Bewustwording, omgang met persoonsgegevens vaak nog een zorgenkindje

Het laatste kwartaal van het boekjaar is aangebroken. De focus bij de meeste bedrijven ligt (terecht) bij de omzetcijfers, want ook dit jaar is net als 2020 voor veel bedrijven een uitdagend jaar geweest. Maar net als de omzetcijfers, is er nog altijd een ander zorgenkindje binnen bedrijven: het omgaan met persoonsgegevens. Ondanks dat de bewustwording steeds toeneemt, laten we met z’n allen nog té vaak steken vallen. In de meeste gevallen zonder het zelf te beseffen, laat staan met slechte bedoelingen. Hoe zit het met jouw bewustzijn?

Foutje, bedankt!

Deze uitspraak was zeer populair in de jaren ’90 naar aanleiding van een reclamecampagne van een verzekeringsmaatschappij. Destijds was het internet nog niet eens bestaande en stond men met naam en telefoonnummer gewoon in het telefoonboek. Door de komst van het internet en sociale media bij uitstek, is data het nieuwe goud geworden. Persoonsgegevens zijn het meest waardevolle goed, voor marketeers, bedrijven, maar ook criminelen. Gelukkig is de bewustwording bij burgers over hun rechten ook toegenomen en zijn zij veel kritische geworden over de bescherming van hun eigen privégegevens.

Dat maakt het dan ook des te verwonderlijker dat we in professionele context de bewustwording juist minder aanwezig is. Dit heeft overigens niet altijd met het bedrijf te maken, maar zeer vaak ook met eigen onbewust gedrag. Nieuwsgierigheid, maar ook behulpzaamheid zit in de mens, niet beseffende dat een foutje snel gemaakt is… bedankt!

Bewustwording bij bedrijven én onszelf

We maken allemaal fouten en we kunnen ook niet verlangen dat iedereen de AVG door en door kent. Aan de andere kant is privacy en de AVG ook een recht voor ieder individu. De bewustwording bij bedrijven zou moeten zijn dat door toepassing van de AVG datastromen van persoonlijke gegevens inzichtelijk worden gemaakt, dat dankzij het verwijderen van oude data risico’s en kosten worden gereduceerd en de taken en verantwoordelijkheden duidelijk zijn.

Bent u zich als bedrijf bewust van deze goedbedoelde, maar wél privacy overtredingen?

  1. Opvragen van persoonsgegevens en deze verstrekken zonder dat hier een procedure voor bestaat (Recht op inzage)?
  2. Onderwerp privacy als een heet hangijzer beschouwen en dit onderwerp pas aanpakken wanneer klanten hier om gaan vragen?
  3. Gegevens verwerken zonder dat hier vooraf een verwerkersovereenkomst over is opgesteld?

Als op één of meer vragen met ‘ja’ is geantwoord, dan kan het geen kwaad om toch eens de situatie ‘as is’ op vlak van privacy en bewustwording te meten.

Bent u zich als persoon bewust van deze goedbedoelde, maar wél privacy overtredingen?

  1. Uit nieuwsgierigheid rondneuzen in zorgdossiers van bekende Nederlanders.
  2. Foto’s nemen en filmpjes maken op het schoolfeest zonder vooraf gevraagde toestemming aan de ouders.
  3. Laptop “vergeten” bij het boodschappen doen, deze is gelukkig door een eerlijke vinder teruggebracht.

Dit overkomt mij niet! Nee, inderdaad, het is altijd een ander. En toch zijn dit voorbeelden uit de praktijk. Allemaal zonder slechte bedoelingen, maar uit nieuwsgierigheid en behulpzaamheid.

Geen bangmakerij, maar bewustwording

Vaak wordt privacy en met name de AVG als een vingerwijziging naar voren gebracht. Dit werkt averechts en is totaal onnodig. Zoals gezegd is privacy een recht voor iedere burger in Nederland en bij uitbreiding in de hele Europese Unie. Iedereen heeft het recht om “vergeten” te worden, het recht om zelf te bepalen of ze gevolgd worden na websitebezoek. De bewustwording is flink toegenomen bij individuen. Als deze individuele bewustwording ook in de professionele context meegenomen wordt, dan komen we er wel. Hoe? Door ook in de professionele context de vraag te stellen: ‘Zou ik dit willen als persoon’.

Alles wat u moet weten over online privacy bij thuisonderwijs

Onlangs kwam de Autoriteit Persoonsgegevens met aanbevelingen voor online privacy bij digitaal thuisonderwijs. Omdat onderwijs voor mij een belangrijke sector is, wil ik in deze blog de aanbevelingen toelichten, maar vooral welke meerwaarde een AVG kennispartner of externe functionaris gegevensbescherming kan bieden voor onderwijsinstellingen om ervoor te zorgen dat de privacy geborgd is.

Privacy in het onderwijs gaat over het beschermen van de meest kwetsbare groep

Privacy is voor mij belangrijk voor ieder individu. Echter, in tegenstelling tot een volwassene, kan een minderjarige nog niet de keuzes maken die een volwassene wel kan maken. Het is in mijn ogen dan ook de plicht als volwassenen onze kinderen zo goed mogelijk te beschermen.

Als ouders zijn we allemaal bezorgd over online gevaren. Sexting, de impact van sociale media en het verlies aan controle wat onze kinderen online doen. Deze bezorgdheid krijgt nu een nieuwe dimensie bij het digitaal thuisonderwijs. De school, een fysieke veilige haven waar kinderen in normale omstandigheden zichzelf ontplooien, heeft zich deels naar het online platform begeven. Als ouders verwacht je dat ook daar de school voor een veilige omgeving zorgt.

Online thuisonderwijs, meer dan de digitaal lesgeven

Tijdens de eerste lockdown werd het onderwijs overrompeld en moest het op korte tijd overschakelen naar online thuisonderwijs. Logischerwijs waren scholen die in het digitale veranderingsproces al ver stonden sneller overgeschakeld, dan scholen waarbij dit niet het geval was. Digitaal lesgeven is niet simpelweg een tool kiezen en voor de webcam gaan zitten. Het vergt organisatie van het lesmateriaal, kennis en kunde van de interactieve mogelijkheden van de tool en het overzicht kunnen bewaren in een digitale omgeving. Waar in een fysieke omgeving lichaamstaal een directe interactie is, is het bij digitaal lesgeven vooral de gezichtsuitdrukking die geïnterpreteerd moet worden. Het zijn totaal andere competenties en vaardigheden die van de lesgever gevraagd worden.

Ook de tools zijn tijdens de lockdown een punt van discussie geweest. Vooral op het vlak van privacy kwamen, vooral Amerikaanse tools als het populaire Zoom, al snel onder vuur te liggen vanwege datalekken en het gebrek aan encryptie. Ook de IT-infrastructuur en kennis op het vlak van de AVG bleek in veel onderwijsinstellingen onvoldoende om veilig digitaal thuisonderwijs te kunnen borgen. Daarbij moet ook de leerling of student in ogenschouw worden genomen. Het gaat niet enkel om wat de onderwijsinstelling aanbiedt, maar ook wat deze vraagt van de leerlingen of studenten. Opdrachten met een persoonlijk karakter, of waar persoonsgegevens worden verwerkt en die teruggestuurd worden naar de onderwijsinstelling, zijn net zo goed onderworpen aan de AVG.

Tot slot speelt ook het aspect van cyberveiligheid bij de leerlingen en studenten een belangrijke rol. Natuurlijk heeft de onderwijsinstelling hier geen invloed op. Een veilige internetverbinding is zeker in studentenhuizen niet vanzelfsprekend, maar ook bij huishoudens van leerlingen in de basis- en middelbare school is de digitale geletterdheid niet altijd aanwezig bij de ouders. De taak van de onderwijsinstelling is dan ook het faciliteren van een digitale tool die voldoet aan de Europese privacy normen en de leerstof dusdanig aan te passen dat het uitwisselen en verwerken van persoonsgegevens tot een minimum wordt beperkt.

De aanbevelingen van de Autoriteit Persoonsgegevens en wat het onderwijs nog meer kan doen

De eerste lockdown was totaal nieuw, ongezien voor Nederland. Dat er geïmproviseerd moest worden door onderwijsinstellingen op het vlak van online thuisonderwijs, is zeker te begrijpen. We zijn ondertussen ruim een half jaar verder, de tijd van excuses is voorbij. Zoals het ernaar uitziet is online thuisonderwijs een blijvertje. Of het nu één dag per week is, of fulltime, dit doet geen afbreuk aan de maatregelen die onderwijsinstellingen moeten nemen om de privacy te borgen.

Ook de Autoriteit Persoonsgegevens is van mening dat er structureel geïnvesteerd moet worden naar een veilige digitale omgeving en doe na onderzoek enkele aanbevelingen. Deze zijn op de website van de Autoriteit Persoonsgegevens uitgebreid en overzichtelijk terug te vinden. Voor uw gemak een beknopte samenvatting van de twee pijlers met daarbij de link naar de volledige aanbevelingen.

Aanbevelingen online (video)bellen

Het online (video)bellen is het meest voorkomend. Op deze manier worden lessen gegeven en eventuele oudergesprekken gehouden. De Autoriteit Persoonsgegevens zegt hierover dat er een duidelijk beleid opgesteld moet worden m.b.t. de te gebruiken applicaties en waarvoor online (video)bellen gebruikt mag worden.

Indien de onderwijsinstelling de lessen van het online thuisonderwijs opneemt, moet de onderwijsinstelling ervoor zorgen dat er geen beeldopnamen van leerlingen of studenten zijn. Dit is een moeilijke overweging voor onderwijsinstellingen. Om interactie te borgen is er beeld nodig, om de lessen te archiveren mag er geen beeld zijn.

Tot slot beveelt de Autoriteit Persoonsgegevens aan om duidelijke afspraken te maken met de leverancier (service level agreement) en meer bepaald over de bewaartermijn van de beelden. Dit zal voor een groot deel de keuze van de tool bepalen.

Gedetailleerde aanbevelingen: Autoriteit Persoonsgegevens 

Aanbevelingen online proctoring

Voor wie nog niet bekend is met online proctoring. Online proctoring is software dat onderwijsinstellingen kunnen gebruiken om toezicht te houden bij examens die online worden gemaakt. Via algoritmen bepaalt de software of er al dan niet fraude wordt gepleegd.

Deze vorm van algoritmische controle op basis van artificiële intelligentie heeft overduidelijk een impact op de privacy van leerlingen en studenten. Voordat een onderwijsinstelling dit type software mag gebruiken, moeten ze aan strenge eisen voldaan hebben.

De Autoriteit Persoonsgegevens zegt hierover dat deze software enkel ingezet mag worden als blijkt dat dit echt noodzakelijk is. Echt noodzakelijk houdt in: geen ander alternatief aanwezig om het examen af te nemen. Daarenboven moet de inbreuk op de privacy tot het minimum beperkt worden. Tot slot moeten leerlingen (en hun wettelijke voogd(en)) of studenten worden geïnformeerd over hun rechten en de rechten van hun kinderen.

Gedetailleerde aanbevelingen: Autoriteit Persoonsgegevens

Wat kan een AVG kennispartner betekenen voor de onderwijsinstelling

De urgentie om de privacy in het online thuisonderwijs te borgen is duidelijk. Voor mij is het ook duidelijk dat onderwijsinstellingen dit niet alleen kunnen. De expertise en ook vaak het budget ontbreekt om alles zelf uit te zoeken. De nuance dient gemaakt te worden dat grote onderwijsinstellingen het waarschijnlijk ‘makkelijker’ hebben dan kleine onderwijskoepels.

Een AVG kennispartner of externe functionaris gegevensbescherming kan hierbij een uitkomst bieden. Geheel objectief brengt deze de situatie in kaart en doet vervolgens de nodige aanbevelingen via een stappenplan. Dit gebeurt aan de hand van een privacy scan. De onderwijsinstelling kan dan zelf bepalen of deze aanbevelingen worden uitgevoerd. Dit kunnen zij zelf doen indien in de mogelijkheid, of door de AVG kennispartner.

Tot slot kan een onderwijsinstelling ook beroep doen op een externe functionaris gegevensbescherming. Deze neemt vervolgens het volledige gevegevensbeschermingstraject onder de arm waarbij op regelmatige basis (praktijk)tips worden gegeven, opvolging en bijsturingen worden gedaan.

Kortom, het zijn uitdagende tijden op het vlak van online privacy bij thuisonderwijs. Zowel voor onderwijsinstellingen als leerlingen, ouders en studenten. Ontwikkelingen gaan razendsnel, maar ook cybercriminelen zitten niet stil. Gelukkig is het bewustzijn en expertise beschikbaar. Zo zijn er digitale tools om dit te borgen. Is er de Autoriteit Persoonsgegevens met concrete aanbeveling en zijn de AVG kennispartner en externe functionaris gegevensbescherming beschikbaar om de onderwijsinstellingen te begeleiden.

Neem gerust contact met mij op om te ontdekken wat Privacy Clear voor u kan betekenen.

Een CRM-oplossing is onmisbaar om de data van de organisatie te beschermen

Premier Rutte was duidelijk in zijn laatste toespraak: thuiswerken wordt weer de norm. Het is weer deels terug naar voor de zomer. Het verschil is nu dat bedrijven tijd hebben gehad om zich beter te organiseren. Door het massaal thuiswerken zijn bedrijven immers extra gevoelig voor datalekken, cybercrime en vergissingen bij het uitwisselen van gegevens. Het gaat hierbij om data en CRM, mijn kernexpertises en onmisbaar om data van uw organisatie te beschermen.

Data van bedrijven zonder CRM extra kwetsbaar

Nu thuiswerken weer de norm is, worden bedrijven wederom geconfronteerd met laptops die op tal van verschillende thuisnetwerken worden aangesloten. De ene medewerker woont in een vrijstaand huis zonder buren binnen het bereik van het WiFI-netwerk, de andere medewerker woont in een appartementenblok waar er tal van WiFi-netwerken door elkaar heen vindbaar zijn.

Bedrijfslaptops waar alle software lokaal wordt geïnstalleerd en waar data op de laptops van de werknemers wordt bewaard, zijn in deze situatie extra gevoelig voor datalekken en cybercriminaliteit. De data staat in rechtstreekse verbinding met het ‘huis, tuin en keukennetwerk’. Een aanval betekent vrijwel meteen het corrumperen van de data. Er zijn verschillende vormen van cybercrime, maar de infectie van één medewerker heeft consequentie voor de hele organisatie. De meest actuele vergelijking is als er in uw directie omgeving iemand besmet is met het Coronavirus, u ook in quarantaine en getest zal moeten worden. Hetzelfde geld voor alle computers in uw organisatie.

Wat maakt bedrijven met een CRM-oplossing dan minder kwetsbaar? Zij zijn toch ook aangesloten op het thuisnetwerk? Het grote verschil is dat de data niet op de lokale laptops van de medewerkers staat, maar in het zwaarbeveiligde CRM-systeem. Iedere medewerker dient eerst een beveiligde verbinding te maken met het CRM-systeem alvorens bij de data te kunnen, vervolgens werkt iedere medewerker in dit systeem, niet met lokaal geïnstalleerde programma’s. Dit maakt dat bedrijven met een CRM veel beter beschermd zijn tegen datalekken en cybercrime.

Wat betekent een CRM op het vlak van databescherming

Het kernprincipe van een CRM is dus het beschermen van de data van uw bedrijf door deze in een beveiligde omgeving te centraliseren zodat uw medewerkers de data niet lokaal op hun eigen computers hoeve te bewaren. Dat dit de kans op datalekken verkleint, moge duidelijk zijn. Maar hoe zit dit nu concreet? Er zijn drie belangrijke pijlers:

Beveiligde cloud omgeving

Ondanks dat er CRM leveranciers zijn die een ‘on premise’ oplossing bieden, is de norm een CRM in ‘de cloud’. Dit is een zwaar beveiligde omgeving zoals u gewend bent van iedere cloud service (Office365, Dropbox, etc.). De gebruiker dient eerst een beveiligde verbinding tot stand te brengen met deze omgeving, alvorens de data te consulteren.

Medewerkers beschikken over uniforme en actuele data

Dankzij één opslagplaats voor alle data, dus ook contactgegevens, beschikken al uw medewerkers over dezelfde data. Aanpassingen gebeuren in realtime. Dit voorkomt dat u gevoelige documenten naar een contactpersoon stuurt die bijvoorbeeld niet meer werkt bij de ontvangende organisatie. Het spreekt voor zich dat dit voor alle data geldt en dat alle afdelingen in het bedrijf hier voordeel bij hebben. Van HR tot boekhouding en van marketing tot klantenservice.

AVG compliant

Een laatste belangrijke pijler is de AVG. Een CRM-leverancier die op Europees grondgebied zijn diensten aanbiedt, dient conform de AVG te zijn. Dit betekent dat indien nodig, u kan voldoen aan de AVG als het aankomt tot het opvragen van persoonlijke gegevens en historiek door belanghebbenden of de Autoriteit Persoonsgegevens.

De ene CRM-leverancier is de andere niet en vereist de juiste begeleiding

Net als bij alle leveranciers, de ene leverancier is de andere niet. Dit is niet ander voor CRM-leveranciers. Ook zijn er tal van verschillende CRM-oplossingen. Oplossingen specifiek voor ZZP’ers, het MKB, grote bedrijven en alles wat daar tussen zit. Een CRM-project is een intensief project wat impact heeft op uw bedrijfsprocessen voor de jaren die komen en op de manier van werken. Onderschat deze digitale transformatie zeker niet! Ik adviseer dan ook om zeker een specialist te consulteren om deze implementatie in goede banen te leiden.

Tot slot nog enkele concrete tips waarop u moet letten bij het kiezen voor de juiste CRM-oplossing voor uw behoeften:

  • Kijk kritisch naar de grootte van uw bedrijf en wat u daadwerkelijk nodig heeft;
  • Kies voor een échte Europese CRM-leverancier met een kantoor in Nederland;
  • Kies voor een CRM-oplossing in ‘de cloud’;
  • Kijk goed naar de kostenstructuur (implementatie- en licentiekosten);
  • Vraag een demo en test de gebruiksvriendelijkheid, u en uw medewerkers moeten er graag mee werken!
  • Neem een specialist onder de arm om uw project op de juiste manier te begeleiden.

Uitstel nieuwe privacymaatregel Apple geen afstel, maar begin van een positieve ontwikkeling

Het zijn boeiende tijden voor DPO’s. De digitalisering heeft een snelheid aangenomen waarbij de ontwikkelingen en veranderingen in hoog tempo elkaar opvolgen. Deze hebben ook impact op de privacy. In mijn vorige blog had ik het over de corona-app ‘CoronaMelder’. Ondertussen is de landelijke uitrol uitgesteld juist vanwege de onzekerheid rond de privacy. Positief ben ik dan ook over de nieuwe privacymaatregel van Apple om de keuze om gevolgd te worden door advertenties in handen te geven van de gebruiker, ondanks dat deze verschoven is naar begin 2021.

De bewustwording rond privacy neemt toe

Als iets de afgelopen tijd toegenomen is, is het wel de bewustwording rond privacy. Door alle ontwikkelingen rond thuiswerken, videoplatformen als Zoom en Teams en alle maatregelen rond corona (temperatuurmeting, app, locatiedeling,…), is iedereen veel bewuster van de impact op zijn of haar privacy. Zo stellen burgers meer kritische vragen, speelt de Autoriteit Persoonsgegevens een veel actievere rol en worden beleidsmakers op de vingers getikt als de privacy onvoldoende is gewaarborgd in beleidsinitiatieven.

Een andere grote groep, de techbedrijven, bleven tot nu toe achter. Hun machtsposities zijn dusdanig groot dat zij zich onaantastbaar waande. Tot nu toe! Techreus Apple kondigde een nieuwe privacymaatregel aan voor zijn nieuwe besturingssysteem iOS 14 dat dit najaar gelanceerd wordt. In de beta versie wordt deze privacymaatregel door Apple ‘tracking’ genoemd.

Nieuwe privacymaatregel Apple legt keuze bij de gebruiker

Maar wat is nu zo baanbrekend dat ik hier enthousiast over ben? Met de nieuwe privacymaatregel legt Apple de keuze bij de gebruiker en niet meer bij de app-bouwer. Het gaat hierbij niet om het delen van locatiegegevens, dit is soms cruciaal voor het gebruik van een app (denk bijvoorbeeld aan GPS apps zoals Waze en Google Maps). Het gaat hier concreet om het volgen van surfgedrag, tracking.

Wat is ‘tracking’

Iedereen kent het wel. U zoekt naar een nieuwe auto, configureert deze op de website en bezoekt nadien een andere website. Op deze andere website ziet u alleen maar advertenties van precies die auto die u zojuist heeft geconfigureerd. Dat is, in het kort, ‘tracking’. Uw surfgedrag wordt gevolgd om gerichte marketingadvertenties voor te schotelen afgaande op het surfgedrag. Het betreft dus louter een commerciële actie, geen functionele. De Europese wetgeving met betrekking tot cookies, want daar gaat het hierover, is zeer strikt, maar laten we eerlijk zijn: u klikt toch ook gemakshalve op ‘alles toestaan’ om zo snel mogelijk naar de website te kunnen?

Niet anders is het met apps

Met apps is het niet anders. Ook hier geeft u, op basis van een pop-up al dan niet toestemming om gepersonaliseerde advertenties voorgeschoteld te krijgen. Sommige apps gaan zelfs zo ver dat u een betaalde versie dient aan te schaffen om überhaupt van advertenties verlost te zijn. Hier gaat het echter over generieke advertenties en niet op basis van tracking.

Wat gaat er nu veranderen in iOS 14

Momenteel bepaalt de app-bouwer hoe en wanneer de gebruiker toestemming geeft om tracking toe te staan. Apple gooit met deze nieuwe privacymaatregel de boel op de schop en geeft de gebruiker de mogelijkheid om in het besturingssysteem per definitie de tracking uit te zetten voor alle apps.

Facebook niet gelukkig met privacymaatregel Apple

Dat deze op het eerste gezicht, kleine verandering een grote impact heeft, werd meteen duidelijk toen Facebook en adverteerders protesteerden. Zij voorspellen dat hun advertentie inkomsten drastisch zullen dalen nu gebruikers met één ‘switch’ alle tracking kunnen uitzetten. Facebook heeft naast Facebook ook Instagram en What’s App, twee andere enorm populaire platformen.

Facebook claimt dat juist hierdoor de kleine adverteerder de dupe zal worden. Iedereen die wel eens een Facebook advertentiecampagne heeft gedaan weet dat segmentatie de kern is van deze functionaliteit.

Het lijkt eerder een wanhopige poging om de publieke opinie te winnen en zo Apple onder druk te zetten. Facebook, marketeers en ondernemers zijn innovatief genoeg om op een andere manier hun doelpubliek te bereiken.

Uitstel is geen afstel, maar het begin van een doorbraak

Apple heeft enkele dagen geleden aangekocht dat deze nieuwe privacymaatregel in iOS 14 wordt ‘verschoven naar begin 2021’. Is dit uitstel een overwinning voor Facebook en de adverteerders? Misschien, maar dan wel een Pyrrusoverwinning. We weten dat als Apple iets introduceert, dat het er zal komen én dat het ook impact zal hebben op de concurrenten. Google, dat al verschillende boetes van privacycommissies heeft ontvangen, zal niet achterblijven om in het ‘strenge’ Europa aan geloofwaardigheid te winnen.

Het belangrijkste element hierin is echter de gebruiker, de Europese burger, maar ook zeker Europese bedrijven die steeds meer bewust worden van privacy en het belang ervan.