Gegevensbescherming algemeen
Vertrouwelijke informatie kan worden onderverdeeld in drie categorieën: persoonsgegevens, managementinformatie en bedrijfsinformatie.
Voor alle categorieën geldt dat het belangrijk is om zorgvuldig en vertrouwelijk met deze gegevens om te gaan. Alle informatie die binnen onze onderneming wordt verwerkt heeft waarde. Vertrouwelijke bedrijfsinformatie mag niet worden gedeeld, we zouden hierdoor de positie van onze beursgenoteerde onderneming in gevaar kunnen brengen. Daarnaast wordt er van je verwacht dat je zorgvuldig omgaat met de gegevens die aan ons zijn toevertrouwd door de mensen waarmee we werken.
Onder vertrouwelijke managementinformatie wordt onder meer verstaan informatie over kwesties op het gebied van werknemersrelaties, disciplinaire maatregelen, ophanden zijnde afvloeiingen/inkrimpingen, ontslag, onderzoeken op de werkplek van wangedrag van werknemers, etc. Bekendmaking van deze informatie kan ernstige schade toebrengen aan collega's en onze onderneming.
Vertrouwelijke zakelijke informatie betreft informatie die niet algemeen bekend is bij het publiek en normaal gesproken niet beschikbaar is voor concurrenten. Een paar voorbeelden: bedrijfsprocessen en -methodes, ondernemingsplannen, financiële gegevens, begrotingen en prognoses, computerprogramma's en datacompilatie(s), lijsten van opdrachtgevers/klanten, lijsten van werknemers, lijsten van leveranciers, etc.
Alle vertrouwelijke management- en bedrijfsinformatie moet te allen tijde geheim worden gehouden, zoals ook in je contract is opgenomen.
Privacy
Naast bedrijfs- en managementinformatie worden er dagelijks veel persoonsgegevens verwerkt. Ook hiervoor geldt dat zorgvuldigheid en bescherming zeer belangrijk is. Privacy betekent respect voor personen en hun sociale grenzen. Privacy is van essentieel belang voor het vertrouwen in een (zakelijke) relatie. Als persoonsgegevens niet worden beschermd kan dat ernstige gevolgen hebben voor betrokkenen - zoals schending van iemands privacy of identiteitsfraude – maar ook voor onze onderneming. Denk aan boetes opgelegd door autoriteiten, imagoschade en, door het verliezen van vertrouwen, ook het verliezen van opdrachtgevers. De Algemene Verordening Gegevensbescherming (AVG) biedt de kaders voor het verwerken van persoonsgegevens.
In ons Privacy statement staat hoe we omgaan met persoonsgegevens. Hieronder zetten wij de belangrijkste principes uiteen.
- We verwerken alleen de noodzakelijke persoonsgegevens en hanteren het uitgangpunt van ‘zo min mogelijk’. We verwerken dus alleen de persoonsgegevens die echt nodig zijn voor het doel van verwerking. In interne privacy- en werkinstructies en updates op het intranet wordt aangegeven wat we met persoonsgegevens kunnen doen in specifieke situaties, bijvoorbeeld welke persoonsgegevens wij aan opdrachtgevers mogen verstrekken van onze flexmedewerkers. Iedereen wordt geacht zich aan deze richtlijnen te houden.
- Het geven van informatie (transparantie) over de persoonsgegevens die we van een ieder verwerken en wat we daarmee doen is erg belangrijk. Voor het overgrote deel van onze dienstverlening informeren we een ieder via onze privacy statements. In onze standaard processen en systemen hebben we geborgd dat de privacy statements worden aangereikt op het moment van verkrijging van de persoonsgegevens en dat er kennis van genomen kan worden.
- Als je persoonsgegevens gaat verwerken wil je dat dit veilig gebeurt. Een data privacy impact assessment (DPIA) is een eigen onderzoek naar de risico’s van een bepaalde verwerking van persoonsgegevens op de privacy. Een DPIA is daarom een belangrijk instrument dat standaard wordt ingezet bij nieuwe processen/systemen of een grote wijziging in processen/systemen.
- De registratie van verwerkingen van persoonsgegevens is op grond van de AVG vereist en is erg belangrijk in het kader van onze compliance verplichtingen. Alle verwerkingen van persoonsgegevens zijn hiertoe vastgelegd in het register Privacy Perfect.
- Op grond van de AVG heeft een ieder van wie we persoonsgegevens verwerken verschillende rechten ten aanzien van zijn persoonsgegevens. Het waarborgen van deze rechten staat centraal. Denk hierbij aan het recht om te weten welke gegevens wij over die persoon verwerken en wat we ermee doen, maar ook het recht om gegevens te laten verwijderen of om bezwaar te maken. In onze privacy statements staat welke rechten hoe kunnen worden uitgeoefend. Voor onze flexmedewerkers hebben we een Privacy Portaal ingericht, om dit proces gemakkelijk, maar ook veilig te laten verlopen. Onderaan iedere website staat een link naar dit portaal.
- Een goede beveiliging en bescherming van persoonsgegevens is essentieel, juist ook in dit digitale tijdperk waarin de techniek snel meer mogelijk maakt. Om persoonsgegevens te beschermen, onderwerpen wij onze systemen en leveranciers aan hoge kwaliteitseisen en leggen wij de afspraken die wij hierover maken contractueel - in een verwerkersovereenkomst - vast. Ook zorgen wij dat alleen geautoriseerd personeel toegang heeft tot persoonsgegevens en regelen we bewaartermijnen van persoonsgegevens zoveel als mogelijk centraal in. Onze IT afdelingen bekijken continu hoe een proces simpler, faster, closer én safer kan worden ingericht. Een belangrijk onderdeel van de bescherming van persoonsgegevens is echter ook hoe bewust en nauwkeurig wij zelf op de werkvloer omgaan met de persoonsgegevens, waarmee wij dagelijks werken. In Inception, maar ook in de WoW (Way of Working) en de werkinstructies zijn de richtlijnen opgenomen en we verwachten dat iedereen deze naleeft in de praktijk.
- Een datalek of data incident kan grote gevolgen hebben, zowel voor onze organisatie, maar ook voor de betrokkenen. Het is daarom van groot belang dat het vermoeden van een datalek, maar denk ook aan een beveiligingsincident, zo snel als mogelijk gemeld wordt via Topdesk of telefonisch via de IT helpdesk. Er kan dan direct worden onderzocht welke stappen genomen moeten worden om de risico’s zo snel mogelijk weg te nemen. Een groot deel van de datalekken wordt veroorzaakt door een zogenoemde ‘menselijke fout’, Kijk dus altijd goed naar wie je wat stuurt en doe bij twijfel altijd een extra check.
Samenvattend: belangrijk is dat we allemaal eerlijk, transparant, kritisch, zorgvuldig en discreet met alle persoonsgegevens van iedereen omgaan.
Hieronder vind je nog een aantal praktische tips, die je gelijk in de praktijk kunt toepassen. Help je collega’s door ze hierop te wijzen!
Wel doen
- Zorg ervoor dat vertrouwelijke informatie wordt opgeslagen in het bronsysteem wat hiervoor is bedoeld.
- Zorg dat mappen met vertrouwelijke gegevens niet toegankelijk zijn voor derden (wachtwoord/autorisatie).
- Vertrouwelijke gegevens die op papier worden bewaard moeten worden gearchiveerd in afgesloten kasten.
- Zorg voor een clean desk, zodat er geen vertrouwelijke gegevens rondslingeren.
- Vergrendel je laptop als je je werkplek verlaat.
- Voer vertrouwelijke informatie veilig af (bijvoorbeeld in de shredder of een afgesloten container).
- Als je vertrouwelijke documenten print: wacht tot de printer klaar is en neem de geprinte documenten direct mee.
Niet doen
- Klik niet zonder nadenken op links in e-mails (van onbetrouwbare/onbekende afzenders).
- Neem geen vertrouwelijke documenten mee naar huis.
- Bewaar je inlog van je computer nooit bij je computer.
- Laat je computer nooit onbewaakt in de auto, ook niet voor een paar minuten!
- Bespreek geen vertrouwelijke informatie als derden kunnen meeluisteren.
- Vermijd het werken op de computer als er derden kunnen meekijken of gebruik een privacy scherm.
- Laat nooit aantekeningen op een whiteboard staan wanneer de vergadering is afgelopen.
Handhaving en melding
Wij verplichten je melding te doen van een misstand bij overtreding van wet- en regelgeving, deze gedragscode of onderliggende beleidsregels. In het derde deel van deze gedragscode wordt dit verder uitgelegd.
Overtreding van de gedragscode zal tot (disciplinaire) maatregelen leiden. Zie ook de inleiding van deze gedragscode.
