AVG & videobellen / online vergaderen: de acht stappen

1 mei 2020

Online vergaderen en videobellen gebeurt steeds meer. Waar moet u rekening mee houden om daarbij te voldoen aan de privacywetgeving (o.a. de AVG)?

Online vergaderen en videobellen, het lijkt iets vluchtigs: razendsnel contact tussen twee apparaten. Wat veel mensen zich (daardoor) niet realiseren, is dat deze vergaderingen en videogesprekken meestal grote stromen persoonsgegevens zijn: de inhoud van de gesprekken, de beelden, eventueel gedeelde bestanden, contact- en (soms ook) technische gegevens. 

Door deze gegevensstromen zijn online vergaderen – zeker met beeld – en videobellen privacytechnisch niet eenvoudig. Zo is het bijvoorbeeld de vraag wat precies met deze persoonsgegevens gebeurt en wie hier toegang toe krijgt. Helaas blijkt ook bij een razendsnelle verbinding waarbij gesprekken op grote afstand vrijwel zonder enige vertraging en hapering verlopen, de informatie met een kleine omweg kan verlopen, ergens kan worden opgeslagen en/of met andere partijen kan worden gedeeld.

Het voorgaande betekent dat er heel veel aspecten zijn waarmee rekening moet worden gehouden om bij het online vergaderen en videobellen aan de privacywetgeving te voldoen. Dat zal op het ene punt gemakkelijker zijn dan op het andere. In dit artikel wordt in een aantal stappen de meest belangrijke voorwaarden om privacy verantwoord online te vergaderen en te videobellen, besproken.

Stap 1: Om welk soort persoonsgegevens gaat het?
Het soort persoonsgegevens waarmee u te maken heeft, bepalen voor een groot deel aan welke eisen u bij het online vergaderen/videobellen moet voldoen. Inventariseer eerst met welke persoonsgegevens u te maken zal hebben. Dit blijkt soms lastiger te zijn dan verwacht. Dat namen, adressen en telefoonnummers persoonsgegevens zijn, wordt meestal als voor de hand liggend gezien. Sommige andere persoonsgegevens zijn echter minder gemakkelijk te herkennen. Denk bijvoorbeeld aan ip-adressen, locatiegegevens, beroepen en geslachten. Voor meer informatie over wat persoonsgegevens kunnen zijn, verwijs ik naar mijn artikel ‘Herken persoonsgegevens en voorkom onnodige risico’s en kosten’.

Kijk vervolgens naar het type persoonsgegevens. Dit bepaalt namelijk welke regels precies van toepassing zijn en dus wat wel en niet mag. Voor gevoelige, strafrechtelijke en bijzondere persoonsgegevens gelden bijvoorbeeld extra strenge eisen. Bijzondere persoonsgegevens zijn gegevens over onder meer iemands gezondheid, seksueel gedrag of seksuele gerichtheid, ras of etnische afkomst, religieuze of levensbeschouwelijke overtuigingen en/of politieke opvattingen.

Stap 2: Gebruik een beveiligd netwerk
Maak gebruik van een beveiligd netwerk. Log niet in op openbare netwerken. De risico’s daarvan zijn reëel. Daarom is dit niet verantwoord.

Stap 3: Keuze apparatuur
Gebruik apparatuur van de onderneming/organisatie, die niet privé wordt gebruikt. Deze moet bij voorkeur vergrendeld zijn met meerfactorauthenticatie maar in ieder geval met ten miste één sterk wachtwoord. Een voorbeeld van meerfactorauthenticatie is de combinatie van een “gewoon wachtwoord” en een eenmalig wachtwoord dat door een app wordt verstrekt.

Stap 4: Keuze app
Gebruik een zo veilig mogelijke app (programma). Dit blijkt in de praktijk een uitdaging te kunnen zijn. Hoe streng de beveiliging van een app moet zijn, hangt onder meer af van het type en de hoeveelheid persoonsgegevens.

Streng beveiligde apps
Sommige beroepsgroepen en bedrijven/organisaties kunnen gebruik maken van apps die aan bijzonder strenge privacyeisen voldoen. Denk bijvoorbeeld aan artsen. Heeft u zo’n mogelijkheid? Gebruik deze dan.

Overige apps
Welke app kunt u gebruiken indien u niet kunt beschikken over zo’n streng beveiligde app? Uit de website van de Autoriteit Persoonsgegevens (de privacytoezichthouder) blijkt dat deze toezichthouder zich op het standpunt stelt dat in die situaties eerst moet worden gekeken of het echt noodzakelijk is om op deze manier te vergaderen/videobellen. Is dat het geval? Dan moet vervolgens heel bewust worden omgegaan met de alternatieven. De Autoriteit Persoonsgegevens heeft bij een aantal veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Op basis daarvan heeft zij de “keuzehulp privacy videobellen” opgesteld. Deze is bedoeld om videobellers de mogelijkheid te geven zelf te kijken wat belangrijk is in hun situatie en welke app daar het beste bij past. Let op: de Autoriteit Persoonsgegevens geeft aan dat zij geen uitgebreid, technisch onderzoek naar de apps heeft kunnen doen. Zij is afgegaan op wat bedrijven zelf zeggen over wat hun videobel-apps doen met gegevens. Verder kan de beoordeling van de Autoriteit Persoonsgegevens in de loop van de tijd veranderen. Kijk daarom voor de laatste stand van zaken op haar website. 

Let bij de keuze van een programma bijvoorbeeld op het volgende:

  1. worden berichten versleuteld verzonden?
  2. worden er gegevens opgeslagen? Zo ja, welke, hoe lang en waar? Gebeurt dat binnen het werkingsgebied van de AVG of daarbuiten? Wie heeft toegang tot deze gegevens? Wat wordt verder met de gegevens gedaan?
  3. heeft u de juiste versie (en niet een oude versie waarvan bekend is dat deze niet op alle punten goed functioneert);
  4. kunt u een verwerkersovereenkomst afsluiten?

Heel verleidelijk is het om aan te nemen dat omdat een programma bekend is, het ook voldoet aan alle veiligheidseisen. Helaas hoeft dit niet het geval te zijn.

Ook tijdens de vergaderingen/het videobellen zelf (en de voorbereidingen daarvan) moet men alert zijn. Ook hier geldt dat hoe gevoeliger de persoonsgegevens zijn, hoe kritischer u moet zijn. Let onder meer op het volgende:

  1. gebruik zo weinig mogelijk persoonsgegevens (noem bijvoorbeeld zo weinig mogelijk namen);
  2. bespreek zo min mogelijk gevoelige/strafrechtelijke/bijzondere persoonsgegevens (is het echt nodig deze te bespreken, gebruik dan bijvoorbeeld codes);
  3. gaat gesprek over een bepaalde persoon/personen, dan wil de Autoriteit Persoonsgegevens dat deze – indien mogelijk – wordt/worden geïnformeerd over de privacyrisico’s daarvan;
  4. deelt u tijdens de vergadering/het gesprek bestanden? Bent u niet geheel zeker van de veiligheid van de app? Deel deze bestanden dan langs een andere weg;
  5. wis na elk gesprek de chathistorie.

Let ook op de reputatie van de apps. Deze kunnen afspiegelen op de professionele reputatie van uw bedrijf/organisatie.

Stap 5: Vraag toestemming (als dat mogelijk is)
Als dat mogelijk is, vraag uw gesprekspartner(s) om toestemming. Doe dit voorafgaand aan de vergadering/het gesprek en leg deze toestemming schriftelijk vast. Dit hoeft niet in een ingewikkeld juridisch document. In het privacyrecht gelden strenge eisen voor toestemming. Dit is te complex om hier uitvoerig te bespreken. Zorg er in ieder geval voor dat uw gesprekspartner(s) precies weet/weten waarvoor toestemming wordt gegeven en wat de privacyrisico’s zijn. 

Wil iemand bij nader inzien niet meer? Dan moet u dit respecteren, ook als dit tijdens het gesprek gebeurt. Dat geldt ook wanneer de wens wordt geuit om geen/niet langer beeld te gebruiken. 

Stap 6: Zorg ervoor dat niemand kan meekijken/meeluisteren
Ook praktische aspecten zijn belangrijk. Zorg ervoor dat anderen niet kunnen verstaan wat er wordt besproken. Wordt er met beeld gewerkt? Zorg dan ook dat niemand kan meekijken. Hoe gevoeliger de persoonsgegevens die worden besproken/gedeeld, hoe belangrijker het is dat niemand anders kan meekijken en/of -luisteren.

Stap 7: Maak geen onverwachte/ongewenste opnames
Het is wellicht een open doel, maar doe geen dingen die de ander niet verwacht, niet weet of niet wil. Maak bijvoorbeeld geen opnames, screen shots en laat geen automatische transcriptie van het gehele gesprek maken. Wordt uitdrukkelijk afgesproken dat dit wel zal gebeuren, dan is dit vanzelfsprekend anders, máár zelfs dan mag het niet zomaar. 

Foto’s van beeldschermen waarop je alle deelnemers van een vergadering in beeld ziet, zijn momenteel populair op social media. Dergelijke foto’s zijn echter een voorbeeld van iets wat niet zomaar mag.

Stap 8: Zijn de privacyverklaring en het register van verwerkingen op dit punt actueel?
Het online vergaderen en/of videobellen moet(en) zijn verwerkt in de privacyverklaring en het register van verwerkingen van uw onderneming/organisatie. 

Waarom is het belangrijk om aan het privacyrecht te voldoen?
Op het niet naleven van het privacyrecht staan vaak sancties. Dit kunnen boetes zijn (die hoog kunnen zijn) en andere maatregelen. Om deze reden is het belangrijk dat ondernemingen en organisaties ook bij online vergaderen en/of videobellen voldoen aan de eisen van het privacyrecht. Verder draagt het privacyrechtelijk verantwoord werken bij aan de professionele uitstraling van uw onderneming/organisatie.

Neem vrijblijvend contact met ons op
Wil u weten of uw manier van online vergaderen en/of videobellen voldoet aan de eisen van privacywet- en -regelgeving? Of wilt u weten of een voorgenomen manier van online vergaderen en/of informatie delen daaraan voldoet? Wij helpen u graag. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.

Neem vrijblijvend contact op

0344 – 227 030
info@elassaiss.nl

Neem vrijblijvend contact op

0344 – 227 030
info@elassaiss.nl