Met de digitalisering en de mogelijkheden van thuiswerk beschikken werknemers meer en meer over computerapparatuur, zoals laptops, tablets en smartphones.
In sommige organisaties gebruiken werknemers zelfs hun eigen apparatuur (BYOD), zoals hun persoonlijke smartphone, laptop, ….
In de meeste gevallen echter, wordt er gewerkt met de apparatuur die de werkgever de werknemer ter beschikking stelt, zoals een laptop en een smartphone.
Vroeger was het ter beschikking stellen van bijvoorbeeld een laptop en een smartphone aan werknemers voorbehouden tot personeel in de buitendienst, zoals verkopers, consultants, etc.
In een vorige blogpost, Data als intellectuele eigendom en privacy, werd reeds kort aangehaald dat data meer en meer een ruilmiddel is geworden in de zogenaamde gratis economie.
Hierbij kunnen we denken aan hetgeen gebeurt in het social media landschap, waar online diensten “gratis” ter beschikking worden gesteld aan de gebruiker; maar weliswaar staan deze gebruikers in ruil bepaalde gegevens af aan de aanbieder van deze diensten.
Tot deze gegevens behoren o.a. locatiegegevens, webpage clicks, etc.
Maar soms betreft het ook directe persoonsgegevens, zoals bepaalde voorkeuren, contactgegevens zoals e-mailadressen, mobiele telefoonnummers, etc.
In deze blogpost zal kort worden ingegaan of persoonsgegevens al dan niet kunnen worden vermarkt als handelswaar.
Een klant, de verzoeker, vraagt inzage in de dossiergegevens die ook persoonsgegevens bevat van een huisgenoot of van een kennis, of vraagt een wijziging uit te voeren in die dossiergegevens.
Op aandringen en om sociale redenen geeft de medewerker aan de verzoeker deze toegang of voert de gevraagde verwerking uit, hoewel de verzoeker geen mandaat voorlegt dat hij of zij toegang tot dergelijke gegevens mag hebben of de gevraagde verwerking mag laten uitvoeren.
Klinkt deze use-case bekend? Helaas komt dit soms vaker voor dan men denkt.
Het komt in de praktijk immers voor dat medewerkers van organisaties gevraagd worden, zonder dat een mandaat wordt voorgelegd, om verwerkingen uit te voeren in de gegevens van een andere persoon dan de gegevens van de verzoeker.
De vraag is of een medewerker op een dergelijke vraag mag ingaan?
Privacy wordt in haar praktische uitvoering heel vaak benaderd vanuit 2 invalhoeken, te weten de technische invalshoek en de juridische invalshoek.
Dit is heel goed te merken aan de achtergrond van vele DPO’s, die ofwel een achtergrond hebben in informatica, aangevuld met bijkomende certificaten zoals CISO ofwel een juridische achtergrond hebben, al dan niet met een specialisatie in IT-recht.
Nochtans is privacy en het beschermen van de persoonsgegevens meer dan enkel maar regels of informatica.
Uit de praktijk blijkt dat het blokkeringspunt, niet altijd het gebrek aan regels is of dat de genomen beveiligingsmaatregelen en de geïmplementeerde informatica-architectuur ontoereikend is, maar wel de mensen zelf.
Organisaties maken hoe langer hoe meer gebruik van artificiële intelligentie om sommige taken uit te voeren. Hierbij kunnen we bijvoorbeeld denken aan het analyseren van documenten, het opstellen van rapporten, maar ook voor hun klantenservice.
Voorbeelden hiervoor zijn te vinden bij bekende consultancy bedrijven, een fastfoodketen, een fintech bedrijf, in de medische sector, en zelfs bij de overheid.
Echter het gebruik van AI-tools is niet zonder gevaar.
Er duiken meer en meer gedocumenteerde gevallen op waarbij het AI-systeem, doorgaans gaat het hier om Generatieve AI-systemen of GenAI, onbestaande zaken fabriceren.
In sommige gevallen worden zelfs werken en uitspraken toegewezen aan mensen die deze werken (d.i. uitgegeven wetenschappelijke boeken) en uitspraken nooit hebben gedaan.
Organisaties hebben soms vaak de neiging om zich enkel te focussen op “Quick wins”.
Is, in het kader van de bescherming van persoonsgegevens, zich louter focussen op “quick wins” wel een goed idee?
Wat zijn “Quick wins”?
Quick wins zijn snel implementeerbare verbeteringen die men aanbrengt aan, doorgaans kleine, tekortkomingen bij de bescherming van persoonsgegevens.
Organisaties opteren hier o.a. voor om te kunnen aantonen dat zij wel “iets” ondernemen om tekortkomingen te verbeteren, en dat zij de privacy van de personen wiens persoonsgegevens ze verwerken au-serieux nemen.
Grote organisaties maken vaak iedere 3 tot 5 jaar beleidsplannen op waarin zij hun voorgenomen intenties kenbaar maken voor de eerstkomende 3 tot 5 jaar, zowel aan hun medewerkers als aan derden.
Deze beleidsplannen beschrijven hoe de organisatie de toekomst ziet, welke doelstellingen zij voor ogen heeft, en hoe zij zal trachten deze doelstellingen te verwezenlijken.
Zij bevatten ook een reden waarom de organisatie welbepaalde doelstellingen probeert te verwezenlijken.
M.a.w. een beleidsplan is een instrument voor planning, de verantwoording van de voorgenomen intenties en de communicatie aan de stakeholders van de organisatie.
Privacy en planning
Organisaties die veel (gevoelige) persoonsgegevens verwerken zouden ook een Privacy beleid moeten hebben.
In de praktijk rond privacy komt men doorgaans 2 tendensen tegen.
Enerzijds zijn er de informatici, meestal met een achtergrond in security, zoals CISO gecertificeerde IT-mensen, en anderzijds zijn er de pure regelgeving georiënteerde beoefenaars, doorgaans juristen of advocaten die een certifiering als DPO hebben bekomen.
In de praktijk komt men echter weinig mensen tegen die privacy benaderen vanuit een holistisch perspectief.
M.a.w. mensen die niet enkel rekening houden met security noch met regelgeving, maar ook met organisatie, beleid, processen en cultuur.
Wanneer we praten over de bescherming van persoonsgegevens dan denkt men doorgaans aan de GDPR (AVG). Maar zijn dit de enige regels die van toepassing zijn?
De GDPR is niet de enige bron waar het verwerken van persoonsgegevens wordt gereglementeerd.
Zo regelt bijvoorbeeld de Telecom wet dat verkooppunten van telecomdiensten geen identificatiegegevens of kopieën van identiteitsdocumenten mag bewaren, of deze gegevens voor een ander doeleinde mag gebruiken dan de identificatie van de telecomabonnee.
Bronnen met regels ter bescherming van persoonsgegevens
Tot de verschillende bronnen waar men regels kan vinden over de bescherming van persoonsgegevens kan men o.a. rekenen:
specifieke wetten;
beslissingen van de geschillenkamer;
beslissingen van de rechtbanken en hoven.
Dit betekent dat naargelang het landschap waarin uw organisatie en activiteit opereert, de complexiteit van regels waaraan u wordt onderworpen complexer wordt.
U dient dan als bedrijfsleider of verwerkingsverantwoordelijke niet alleen rekening te houden met de GDPR, maar ook met deze andere regels. Uw risico om een inbreuk te plegen op de bescherming van de privé-sfeer van de personen wiens gegevens u verwerkt wordt bij niet naleving van deze specifieke regels vergroot.