Veel mkb-bedrijven slordig met personeelsgegevens
Bij veel mkb-bedrijven worden personeelsgegevens vaak onvoldoende beschermd en niet veilig opgeslagen. Zulk onveilig gebruik kan leiden tot grote risico’s voor medewerkers, zoals identiteitsfraude.
Dat blijkt uit onderzoek van bureau Van Spaendonck onder ruim zevenhonderd mkb-bedrijven met maximaal vijftig medewerkers. Ruim een derde (35 procent) van deze mkb-bedrijven weet vaak niet welke regels er gelden voor het opslaan en delen van gegevens van sollicitanten en personeel.
Volgens Van Spaendonck verstuurt 55 procent van de respondenten gegevens van nieuwe medewerkers via e-mail naar een accountants- of administratiekantoor. Daarbij worden ook persoonsgegevens meegestuurd, zoals BSN-nummers.
E-mail is alleen een veilige vorm van communicatie als het encrypted is, benadrukt het bureau. Als dat niet het geval is, lopen bedrijven het risico dat de mail met persoonsgegevens in verkeerde handen valt. Dat kan leiden tot identiteitsfraude, reden waarom de Autoriteit Persoonsgegevens op haar website aangeeft dat onbeveiligde e-mail niet meer is toegestaan voor het verzenden van persoonsgegevens.
Personeelsdossiers niet veilig bewaard
Van de respondenten geeft 53 procent aan dat ze nog steeds een (deels) fysiek personeelsdossier hebben. Bij 11 procent van deze bedrijven ligt dat dossier niet op een afgesloten plek. Fysieke dossiers mogen niet voor iedereen toegankelijk zijn, aangezien die gevoelige informatie kunnen bevatten.
Bij bedrijven die wel een (gedeeltelijk) digitaal dossier hebben, worden de gegevens in ruim zestig procent van de gevallen bewaard op een harde schijf of een platform zoals Google Drive. Deze opslagmiddelen zijn minder veilig, aldus Van Spaendonck. Risico’s ontstaan als anderen ook toegang hebben, de gegevens niet versleuteld zijn of een harde schijf bijvoorbeeld gestolen kan worden.
Wettelijke bewaartermijnen niet nageleefd
Bijna 48 procent van de respondenten is zich niet bewust van wettelijke bewaartermijnen, wat maakt dat personeelsgegevens te lang worden bewaard. In combinatie met een slechte beveiliging van de dataopslag loopt (voormalig) personeel daardoor onnodig risico dat gegevens in handen vallen van malafide bedrijven of personen.
Dat personeelsinformatie onveilig wordt verstuurd en bewaard, en bewaartermijnen niet worden nageleefd, wordt mede veroorzaakt door onbekendheid met wet- en regelgeving. Zo geeft 39 procent van de respondenten weinig tot geen aandacht aan privacy en informatiebeveiliging van medewerkers. In veel gevallen is onduidelijk wat er van het bedrijf verwacht wordt.
Goede voorlichting en inzet van online HR- en salarisapplicaties kunnen risico’s van onveilig gebruik van persoonsgegevens aanzienlijk verminderen, aldus Van Spaendonck.
Gerelateerd
Eerste Kamer heeft na oproep NBA nog vragen over nieuwe privacywet
De Eerste Kamer wil aanvullende vragen stellen aan het kabinet, over de gevolgen voor accountantscontroles in de zorg van het wetsvoorstel voor de Verzamelwet gegevensbescherming.
NBA luidt noodklok over controles in de zorgsector
De NBA heeft grote zorgen over een wetsvoorstel dat op dit moment in de Eerste Kamer behandeld wordt. De beroepsorganisatie vreest dat, als dat wetsvoorstel in de...
Privacyboete voor kredietbeoordelaar om verzamelen data
Kredietbeoordelaar Experian heeft een boete van 2,7 miljoen euro gekregen voor het overtreden van de privacyregels. Het bedrijf verzamelde te veel gegevens en bracht...
Nederlanders weten nog weinig van privacyrisico's rondom AI
Nederland staat wereldwijd op een zesde plaats, wat betreft kennis over cybersecurity en online privacy. Zorgelijk is dat maar heel weinig Nederlanders zich bewust...
Belastingdienst mag gegevens 'toeval-Amerikanen' aan VS geven
De Belastingdienst mag gegevens van Nederlanders die ook de Amerikaanse nationaliteit hebben, verstrekken aan de Amerikaanse belastingdienst. Het delen van de gegevens...