Privacy - Wat niemand over je mag weten

Privacyverklaring voor medewerkers

28-05-2017, 09:35 door Anoniem, 11 reacties
Ik werk bij een verzelfstandigd onderdeel van de Nederlandse overheid. Dit onderdeel verwerkt persoonsgegevens van onder andere burgers en bedrijven en dat doet ze op zich netjes, dat wil zeggen, er wordt zorgvuldig omgegaan met de privacy van die burgers en bedrijven, voor zover ik dat kan inschatten. Er is daadwerkelijk beleid hoe om te gaan met die privacygevoelige gegevens. En er vinden jaarlijkse audits plaats.

Ik ben als burger zelf "klant" van dit overheidsonderdeel, echter, tegelijkertijd ben ik ook medewerker. Als medewerker heb ik de afgelopen jaren moeten constateren dat ze het veel minder nauw neemt met mijn privacy. Zo werden gegevens van mij/over mij verstrekt aan derden zonder mijn medeweten. Ook heel gevoelige gegevens worden buiten het onderdeel verwerkt. Er wordt steeds vaker gewerkt met inhuurde partijen voor kortere of langere klussen, en die partijen krijgen dan de beschikking over grote datasets met personeelsgegevens, zogenaamd "omdat dat nodig is voor het leveren van de dienst". Hetzelfde kan worden gezegd van geoutsourcete onderdelen.

Als ik in mijn organisatie hier vragen over stel (is dit nu echt nodig?) of stelling neem (ik ben niet akkoord dat jullie mijn gegevens aan derden verstrekken of door derden laten verwerken!) merk ik dat dit niet echt wordt gewaardeerd. Omdat ik niet alleen kritisch wil zijn maar ook wil helpen, heb ik voorgesteld om te komen tot een privacyverklaring waarin vastgelegd is hoe ons onderdeel omgaat met de privacy van de medewerkers. Ik weet echter niet of dit soelaas gaat bieden. Ik heb wat onderzoek gedaan en kom ze eigenlijk niet publiek tegen. Of ik kijk/zoek niet goed. Vandaar mijn vragen.

Hoe gaat jullie werkgever om met jullie privacy als medewerker? Heb je er invloed op, al dan niet via breed gemaakte afspraken zoals een privacyverklaring, wat er wel en niet over jou wordt gedeeld met derden? Weet jij waar jou gegevens zich bevinden, wie daar toegang tot heeft (gehad), wie daadwerkelijk die gegevens heeft gezien en hoe je die gegevens daar weer weg krijgt? Heb jij al eens te maken gehad met in jouw ogen onacceptabel gebruik?

Voorbeeld: in ons intranetportalsysteem zitten nog pasfoto's van medewerkers die al 5 jaar geleden met pensioen zijn gegaan...

Wie geeft mij een duwtje in de goede richting! :-)
Reacties (11)
28-05-2017, 20:35 door SecGuru_OTX
Ik kan/wil je wellicht wel iets verder helpen maar heb iets meer achtergrond info nodig.

- aan welke personen binnen je organisatie heb je de vragen gesteld?
- staat er in het beleid hoe lang persoonsgegevens worden bewaard? En met welk doel? (b.v. de pasfoto's)
- welke afspraken zijn er met deze "derden" gemaakt?
- Is er iets van een risk en compliance orgaan?
- Heb je al eens gesproken met de eindverantwoordlijke én de samensteller van het huidige beleid?
- Heb je de AP Checlist al eens doorlopen en getoetst binnen je eigen organisatie?
https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/brochures/bro_orchecklist.pdf
28-05-2017, 21:32 door Anoniem
Het blijft bijzonder (maar helaas komt het veel voor) dat er zorgvuldig wordt omgegaan met gegevens van klanten maar dat over de veiligheid en privacy van de gegevens van eigen medewerkers niet wordt nagedacht. Terwijl het heel simpel is: voor alle organisaties in NL geldt de privacy wetgeving en dat betekent dat als je werk uitbesteedt (zoals loonadministratie en HR advies) je de leveranciers zorgvuldig moet kiezen. Die externe HR medewerker is vast heel netjes maar zijn IT kan lek als een mandje zijn.
Er is dus alle aanleiding om van deze misstanden een melding bij de Autoriteit Persoonsgegevens te doen.
28-05-2017, 23:19 door Anoniem
Probeer in elk geval medestanders te vinden met dezelfde terechte zorgen. In je eentje klokkenluiden is bijna altijd fataal voor je carrière; leidinggevenden die ongelijk krijgen zijn je zelden dankbaar.
29-05-2017, 00:15 door Anoniem
Door SecGuru_OTX: Ik kan/wil je wellicht wel iets verder helpen maar heb iets meer achtergrond info nodig.

- aan welke personen binnen je organisatie heb je de vragen gesteld?
- staat er in het beleid hoe lang persoonsgegevens worden bewaard? En met welk doel? (b.v. de pasfoto's)
- welke afspraken zijn er met deze "derden" gemaakt?
- Is er iets van een risk en compliance orgaan?
- Heb je al eens gesproken met de eindverantwoordlijke én de samensteller van het huidige beleid?
- Heb je de AP Checlist al eens doorlopen en getoetst binnen je eigen organisatie?
https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/brochures/bro_orchecklist.pdf

Dank voor je reactie!

- Ik heb met verschillende mensen gesproken, varierend van verantwoordelijke mensen bij HR en juridische zaken, via onze CSO tot zelfs onze algemeen directeur. Mijn zorgen worden wel herkend maar niet in dien mate erkend dat het tot zichtbare veranderingen heeft geleid.
- Het door mij aangehaalde beleid is van toepassing op opslag en verwerking van gegevens van burgers en bedrijven, niet van medewerkers. Anders gezegd, het beleid is van toepassing op de basisregistraties. Er is ook een privacycommissie aanwezig die adviezen en geschillen behandeld inzake deze basisregistraties. De privacycommissie acht zich niet verantwoordelijk voor de privacy van medewerkers, heb ik gemerkt. Het spreekt voor zich dat medewerkersgegevens geen deel uitmaken van de basisregistraties.
- Inhoudelijk is het lastig om inzicht te krijgen in de afspraken die zijn gemaakt met derden. De databewerkingsovereenkomsten liggen niet voor het oprapen. En navraag resulteert niet in het verstrekken ervan. Mij bekruipt ook het gevoel dat men daar bij die afdelingen weinig waarde aan hecht. Voor zover mij bekend stelt onze organisatie bijvoorbeeld nauwelijks zelf eisen aan de inhoud van bewerkingsovereenkomsten en neemt zij altijd de in mijn ogen veel te ruime variant van de derde partij 1-op-1 over. Daar heb ik voldoende voorbeelden van.
- Ik ben bekend met de AP. Ik heb ze zelfs gebeld met deze vraag. Echter, antwoorden hebben ze niet. Ik zal desalniettemin die checklist eens bekijken. Tnx!
29-05-2017, 09:23 door Anoniem
Verwerking van persoonsgegevens mag uitbesteed worden, maar er moeten wel degelijke contracten voor opgesteld worden, en de uitbestedende organisatie blijft verantwoordelijk voor het resultaat.

Als verzelfstandigd overheidsorgaan besteedt de overheid nu kennelijk verwerking van persoonsgegevens aan jullie uit. Kan dat zonder dat alle burgers daarvan op de hoogte zijn gesteld? Ik denk het wel. Ik denk ook dat jouw organisatie dingen kan uitbesteden zonder alles aan jou te melden.

Ik kan uit je verhaal niet concluderen dat er echt wat aan de hand is. Die foto's van oud-medewerkers zijn slordig maar kunnen los staan van dat uitbesteden. Er lopen mensen rond die heel defensief worden van legitieme vragen, niet omdat ze inhoudelijk iets verkeerd doen maar omdat ze zich te makkelijk aangevallen voelen. Er bestaan soms wezenlijk verschillende stijlen van communiceren die voor argwaan zorgen (als autist weet ik dat tussen autisten en niet-autisten een enorm onbegrip kan ontstaan door verschillende communicatiestijlen, en er zijn meer manieren waarop mensen van elkaar kunnen verschillen).

Ik kan er ook niet uit opmaken dat er niets aan de hand is, je onbehagen kan ook volkomen terecht zijn. Ik heb verhalen gehoord van een HR-afdeling die intern totaal niet toepaste wat ze naar de rest van het bedrijf uitdroegen, en van een bedrijf dat managementtrainingen verzorgde waar het eigen management alles wat ze anderen leerden voor het eigen personeel totaal negeerde. Dat soort dingen komt beslist voor.

Wat is wijsheid? Probeer het wantrouwen niet te ver op te laten lopen, zou ik zeggen. Houd van jouw kant de mogelijkheid open dat het allemaal meevalt en schiet niet in een modus van volledig wantrouwen. Je krijgt meer informatie als er ruimte voor vertrouwen is, en je hebt meer informatie nodig om te weten of je wantrouwen terecht is.

En bedenk wat je eigenlijk wilt weten. Uitbesteding van verwerking van persoonsgegevens mag als er aan de voorwaarden daarvoor is voldaan. Dat het gebeurt is dus niet per definitie ongeoorloofd. Wat ik zou willen weten is of het zorgvuldig genoeg gebeurt, of er goede contracten zijn en of men zich bewust is van de verantwoordelijkheid die men heeft.

Probeer daar op een ontspannen, informele manier achter te komen als dat even kan. Stap niet op hoge poten op de verantwoordelijke af maar meer met een "goh, hoe zit dat eigenlijk?"-achtige benadering. Als je iemand niet op een confronterende manier aanspreekt op zijn verantwoordelijkheid maar een beroep doet op zijn competentie dan zijn veel mensen heel bereid om informatie daarover te delen. Mogelijk is dat al een gepasseerd station door wat er al heeft plaatsgevonden, maar als het aan dit soort dingen kan liggen kan je de communicatie mogelijk weer lostrekken door zelf duidelijk te maken dat je het niet als aanval bedoelde maar een zorg van jezelf weg wilde nemen.
30-05-2017, 15:11 door Vandy
Door Anoniem: Ik werk bij een verzelfstandigd onderdeel van de Nederlandse overheid. Dit onderdeel verwerkt persoonsgegevens van onder andere burgers en bedrijven en dat doet ze op zich netjes, dat wil zeggen, er wordt zorgvuldig omgegaan met de privacy van die burgers en bedrijven, voor zover ik dat kan inschatten. Er is daadwerkelijk beleid hoe om te gaan met die privacygevoelige gegevens. En er vinden jaarlijkse audits plaats.

Ik ben als burger zelf "klant" van dit overheidsonderdeel, echter, tegelijkertijd ben ik ook medewerker. Als medewerker heb ik de afgelopen jaren moeten constateren dat ze het veel minder nauw neemt met mijn privacy. Zo werden gegevens van mij/over mij verstrekt aan derden zonder mijn medeweten. Ook heel gevoelige gegevens worden buiten het onderdeel verwerkt. Er wordt steeds vaker gewerkt met inhuurde partijen voor kortere of langere klussen, en die partijen krijgen dan de beschikking over grote datasets met personeelsgegevens, zogenaamd "omdat dat nodig is voor het leveren van de dienst". Hetzelfde kan worden gezegd van geoutsourcete onderdelen.

Als ik in mijn organisatie hier vragen over stel (is dit nu echt nodig?) of stelling neem (ik ben niet akkoord dat jullie mijn gegevens aan derden verstrekken of door derden laten verwerken!) merk ik dat dit niet echt wordt gewaardeerd. Omdat ik niet alleen kritisch wil zijn maar ook wil helpen, heb ik voorgesteld om te komen tot een privacyverklaring waarin vastgelegd is hoe ons onderdeel omgaat met de privacy van de medewerkers. Ik weet echter niet of dit soelaas gaat bieden. Ik heb wat onderzoek gedaan en kom ze eigenlijk niet publiek tegen. Of ik kijk/zoek niet goed. Vandaar mijn vragen.

Hoe gaat jullie werkgever om met jullie privacy als medewerker? Heb je er invloed op, al dan niet via breed gemaakte afspraken zoals een privacyverklaring, wat er wel en niet over jou wordt gedeeld met derden? Weet jij waar jou gegevens zich bevinden, wie daar toegang tot heeft (gehad), wie daadwerkelijk die gegevens heeft gezien en hoe je die gegevens daar weer weg krijgt? Heb jij al eens te maken gehad met in jouw ogen onacceptabel gebruik?

Voorbeeld: in ons intranetportalsysteem zitten nog pasfoto's van medewerkers die al 5 jaar geleden met pensioen zijn gegaan...

Wie geeft mij een duwtje in de goede richting! :-)
Als je bedrijf een ondernemingsraad heeft: neem eens contact op met één van de leden van de OR; die kunnen het uiteindelijk vanuit een officieel kanaal bespreken met de bedrijfsleiding.
31-05-2017, 12:40 door Anoniem
Privacy is een illusie.
31-05-2017, 16:45 door Anoniem
Adviespunt Klokkenluiders
Maliebaan 72
3581 CV Utrecht

Postbus 10088
3505 AB Utrecht

088 ? 371 30 30 vragen over melden misstanden
https://www.adviespuntklokkenluiders.nl
01-06-2017, 09:23 door Anoniem
Door Anoniem: Adviespunt Klokkenluiders
Maliebaan 72
3581 CV Utrecht

Postbus 10088
3505 AB Utrecht

088 ? 371 30 30 vragen over melden misstanden
https://www.adviespuntklokkenluiders.nl

Haha, wil je nu echt mensen tot politieke zelfmoord drijven? Als je hier een melding doet is het over en uit met je carriere en de rest van je leven, er zijn 'veiligere' meldpunten bij echte onderzoeksjournalisten via TOR.
01-06-2017, 20:43 door Anoniem
Alle organisaties in Nederland waar 50 of meer mensen werken, moeten een klokkenluidersregeling hebben. Hierin moet staan hoe de werkgever omgaat met meldingen van een vermoeden van een misstand. Van echt klokkenluiden is [echter] geen sprake als degene die zo'n misstand wil aankaarten, eerst een interne procedure moet voeren. In haar proefschrift Mensen met macht (Boom, 2007) schrijft Caroline Raat dat dit vaak niet werkt [1].

Het Huis voor Klokkenluiders te Utrecht is een zelfstandig bestuursorgaan, met een adviserende functie en een daarvan onafhankelijke onderzoekstaak, dat komt voort uit de Wet Huis voor klokkenluiders, die in werking getreden op 1 juli 2016.
De antecedenten van de directie en medewerkers van het Huis voor Klokkenluiders worden gescreend en zij zijn als (externe) vertrouwenspersonen gehouden aan een geheimhoudingsplicht.

Indien men de zaak desondanks niet vertrouwd, dan kan men uiteraard ook overwegen om middels het Tor netwerk de Nederlandse pers via Publeaks anoniem in te lichten: https://publeaks.nl/

Wat voor communicatie kanaal of kanalen men wil bewandelen, dat is een individuele afweging die sterk afhangt van de organisatie belangen die spelen en de al dan niet reël ervaren of zelfs de concrete dreiging die daarvan uitgaat.

[1] https://nl.wikipedia.org/wiki/Klokkenluider_(melder_van_misstanden)
02-06-2017, 15:31 door Anoniem
Door Anoniem: Privacy is een illusie.
Er zijn veel verschillende vormen van privacy in verschillende gradaties.
Zo hebben sommige winkels paskamers zodat je een beetje privacy hebt bij het passen van die hippe spijkerbroek.
Heb je een smartphone ja dan lever je een beetje privacy in. Thuis heb je mogelijk best veel privacy mits je geen apparaten met microfoons of camera's in huis hebt. En goede verduisterende gordijnen...
Kortom privacy bestaat wel degelijk en je hebt het grotendeels in eigen hand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.