van wat wel en niet moet tot giecheltoets
Hoe lang mag je gegevens archiveren in Jobport? Mag je een account delen en is inloggen met extra controlestap verplicht? Vragen die Jobport regelmatig krijgt sinds de invoering van de AVG. Een antwoord op deze en nog een paar prangende vragen rondom privacy.
Hoe lang archiveren?
In Jobport staan persoonsgegevens van je cliënt. Jij mag die als loopbaanadviseur volgens de AVG zo lang bewaren als noodzakelijk. Doorgaans is dat zo lang je iemands loopbaanadviseur bent. Daarna is er geen noodzaak meer. Overigens moet je vooraf laten weten aan een cliënt hoe lang je gegevens bewaart. Dat kan bijvoorbeeld op je website. Op jobport.nl/privacy staat ook dat wij gegevens niet langer bewaren dan noodzakelijk.
Inloggen met extra controlestap verplicht?
De AVG verplicht je niet tot extra beveiligingsmaatregelen voor inloggen. Ook een wachtwoord-beleid rondom je inlog, zoals regelmatig wisselen van wachtwoord of verplichte tekens, is niet verplicht. Toch is het slim om een beleid te hebben. Want mocht je bijvoorbeeld een keer gehackt worden, dan is het handig om te kunnen aantonen dat je dit had. Je moet zo’n beleid wel communiceren. Stuur bijvoorbeeld een mail met wachtwoord-instructies naar medewerkers. Safe spelen is slim. Als je wilt, kun je een extra controlestap toevoegen in Jobport. Dat doe je via ‘instellingen’ en ‘login-beheer’ in Jobport.
Een account delen?
In de verwerkingsovereenkomst van Jobport staat dat iedereen die met Jobport werkt een eigen account moet hebben. Zo kunnen collega’s de persoonsgegevens van elkaars cliënten niet zien. Wel zo netjes. Dit is een ISO-eis. Jobport heeft een ISO-certificaat waardoor de eis ook voor onze klanten geldt. AVG eist het niet expliciet. Maar een apart account per medewerker verhoogt wel je accountability. Dus mocht er ooit iets misgaan met persoonsgegevens, dan kun je checken op welk account dit was. Goed om te kunnen laten zien aan bijvoorbeeld de Autoriteit Persoonsgegevens.
Kandidaten op je beeldscherm
Als je inlogt op Jobport kunnen cliëntgegevens zichtbaar zijn. Anderen mogen die volgens de AVG niet zien. Ook hier geldt dat bewustheid hiervan een belangrijke stap is om je te verzekeren dat je er zorgvuldig mee omgaat. Zorg dus dat alle collega’s op de hoogte zijn dat dit niet mag, bijvoorbeeld via een mail of presentatie. En draai bijvoorbeeld alleen je scherm als er geen persoonsgegevens van een ander zichtbaar zijn. Mocht je ooit inspectie krijgen, dan wordt ook gelet op hoe het kantoor eruit ziet. Is je scherm bijvoorbeeld moeilijk voor anderen te zien, dan is dit al voldoende om aan te tonen dat je hier verantwoord mee omgaat. Moeilijker hoef je het niet te maken.
Giecheltoets
Ten slotte, de leukste regel: de giecheltoets. Dat wil zeggen: neem de regels serieus en maak het niet te bont. Gaat er iemand lachen als je uitlegt hoe een wet of verordening toegepast moet worden, dan sla je waarschijnlijk de plank mis. Klinkt simpel en het werkt.