U bent hier

Organisatie & Leidinggeven
Wat te doen als personeelsgegevens op straat liggen?
Voor Organisatie & Leidinggeven

Wat te doen als personeelsgegevens op straat liggen?

08 mei 2025

Eind 2024 zijn mogelijk persoonsgegevens van werknemers van Albert Heijn buitgemaakt bij een hack, werd onlangs bekend. Ahold Delhaize, het moederbedrijf van Albert Heijn, heeft de nodige stappen ondernomen. Welke stappen zijn verplicht bij een datalek?

Onder de gelekte gegevens vallen mogelijk namen van werknemers, delen van bankrekeningnummers en de hoogte van salarissen. Behalve bij Albert Heijn zijn er waarschijnlijk ook persoonsgegevens ontvreemd bij Etos en Gall & Gall, die ook onder de paraplu van Ahold Delhaize vallen. Nu kan natuurlijk niet alleen het moederbedrijf van Neerlands grootste grootgrutter slachtoffer worden van een hack of op een andere manier persoonsgegevens verliezen, maar ook kleinere werkgevers.

Persoonsgegevens alleen onder strenge voorwaarden verwerken

De Algemene verordening gegevensbescherming (AVG) definieert persoonsgegevens als ‘alle informatie over een geïdentificeerde of identificeerbare persoon’. Oftewel: gegevens die direct of indirect te herleiden zijn tot een persoon (infographic). Werkgevers mogen persoonsgegevens alleen onder strenge voorwaarden verwerken. Bij ‘bijzondere persoonsgegevens’ – zoals gezondheidsgegevens – zijn die voorwaarden nóg strenger.

Stappen nemen bij een datalek

Als er persoonsgegevens op straat komen te liggen, moet een werkgever snel en zorgvuldig handelen volgens de regels van de AVG. Toezichthouder Autoriteit persoonsgegevens (AP) heeft op een rij gezet welke stappen de werkgever moet nemen:

  • Overzicht krijgen. Hierbij gaat het onder meer om het beoordelen of om wat voor soort datalek het gaat en de details ervan. Een datalek is elke inbreuk op de beveiliging van persoonsgegevens, zoals verlies, diefstal of onbevoegde toegang. Bijvoorbeeld een hack waarbij personeelsdossiers worden gestolen, een onbevoegde die toegang krijgt tot salarisgegevens of een laptop met personeelsgegevens die wordt gestolen.
  • Beperken van gevolgen. Bijvoorbeeld door een gegevensdrager op afstand te wissen of te versleutelen, (werknemers)accounts te blokkeren of een bestand offline te halen.
  • Datalek melden en slachtoffers informeren. Het is verplicht om een datalek binnen 72 uur te melden bij de AP, tenzij het onwaarschijnlijk is dat het lek risico’s oplevert voor de rechten en vrijheden van betrokkenen. Er zijn uitzonderingen op de meldingsplicht. In de melding moet onder meer de aard van het lek, de getroffen gegevens, de gevolgen en genomen maatregelen staan.
    De betrokkenen moeten zo snel mogelijk geïnformeerd worden (tool) als het lek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen (zoals bij identiteitsfraude).
  • Registreren datalek. De werkgever moet het incident documenteren in een intern datalekregister (tool), ook als hij géén melding aan de AP hoeft te doen.

Maatregelen om herhaling te voorkomen

De werkgever behoort ook maatregelen te nemen om herhaling te voorkomen. Dit kunnen technische en organisatorische maatregelen zijn, zoals betere beveiliging, training van personeel of aanpassing van procedures. Houdt een werkgever zich niet aan de regels van de AVG, dan kan de AP hem een boete opleggen (infographic), al gebeurt dit in de praktijk niet snel. Een werknemer kan op zijn beurt een schadevergoeding eisen als hij schade lijdt door het datalek. De ondernemingsraad (OR) heeft geen directe betrokkenheid bij een datalek. Maar als de werkgever na een datalek een regeling rond het verwerken of beschermen van de persoonsgegevens wil invoeren, wijzigen of intrekken, dan heeft de OR hierop instemmingsrecht.