Pantar en privacy
Voor Pantar is het belangrijk dat we veilig en zorgvuldig met de persoonsgegevens van onze medewerkers omgaan. De AVG vraagt van ons maatregelen om dit te kunnen borgen. Daarom zijn we ook in 2022 weer druk bezig geweest om verbeteringen op dit terrein door te voeren. Een verslag van onze activiteiten op dit essentiële onderwerp.
Pantar en privacy
Voor Pantar is het belangrijk dat we veilig en zorgvuldig met de persoonsgegevens van onze medewerkers omgaan. De AVG vraagt van ons maatregelen om dit te kunnen borgen. Daarom zijn we ook in 2022 weer druk bezig geweest om verbeteringen op dit terrein door te voeren. Een verslag van onze activiteiten op dit essentiële onderwerp.
Aandacht voor privacy is binnen Pantar des te belangrijker doordat we werken met een kwetsbare groep van medewerkers, waarbij in het kader van onze doelstelling vaak gevoelige gegevens worden gebruikt. Zo voeren we in opdracht van de gemeente Amsterdam en Diemen het werkgeverschap uit voor WSW’ers. Het ligt hierbij voor de hand dat we voorzieningen vastleggen in het kader van deze wet.
Na de invoering van de Algemene verordening gegevensbescherming (AVG) in 2018 was het tijd om ons beleid te updaten. Dit is dan ook gebeurd, tegelijk met het aanpassen van onze privacystatement. Hierbij is rekening gehouden met het advies van de toezichthouder om rekening te houden met de doelgroep. Daarom hebben we ook – in overleg ook met de OR – in begrijpelijke taal een samenvatting van deze verklaring gemaakt.
Functionaris Gegevensbescherming
De Functionaris Gegevensbescherming (FG) adviseert over, en ziet toe op de naleving van de AVG. Vanaf 2022 heeft Pantar gekozen voor een externe FG. Het afgelopen jaar heeft er veelvuldig overleg plaatsgevonden met de FG. Ook heeft de FG hierover een rapport uitgebracht aan de directeur van Pantar. De belangrijkste conclusie is dat er grote stappen gezet zijn, maar dat verbeteringen op een aantal terreinen nodig zijn bijvoorbeeld als het gaat om het uitvoeren van verplichte DPIA’s (Data Protection Impact Assessment) en het effectief verwijderen van documenten. In de loop van 2023 zullen we daarom DPIA’s gaan updaten/uitvoeren voor de belangrijkste processen en zullen we strakker gaan toezien op het verwijderen van persoonsgegevens die we niet meer nodig hebben.
Beveiliging gegevens
Beveiliging van gegevens maakt een belangrijk deel uit van de AVG. Daarom hebben we al eerder in 2020 besloten om onze automatisering uit te besteden aan een professionele partij en in de cloud te gaan werken. Inmiddels zijn we druk bezig om ook ons documentenbeheer in Teams te organiseren. In 2022 hebben we – om onze beveiliging te laten testen – een zogenoemde Penetrationtest op ons netwerk laten uitvoeren. Naast kleine verbeterpunten kwamen daarin geen noemenswaardige punten naar voren. Naast deze pentest hebben we onze medewerkers ook laten ‘schrikken’ door nep phishing-mail te verspreiden. Hiermee hopen we de alertheid en kennis van medewerkers te vergroten om zo te voorkomen dat hackers van buiten via linkjes of malware in onze systemen komen. Tenslotte hebben we de zogenoemde zeven gouden regels van privacy en security met onze medewerkers gedeeld om hen onder andere te wijzen op het belang van het veilig delen van informatie, het vertrouwelijk houden van wachtwoorden of het tijdig wissen van documenten. Hierbij hebben we dankbaar gebruik gemaakt van ons interne netwerk van privacy-ambassadeurs.
Hack in november
Helaas zijn incidenten nooit 100% tegen te gaan. In november werden wij het slachtoffer van een hack. Hierbij Is data met persoonsgegevens gestolen waarvan een deel met gevoelige persoonsgegevens. Na de hack hebben we onze systemen stilgelegd om verdere besmetting te voorkomen en hebben we met hulp van onze leverancier het systeem gelukkig weer snel d.m.v. goede systeem back-ups hersteld.
Van deze hack hebben we melding gedaan bij de Autoriteit Persoonsgegevens en bij alle betrokkenen. Onderdeel van de hack waren o.a. kopieën van ID-bewijzen waarvan de meeste overigens met een verlopen datum. In overleg met de gemeente Amsterdam hebben we getroffen medewerkers voorzien van een nieuw ID-bewijs.
Vóór de kerst kregen we te horen dat de FBI in samenwerking met Europol erin geslaagd was de servers van de hackers uit te schakelen. Hiermee was het niet langer mogelijk om de gestolen persoonsgegevens te misbruiken. Naar aanleiding van deze hack hebben we direct verbeterpunten doorgevoerd. Denk hierbij aan het verbeteren van de afspraken met onze leverancier of het installeren van software om ongewenste en onbevoegde toegangspogingen te monitoren.