Spelregel: intern en extern delen van persoonsgegevens

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen

Achtergrond

Het Handje en medewerkers van Het Handje hebben toegang tot een grote hoeveelheid informatie. Informatie in de vorm van persoonsgegevens van klanten, maar ook bijvoorbeeld medewerkergegevens of bedrijfsgevoelige informatie.

Het omgaan met die informatie kan soms complex voelen. Welke informatie mag ik als medewerker delen en welke informatie absoluut niet? Hoe deel ik die informatie? Om met dit soort vragen om te kunnen gaan vind je hieronder enkele handvatten. Bij deze handvatten maken we een onderscheid tussen enerzijds het intern delen en het extern delen van informatie, maar ook kijken we daarbij naar het delen van informatie met verschillende groepen betrokkenen: collega’s, klanten en zakelijke relaties zoals opdrachtgevers en influencers.  

Intern delen

Het intern delen van (persoons)gegevens betreft het delen tussen Het Handje-medewerkers onderling. Dit gaat dus niet over de situatie waarbij de gegevens de organisatie verlaten, zoals gebeurt bij het delen van gegevens met klanten of zakelijke relaties, maar ook bijvoorbeeld met externe gastdocenten voor onze Vakschool. Dat de gegevens de organisatie niet verlaten betekent niet dat je zonder voorbehoud alles zomaar kan delen. Een aantal aandachtspunten zijn hierbij van belang:

  • Er is een grote verscheidenheid aan functies en rollen binnen de organisatie. Niet iedereen binnen de organisatie heeft toegang (nodig) tot dezelfde groep aan gegevens.
  • Verzend zo min mogelijk persoonsgegevens in- of toegevoegd aan een e-mail als bijlage. Stuur bij voorkeur een link naar de vindplaats van de gegevens.
  • Toch nodig om gegevens te delen per e-mail?
    1. Beperk de gevoelige gegevens in de e-mail.
    2. Let op wie de ontvangers zijn en of zij allemaal inzicht in de gegevens dienen te hebben.
    3. Beveilig een bestand met een grotere hoeveelheid en/of gevoelige persoonsgegevens met een wachtwoord. Deel dit wachtwoord in een aparte e-mail.

Extern delen

Voor het verzenden van bestanden naar- of het delen van gegevens met externe personen/organisaties is het van belang dat je allereerst nadenkt over of die persoon of organisatie die gegevens wel hoort te krijgen. Een belangrijk onderdeel van de weg naar een antwoord op die vraag, is de vervolgvraag of het voor de betrokkene van wie de gegevens zijn het voorafgaand aan het verstrekken van de informatie aan Het Handje duidelijk en te verwachten was, dat de gegevens voor dat doeleinde verstrekt zouden worden.

Voorbeeld: Een influencer vraagt of zij van het e-mailadres mag hebben van alle klanten die een product gekocht hebben via een link in haar Instagram-bio. In deze situatie moet je je afvragen of de klanten dit kunnen verwachten (bijvoorbeeld omdat dit voorafgaand aan de aankoop te lezen was in de privacyverklaring van Het Handje). Zo niet, dan mag die informatie niet gedeeld worden. Uiteraard is het altijd noodzakelijk om ook een grondslag te hebben voor het verwerken, en dus ook voor het delen van persoonsgegevens. Twijfel? Neem dan contact op met de privacyaanspreekpunten van Het Handje.

Een aantal aandachtspunten die altijd van belang zijn bij het extern delen van persoonsgegevens:

  • Deel nooit zomaar gegevens van bijvoorbeeld klanten of docenten aan de Vakschool met anderen dan de personen zelf, tenzij de informatie reeds publiekelijk toegankelijk is. Bijvoorbeeld omdat de informatie in een publiekelijk toegankelijk docentenoverzicht staat, of terug te vinden is op de website van Het Handje.
  • Ga je gegevens delen per mail delen met meerdere ontvangers? Kijk dan altijd of de ontvangers elkaar al kennen, of moeten kennen. Stuur je een e-mail aan meerdere personen waarvan je niet zeker weet of ze elkaars e-mailadres (moeten) hebben? Deel die informatie dan altijd enkel door de e-mailadressen in de ‘BCC’ te plaatsen in plaats van in de ‘CC’, of het ‘Aan-veld’. Door ze in de ‘BCC’ te plaatsen krijgen alle ontvangers de e-mail, maar zien ze de andere e-mailadressen die in het BCC-veld staan niet. Doe je dit niet, dan is er mogelijk sprake van een datalek. Zie voor meer informatie hierover ook het stuk over datalekken.
    • Indien de inhoud van deze e-mails gevoelig is, moeten ze beveiligd verzonden worden. Denk hierbij aan bestanden waar gegevens van klanten en/of medewerkers in staan. Dit kunnen bijvoorbeeld facturen, mailinglijsten, CV’s en loonstroken zijn. Kies hierbij voor de mogelijkheid van beveiligd e-mailen.
Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Spelregel:_intern_en_extern_delen_van_persoonsgegevens&oldid=214"