Een groot aantal Nederlandse Bedrijven riskeert een boete, omdat ze onbewust de Algemene Verordening Gegevensbescherming (AVG) overtreden. Velen gebruiken pdf-bestanden om Bijzondere Persoonsgegevens van werknemers en sollicitanten te delen. Dat zijn onbeveiligde bestanden, wat ze ongeschikt maakt om gevoelige en vertrouwelijke informatie mee te verspreiden. Verder lopen bedrijven het risico dat ze hierdoor reputatieschade oplopen.

Daarvoor waarschuwt Menno Weij, privacydeskundige bij BDO Taks & Legal.

Pdf-bestanden brengen ‘aanzienlijk privacyrisico’ met zich mee

Bij veel bedrijven is het volgens hem vanzelfsprekend om pdf-bestanden te gebruiken om resultaten van assessments van werknemers en sollicitanten te delen. Dergelijke documenten staan vol met Bijzondere persoonsgegevens, zoals gezondheidsinformatie. Een pdf-bestand is dan niet de beste manier om dergelijke, gevoelige gegevens te verspreiden.

“Een pdf is geen beveiligd bestand en kan vaak ongecontroleerd, oneindig gekopieerd en verspreid worden, binnen of buiten de organisatie. Dit vormt een aanzienlijk privacyrisico. Het is een onderwerp dat vaak over het hoofd wordt gezien, maar grote gevolgen kan hebben”, zo zegt Weij.

AVG verplicht bedrijven om ‘passende en specifieke’ maatregelen te nemen

Nergens in de AVG staat dat het verboden is om een pdf te gebruiken om de resultaten van een assessment te delen. Wel verplicht de Europese privacywetgeving om ‘passende en specifieke maatregelen’ te nemen om bijzondere persoonsgegevens te verwerken en beschermen. De invulling daarvan laat de AVG over aan gegevensverantwoordelijke.

“Met betrekking tot assessmentresultaten betekent dit dat het zeer lastig, zo niet onmogelijk, is om te garanderen dat de gegevens van een individu verwijderd worden als dat individu daarom vraagt, simpelweg omdat een organisatie niet kan bijhouden waar de gegevens allemaal naartoe zijn gegaan”, aldus Weij.  

Bedrijven riskeren privacyboete en reputatieschade

De privacyexpert waarschuwt dat het gebruiken van pdf-bestanden om persoonsgegevens te delen ernstige consequenties kan hebben voor bedrijven. Allereerst riskeren bedrijven dat ze een boete van de Autoriteit Persoonsgegevens krijgen, omdat ze onvoldoende technische en organisatorische maatregelen nemen om deze informatie te beschermen.

Een ander risico dat bedrijven lopen, is dat ze aanzienlijke reputatieschade oplopen. “Stel je voor wat het voor je bedrijf zou betekenen als je naam in de krant zou verschijnen met het nieuws dat de bijzondere persoonlijke gegevens van je sollicitanten op straat liggen. De financiële gevolgen daarvan, om nog maar te zwijgen over mogelijke massaclaims, kunnen aanzienlijk zijn”, zo zegt Weij.

‘Denk goed na over verwerking bijzondere persoonsgegevens’

De privacyexpert denkt dat er betere methoden zijn om bijzondere persoonsgegevens op een veilige en verantwoorde manier te delen. Als voorbeeld noemt hij HTML-links. IT’ers kunnen deze URL’s deactiveren als een medewerker of sollicitant zijn toestemming om zijn of haar gegevens te verwerken intrekt. Of als de IT-systemen zijn gehackt.

“Ik zou organisaties daarom willen aanraden om goed na te gaan hoe hun assessmentprovider met de gegevens omgaat, hoe ze deze delen en wat ze doen wanneer individuen hun toestemming voor het opslaan van hun (bijzondere) persoonsgegevens willen intrekken”, zo sluit Weij zijn betoog af.