakt? Zo ja, hoe ziet deze DPIA er uit? Zo nee, waarom niet?

4. Stel uzelf dezelfde vragen wat betreft de eigen organisatie, dat wil zeggen wat is er door de coronacrisis veranderd bij de uitwisseling van persoonsgegevens tussen bestuursleden, andere fondsorganen en het bestuursbureau?

5. Betrek uw eigen Privacy Officer of Functionaris Gegevensbescherming bij het adresseren van dit onderwerp.

6. Vergeet niet DNB te informeren als er sprake is van wijziging van werken in de cloud bij de kritische uitbestedingsrelaties.

Montae & Partners

Wilt u een quick scan laten uitvoeren op hoe het gesteld staat met uw privacy naleving sinds corona? Wij brengen uw situatie in beeld en maken u bewust van de risico’s die in uw situatie kunnen spelen én hoe u daar adequaat mee om kunt gaan.

Bij vragen kunt u contact opnemen met Stefan van de Giessen, binnen Montae & Partners specialist op het gebied van IT- en privacyrisico’s:

Stefan van de Giessen | stefan.van.de.giessen@montaepartners.nl | +31 (0)6 112 428 70

Lees hier het volledige artikelTerug naar Nieuwsoverzicht

Kunnen wij u helpen?

Neem contact met ons op of laat uw gegevens achter.
Contact