CORONA & AVG: ONLINE VERGADEREN EN VIDEOBELLEN IN 8 STAPPEN

Geschreven door Cathelijne Elassaiss-Schaap

In de coronaperiode wordt veel online vergaderd, vaak met beeld. Het is bijna niet te voorkomen dat daarbij ook persoonsgegevens besproken en/of getoond worden. Denk daarbij ook aan de persoonsgegevens van de deelnemers aan de vergaderingen. Waar moet u rekening mee houden om daarbij te voldoen aan de privacywetgeving (o.a. de AVG)?

Online vergaderen en videobellen, lijkt iets vluchtigs: razendsnel contact tussen twee apparaten. Daarom staan veel mensen er niet bij stil dat de vergadering meestal één grote stroom van persoonsgegevens is: de inhoud van de vergadering/het gesprek (gesproken woorden, beelden en soms bestanden) en alle informatie daaromheen. Hoeveel en welke persoonsgegevens dit precies zijn, hangt onder meer af van het gekozen programma. 

Deze gegevensstroom maakt dat online vergaderen – en zeker met beeld – en videobellen vanuit het privacyrecht best ingewikkeld is. Wat gebeurt er bijvoorbeeld precies met deze informatie en wie krijgt daar toegang toe? In de praktijk blijkt namelijk dat ook bij vluchtig en razendsnel contact de informatie met een kleine omweg kan verlopen, ergens kan worden opgeslagen en/of met derde partijen kan worden gedeeld.

Er zijn heel veel aspecten waarmee je rekening moet houden en die allemaal moeten voldoen aan de eisen van het privacyrecht. Dat zal op het ene punt beter haalbaar zijn dan op het andere. Waar moet u bijvoorbeeld op letten? Een aantal van de belangrijkste punten wordt hierna besproken.

1.         Persoonsgegevens
Kijk eerst naar de persoonsgegevens waarmee u te maken heeft. 

Dit blijkt soms lastiger te zijn dan verwacht. Dat namen, adressen en telefoonnummers persoonsgegevens zijn, is voor veel mensen voor de hand liggend. Sommige persoonsgegevens zijn echter minder gemakkelijk te herkennen. Denk bijvoorbeeld aan ip-adressen, locatiegegevens, beroepen en geslachten. Voor meer informatie over wat persoonsgegevens kunnen zijn, verwijs ik naar mijn artikel ‘Herken persoonsgegevens en voorkom onnodige risico’s en kosten’.

Kijk vervolgens naar het type persoonsgegevens. Dit bepaalt namelijk welke regels precies van toepassing zijn en dus wat wel en niet mag. Voor gevoelige, strafrechtelijke en bijzondere persoonsgegevens gelden bijvoorbeeld extra strenge eisen. Bijzondere persoonsgegevens zijn gegevens over onder meer iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid, seksueel gedrag of seksuele gerichtheid.

2.         Computer/tablet
Vervolgens moet worden gekeken naar de apparatuur die wordt gebruikt. Gebruik apparatuur van de onderneming/organisatie, die niet privé wordt gebruikt. Deze moet vergrendeld zijn met ten miste één sterk wachtwoord maar bij voorkeur meerfactorauthenticatie. Een voorbeeld van dit laatste is de combinatie van een “gewoon wachtwoord” en een eenmalig wachtwoord dat door een app wordt verstrekt.

3.         Netwerk
Maak gebruik van een beveiligd netwerk. Log niet in op openbare netwerken. De risico’s daarvan zijn reëel. Daarom is dit niet verantwoord.

4.         Applicatie/programma
Gebruik een zo veilig mogelijke applicatie (programma). Dit blijkt in de praktijk een uitdaging te kunnen zijn.

Beveiligde applicaties
Sommige beroepsgroepen en bedrijven/organisaties kunnen gebruik maken van applicaties die aan bijzonder strenge eisen voldoen. Denk bijvoorbeeld aan artsen. Heeft u die mogelijkheid? Gebruik deze dan.

Overige applicaties
Kunt u niet over een dergelijk streng beveiligde applicatie beschikken? Dan kan dat lastig zijn. Uit de website van de Autoriteit Persoonsgegevens (de privacytoezichthouder), blijkt dat deze zich dan op het standpunt stelt dat dan moet worden gekeken of het echt noodzakelijk is om op deze manier te vergaderen/videobellen. Is dat het geval? Dan moet vervolgens heel bewust worden omgegaan met de alternatieven. De Autoriteit Persoonsgegevens geeft ten tijde van het verschijnen van dit artikel aan dat FaceTime en Signal over het algemeen als veilige applicaties worden beschouwd. Zij maant hier echter tot voorzichtigheid omdat zij geen van deze apps heeft onderzocht. Dit standpunt van de Autoriteit Persoonsgegevens kan veranderen. Kijk daarom voor de laatste stand van zaken op haar website. 

Let bij de keuze van een programma bijvoorbeeld op het volgende:

  1. worden berichten versleuteld verzonden?
  2. worden er gegevens opgeslagen? Zo ja, welke, hoe lang en waar? Gebeurt dat binnen het werkingsgebied van de AVG of daarbuiten? Wie heeft hier toegang toe? Wat wordt verder met de gegevens gedaan?
  3. heeft u de juiste versie (en niet een oude versie waarvan bekend is dat deze niet op alle punten goed functioneert).

Heel verleidelijk is het om aan te nemen dat omdat een programma bekend is, het ook voldoet aan alle veiligheidseisen. Helaas hoeft dit niet het geval te zijn.

Ook tijdens de vergaderingen/het videobellen zelf (en de voorbereidingen daarvan) moet goed worden opgelet. Ook hier geldt dat hoe gevoeliger de persoonsgegevens zijn, hoe kritischer u moet zijn. Ben onder meer alert op het volgende: 

  1. gebruik zo weinig mogelijk persoonsgegevens (noem bijvoorbeeld zo weinig mogelijk namen);
  2. bespreek zo min mogelijk gevoelige/strafrechtelijke/bijzondere persoonsgegevens (werk bijvoorbeeld met codes voor gegevens waarvan het belangrijk is dat deze kunnen worden genoemd);
  3. gaat het over een bepaalde persoon, dan wil de Autoriteit Persoonsgegevens dat deze – indien mogelijk – wordt geïnformeerd over de privacyrisico’s daarvan;
  4. deelt u tijdens de vergadering/het gesprek bestanden? Bent u niet geheel zeker van de veiligheid van het programma? Deel deze bestanden dan op een andere manier;
  5. wis na elk gesprek de chathistorie.

5.         Toestemming
Vraag uw gesprekspartner(s) om toestemming als dat mogelijk is. Doe dit voorafgaand aan de vergadering/het gesprek en leg deze toestemming schriftelijk vast. Dit hoeft niet in een ingewikkeld document. In het privacyrecht gelden strenge eisen voor toestemming. Dit is te complex om hier uitvoerig te bespreken. Zorg er in ieder geval voor dat de ander precies weet waarvoor hij/zij deze toestemming geeft en wat de privacyrisico’s zijn. 

Wil iemand bij nader inzien niet meer? Dan moet u dit respecteren, ook als dit tijdens het gesprek gebeurt. Dat geldt ook wanneer de wens wordt geuit om geen/niet langer beeld te gebruiken. 

6.         Geen toehoorders/meekijkers
Zorg ervoor dat anderen niet kunnen verstaan wat er wordt gezegd. Wordt er met beeld gewerkt, zorg dan ook dat niemand kan meekijken. Hoe gevoeliger de persoonsgegevens die worden besproken, hoe belangrijker dit is.

7.         Geen onverwachte/ongewenste opnames
Doe geen dingen die de ander niet verwacht, weet of niet wil. Leg beelden dus niet vast, neem het gesprek niet op en laat geen automatische transcriptie van het gehele gesprek maken. Dit is uiteraard anders wanneer dit uitdrukkelijk is afgesproken, maar zelfs dan mag het niet zomaar. 

Op social media komen veel foto’s langs van beeldschermen waarop je alle deelnemers van een vergadering in beeld ziet. Dit is een voorbeeld van iets wat niet zomaar mag. 

8.         Privacyverklaring en register van verwerkingen
Zorg ervoor dat het online vergaderen en/of videobellen is opgenomen in de privacyverklaring en het register van verwerkingen van uw onderneming/organisatie.

Waarom is het belangrijk om aan het privacyrecht te voldoen?
Op het niet naleven van het privacyrecht staan vaak sancties. Dit kunnen boetes zijn (die ver kunnen oplopen) en andere maatregelen. Ook in deze coronaperiode blijft de Autoriteit Persoonsgegevens toezicht houden. Daarom is het belangrijk dat ondernemingen en organisaties ook bij het online vergaderen en/of videobellen voldoen aan de eisen van de privacywet- en -regelgeving.

Heeft u vragen?
Vraagt u zich af of uw manier van vergaderen en/of videobellen aan de privacywet- en -regelgeving voldoet? Of wilt u weten of een voorgenomen manier van vergaderen en/of informatie delen daaraan voldoet? Wij helpen u graag. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.

UPDATE 1 MEI 2020
Sinds het verschijnen van dit artikel heeft de Autoriteit Persoonsgegevens (de privacytoezichthouder) bij een aantal veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Op basis daarvan heeft zij de “keuzehulp privacy videobellen” opgesteld. Het doel hiervan is om videobellers de mogelijkheid te geven zelf te kijken wat belangrijk is in hun situatie en welke app daar het beste bij past. 

Let op: de Autoriteit Persoonsgegevens geeft aan dat zij geen uitgebreid, technisch onderzoek naar de apps heeft kunnen doen. Zij is afgegaan op wat bedrijven zelf zeggen over wat hun videobel-apps doen met gegevens. Verder kan de beoordeling van de Autoriteit Persoonsgegevens in de loop van de tijd veranderen. Raadpleeg daarom voor de laatste stand van zaken haar website.

Cathelijne Elassaiss-Schaap

Cathelijne Elassaiss-Schaap

Advocaat bij Advocatenkantoor Elassaiss

Cathelijne Elassaiss-Schaap is sinds 2000 advocaat. Zij heeft zich gespecialieerd in het ondernemings- en privacyrecht.

Cathelijne adviseert over uiteenlopende onderwerpen. Daarnaast heeft zij ruime ervaring met het voeren van gerechtelijke procedures. Als ondernemer realiseert zij zich dat cliënten behoefte hebben aan duidelijke en praktische adviezen.

Meer informatie over Cathelijne en haar advocatenkantoor vindt u op www.elassaiss.nl.

Onze steun aan mede-ondernemers, daarom geen kosten.

Bekijk de spelregels en de algemene voorwaarden.