Zorgplichten werkgever voor digitale veiligheid

De werkgever heeft een zorgplicht naar werknemers toe en digitale veiligheid valt daar ook onder. De Cyber Security Raad heeft een handreiking gepubliceerd om organisaties te informeren over de verplichtingen om de cybersecurity goed te regelen.

18 april 2017 | Door redactie

Bijna alle organisaties verwerken gegevens die niet voor andermans ogen bestemd zijn; financiële gegevens, persoonsgegevens, medische informatie en bedrijfsgeheimen. Werkgevers hebben ook zorgplicht voor digitale veiligheid (cybersecurity) en moeten dus maatregelen nemen tegen cybercrime (tool) om te voorkomen dat deze gegevens niet in verkeerde handen komen. Gebeurt dat toch dan is de directie of werkgever hiervoor aansprakelijk. Het is dus zaak dat de digitale veiligheid goed geregeld is.

Ook zorgplichten voor klanten en patiënten

De zorgplichten gelden niet alleen voor eigen werknemers, maar ook voor andere bedrijven of instellingen, patiënten en consumenten. Extra aandacht vraagt de bescherming van persoonsgegevens. Dit zijn gegevens die direct of indirect (door IP-adres of paspoortnummer) leiden naar de identiteit van een persoon zoals een klant. De bescherming van persoonsgegevens wordt geregeld in de Wet bescherming persoonsgegevens. Na 25 mei 2018 wordt deze vervangen door de Algemene Verordening Gegevensbescherming (AVG). Een van de verplichtingen uit de AVG is een adequate cybersecurity.

Voorbeelden van bedreigingen

Om organisaties hierbij te helpen heeft de Cyber Security Raad een handreiking (pdf) uitgebracht. De werkgever heeft zorgplichten op het gebied van cybersecurity, de verwerking van persoonsgegevens en het gebruik van ICT. Voorbeelden van risico’s (tool)  voor de digitale veiligheid zijn:

  • verlies of diefstal van informatiedragers (laptop, usb-stick);
  • hackers op het intranet;
  • besmetting van systemen met malware;
  • onbevoegden die een wachtwoord verkrijgen waarmee ze toegang hebben tot persoonsgegevens;
  • elektronische sloten die worden ontgrendeld zonder sleutel;
  • brand of stroomstoring in datacenters.

De Europese Commissie heeft onlangs een voorstel voor de e-privacyverordening gepubliceerd. Deze verordening staat los van de AVG en vult de AVG aan. In het nieuwsartikel E-privacyverordening vult regels AVG aan vindt u meer informatie hierover. 

 

Bijlagen bij dit bericht

Sterke wachtwoorden
E-learning | VideoCollege 10 minuten
Beveiligen met encryptie
E-learning | VideoCollege 16 minuten