Wolters Kluwer
Vaktechniek door Nathanja de Kruijff 13 maart 2019

10 tips voor het veilig omgaan met persoonlijke data

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG, ook bekend onder de Engelse afkorting GDPR) in werking getreden. Als het goed is, heb je voor die datum nagedacht over hoe je met privacygevoelige gegevens omgaat en een beleidsplan gemaakt. Nu is het tijd om je plannen in de praktijk toe te passen en ervoor te zorgen dat ál je collega's/medewerkers voorzichtig blijven omgaan met persoonlijke data. Onze compliance officer Nathanja de Kruijff helpt je op weg met deze blog '10 tips voor het veilig omgaan met persoonlijke data.'

Als boekhouder, accountant of ondernemer heb je veel gevoelige gegevens van je klanten (en als werkgever ook van je medewerkers). Natuurlijk ga je daar zorgvuldig mee om. Maar kleine vergissingen kunnen ervoor zorgen dat jouw data op straat komt te liggen: een datalek. Als dit binnen je bedrijf gebeurt, heb je de plicht dit te melden bij de Autoriteit Persoonsgegevens (AP).

Datalekken zijn namelijk bepaald niet ongevaarlijk. Wanneer persoonsgegevens in de verkeerde handen vallen, kunnen ze worden gebruikt voor allerlei soorten van fraude en oplichting. Zelfs met gegevens als namen, adressen en telefoonnummers kan kwaad worden aangericht, laat staan wat er kan gebeuren met bijvoorbeeld kopieën van identiteitsbewijzen of de belastingaangiftes van je klanten.

Privacy: opslaan van persoonsgegevens

De AVG zorgt ervoor dat mensen meer rechten kunnen uitoefenen om hun persoonsgegevens te beschermen. Als een klant dat wil, moet je hem precies kunnen vertellen wat voor persoonsgegevens je van hem opslaat en hoe lang je deze bewaart. In bepaalde gevallen kan hij of zij je ook verzoeken alles te verwijderen.

Klanten die vinden dat je onzorgvuldig met hun persoonsgegevens omgaat, kunnen een klacht indienen bij de AP. Die kan, als de klacht gegrond is, boetes uitdelen. Er zijn sinds de AVG werd ingevoerd, al duizenden klachten ingediend en ook al wat boetes uitgedeeld. Daarnaast hebben medewerkers recht op bescherming van hun persoonsgegevens.

Meer informatie? Lees ook onze blog over gegevensverwerking onder de AVG.

Onvoorzichtig omgaan met data en persoonlijke gegevens

Goed: het belang van gegevensbescherming is duidelijk. Toch weet nog lang niet iedereen hoe je veilig met persoonsgegevens omgaat. Persoonsgegevens belanden vaak op straat omdat mensen foutjes maken of niet voorzichtig genoeg zijn. Ze vergrendelen hun computers niet als ze even gaan lunchen en laten printjes met allerlei personeels- of klantgegevens bij de printer liggen. Of ze gebruiken gratis cloudsoftware om bestanden op te slaan of te versturen en ze denken dat niemand kan meelezen met een e-mail. Helaas kunnen persoonsgegevens hierdoor in verkeerde handen terechtkomen.

Wees je ervan bewust dat extra handelingen nodig zijn om veilig met privacygevoelige gegevens om te gaan. Dat geldt ook voor je collega's/medewerkers. Elke dag moet daar aandacht voor zijn.

Veilig omgaan met data: 10 tips

De onderstaande tips helpen je om veilig met data en persoonlijke gegevens om te gaan. Tip: download ook onze gratis checklist en verspreid deze onder je collega's/medewerkers (of klanten).

1. Check je e-mails.
Verreweg de meeste datalekken gebeuren door foutjes met e-mailen: een bestand wordt bijvoorbeeld gestuurd naar een verkeerde ontvanger met dezelfde achternaam, of er wordt een tikfout gemaakt in het e-mailadres. Wanneer je privacygevoelige data verzendt, is even dubbel checken zeker niet overbodig. Kijk kritisch naar de inhoud van je e-mails, vooral als je berichten doorstuurt. Welke gegevens staan daar in, en zijn die relevant voor de volgende ontvanger?

2. Wees voorzichtig met e-mailbijlagen.
Een document vol persoonsgegevens als bijlage naar iemand anders e-mailen is niet volledig veilig. Daarom kun je bijlagen met grote hoeveelheden persoonlijke informatie het beste vergrendelen met een wachtwoord. Deel dat wachtwoord niet in de e-mail, maar bijvoorbeeld separaat per sms of telefoon. Vind je dit in bepaalde gevallen ondoenlijk? Maak dan goede afspraken met je klant of je collega's/medewerkers, zodat zij zorgvuldig met de gegevens omgaan en de verwachtingen duidelijk zijn.

Houd daarbij in je achterhoofd dat de AVG altijd uitgaat van een ‘risicogebaseerde aanpak’: hoe groter de privacyrisico’s, hoe meer veiligheidsmaatregelen de AVG van jou verwacht en omgekeerd.

3. Gebruik software om wachtwoorden op te slaan.
Veel verschillende wachtwoorden onthouden is lastig. Veel mensen, waarschijnlijk ook sommige van jouw medewerkers, gebruiken daarom steeds dezelfde wachtwoorden, laten de laptop of smartphone wachtwoorden onthouden of ze slaan ze op in een mail of document. Dat is niet veilig. Er bestaat allerlei software die helpt bij het onthouden van moeilijke maar veilige wachtwoorden, zoals Lastpass of 1Password. Zorg dat iedereen hiermee kan werken en dit vervolgens ook doet.

4. Maak duidelijke afspraken over welke software je als kantoor gebruikt.
In je dagelijks werk gebruik je diverse soorten software. Denk aan software om bestanden te delen, zoals WeTransfer en Dropbox. Goed om te weten: de betaalde versie van Dropbox biedt betere bescherming dan de gratis versie. Betaalde software, zoals Microsoft Office 365, is in veel gevallen veiliger dan gratis software (waarbij je vaak betaalt met je data).

Let op, dit betekent niet dat software waarvoor je betaalt automatisch veiliger is dan gratis software. Dit moet je echt per geval (laten) beoordelen.

5. Print veilig en vergrendel je apparaat.
Print persoonlijke documenten alleen via een printer met een pincode of een persoonlijke pas. Zo kan alleen degene die de documenten heeft afgedrukt, ze ophalen bij de printer. Vraag collega's/medewerkers die met gevoelige data werken hun computer altijd - echt altijd - te vergrendelen als zij er niet achter zitten.

6. Gebruik goede wachtwoorden.
Zorg dat je een goed wachtwoord gebruikt voor het beveiligen van je computer of laptop. Wachtwoorden als ‘welkom1234’ of de naam van je kind zijn niet veilig. Goede wachtwoorden zijn lang en bestaan uit letters, hoofdletters, cijfers en/of speciale tekens. Extra tip: vervang in je wachtwoord bepaalde letters door tekens die erop lijken. Bijvoorbeeld: Ditis€€nG0€d_W@chtw00rd!

7. Werk buiten de deur via een veilige verbinding.
Even in de trein de vergadering voorbereiden? Als je je computer aan een openbaar wifinetwerk verbindt zonder een VPN-verbinding te gebruiken kunnen anderen heel gemakkelijk toegang krijgen tot je laptop en alle bestanden. Verbied het je medewerkers dus om, als zij met de bedrijfslaptop elders werken of in de trein zitten, openbare wifi-netwerken te gebruiken zonder VPN. Het is vaak mogelijk bedrijfssoftware zo in te stellen dat het alleen werkt als er een VPN-verbinding is.

8. Herken hackers en oplichters.
Leer hoe je de trucs van hackers en oplichters kunt herkennen. Kwaadwillenden kunnen zich bijvoorbeeld voordoen als IT-medewerkers en zo per telefoon om inloggegevens vragen. Daar mogen jij en je collega's/medewerkers nooit op ingaan.

9. Wees alert op phishing e-mails.
Train je in het herkennen van phishing e-mails: dat zijn allang geen knullige teksten meer vol taalfouten, maar vaak heel professioneel uitziende e-mails van bedrijven als Apple of ING. Als je de afzender van een mail niet kent of de mail ziet er verdacht uit: klik dan nooit op de links. Wees ook alert als men in een mail om geld of gegevens vraagt of als het verzoek spoed heeft. Open in geen geval bijlagen en voer nooit inloggegevens in via een link uit de e-mail. Je kunt jezelf en je collega's/medewerkers hier alerter op maken door een online training te volgen.

Extra tip: kijk op de website van de Consumentenbond voor diverse voorbeelden van phishing e-mails.

10. Gebruik geen (onbekende) USB-sticks.
Steek nooit een onbekende USB-stick in je computer. Als er een wordt gevonden, laat hem dan onderzoeken door de IT-afdeling, als die er is. Inbreken via een USB-stick is een methode die veel hackers gebruiken.

Tot slot: wat te doen als accountant of ondernemer?

Loop dit jaar je privacyprocessen na en breng waar nodig zaken op orde. Laat privacywerkzaamheden waar je al eerder aan begonnen bent niet liggen. Zie de AVG daarbij als een kans om je bestaande processen te heroverwegen en te vernieuwen. En bedenk dat klanten eerder kiezen voor bedrijven die privacy en databescherming hoog op de agenda hebben staan.

De nieuwste blogs

Wil je automatisch op de hoogte blijven van nieuwe blogs op De online accountant?
Meld je aan en je ontvangt een e-mail met de nieuwste blogs.

Aanmelden blog.png

Onze meest recente blogs:

ICT

PSD2 en de boekhoudkoppeling: 7 voordelen voor jou

Vaktechniek

10 tips voor het veilig omgaan met persoonlijke data

ICT

Gevolgen PSD2 voor accountancy en online boekhouden

Ondernemen

Financieren via je boekhoudpakket, dé oplossing voor het mkb?

ICT

PSD2 en de veiligheid van je data (en die van je klanten)