Data Loss Prevention
Door Legalitadvies.nl
Gepubliceerd Op 18 mei 2020
Wat is Data Loss Prevention?
Data Loss Prevention (DLP) bestaat uit tools en processen die binnen een organisatie de interne en externe communicatiestromen controleren om mogelijke datalekken op te sporen. Een datalek kan bestaan uit het verlies van data, het misbruik van data of ongeautoriseerd toegang tot data. De DLP-software (van bijvoorbeeld Microsoft 365) detecteert (potentiële) schendingen aan de hand van gedefinieerde zoekcriteria.
Elke organisatie kan dus zelf bepalen wanneer bepaalde drempelwaarden worden overschreden. Als de DLP-software een schending van een drempelwaarde detecteert, dan onderneemt de software actie door bijvoorbeeld het tonen van een waarschuwingsmelding (Let op! U staat op het punt om gevoelige informatie te versturen) of zelfs het blokkeren van de toegang van de gebruiker (Vanwege schending van een drempelwaarde is uw account geblokkeerd).
Wat is de gevaarlijke kant van Data Loss Prevention?
Vanuit de optiek van de werkgever is Data Loss Prevention een prima oplossing om het lekken van bedrijfsgevoelige data tegen te gaan. Helaas is het gebruik van DLP-software niet zonder ingrijpende gevolgen en dus ook niet mogelijk voor elke werkgever. Bij het gebruik van DLP-software wordt de werknemer gemonitord door de werkgever. Dit conflicteert met het recht op privacy van de werknemer.
Door de coronacrisis werken 4 van de 9 miljoen werkende Nederlands op dit moment thuis. Bijna elke werkgever wil graag de controle hebben over wat hun werknemers tijdens werktijd aan het doen zijn. Uit een artikel van EenVandaag blijkt dat bedrijven in Amerika hun werknemers al monitoren bij het thuiswerken. Gaat dat ook in Nederland gebeuren?
Wanneer mag Data Loss Prevention toegepast worden?
Een werkgever die zijn werknemers wil controleren, moet voldoen aan de eisen uit onder meer de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). De Autoriteit Persoonsgegevens (AP) beschrijft de 7 belangrijkste voorwaarden voor de controle van werknemers:
- Gerechtvaardigd belang werkgever weegt zwaarder dan privacybelang van de werknemers.
- De controle moet noodzakelijk zijn.
- De werknemer is volledig op de hoogte gesteld van onder andere het doel, het verbod en de wijze van controle.
- De werkgever houdt rekening met het recht op vertrouwelijke communicatie van de werknemers.
- De werkgever vraagt vooraf instemming aan de ondernemingsraad (OR).
- Wordt grootschalig en/of systematisch cameratoezicht ingezet om diefstal en fraude door werknemers te bestrijden? Dan dient de werkgever een data protection impact assessment (DPIA) uit te voeren.
- Is uit de DPIA naar voren gekomen dat de beoogde controle een hoog risico oplevert? En lukt het de werkgever niet om maatregelen te vinden om dit risico te beperken? Dan dient de werkgever te overleggen met de AP voordat hij met de controle van personeel start. Dit wordt een voorafgaande ‘raadpleging genoemd’.
Auteur: Nicky van Tongeren
