Wat heeft een vertrekkende medewerker te maken met de bescherming van gegevens?

Verwijderen van alle bedrijfsgegevens en persoonsgegevens die bescherming behoeven

Wat heeft een vertrekkende medewerker te maken met de bescherming van gegevens?

Ieder bedrijf heeft te maken met vertrekkende medewerkers. Soms vertrekt een medewerker uit vrije wil, bijvoorbeeld om een volgende stap in zijn carrière te zetten, soms gaan werkgever en werknemer niet in goede harmonie uit elkaar. Een vertrek kan problemen met de bescherming van gegevens met zich meebrengen en daarmee de bescherming van persoonsgegevens en bedrijfsgeheimen in gevaar brengen.

Werkgevers moeten er daarom voor zorgen dat aan voormalige medewerkers geen rechten en rollen meer zijn toegekend die hen de mogelijkheid bieden om toegang te blijven krijgen tot gegevens van het bedrijf. Het kan zinvol zijn om het proces van offboarding exact te definiëren en een checklist te gebruiken, die bij het vertrek van een medewerker kan worden nagelopen en afgevinkt.

Daarbij moet goed naar de IT-rechten en toegangsrechten van de betreffende medewerker worden gekeken. Uiterlijk op het moment dat het dienstverband eindigt, moeten alle (toegangs)rechten worden ingetrokken, gedeactiveerd en/of verwijderd. De toegangsrechten van medewerkers die al voor het einde van het dienstverband worden vrijgesteld van werkzaamheden, moeten al op het moment van vrijstelling worden ingetrokken en/of gedeactiveerd.

Bedrijfsgegevens worden ook steeds vaker in de cloud bewaard en zijn vaak via het internet toegankelijk. De werkgever moet zich er dan van vergewissen dat de vertrekkende medewerker niet meer op afstand middels zijn wachtwoorden toegang tot gegevens kan krijgen waarop hij geen toegang meer zou moeten hebben.

IT-systemen moeten zo zijn aangelegd en beveiligd dat medewerkers zichzelf geen toegang tot het systeemlandschap kunnen verschaffen en daardoor ook na hun vertrek nog toegang tot het systeem kunnen krijgen. In ieder geval het deactiveren en in het beste geval ook verwijderen van alle accounts moet deel uit maken van het offboarding proces.

Het is ook belangrijk dat de medewerker alle mobiele apparaten die de werkgever hem ter beschikking heeft gesteld, teruggeeft. Daarmee worden mobiele telefoons, tablets, notebooks etc. bedoeld. Als de werkgever zijn vertrekkende medewerker de mogelijkheid biedt om bijvoorbeeld zijn smartphone of notebook te houden, dan moet de werkgever zich ervan vergewissen dat de bedrijfs- en persoonsgegevens die zich daarop bevinden zijn verwijderd. Ook hiervoor moet een proces worden ontwikkeld en bij het verwijderen van accounts moet de IT-afdeling worden ingeschakeld. Apps waarmee toegang tot bedrijfsnetwerken wordt verkregen of die in de cloud staan, moeten worden gedeactiveerd.

Als de vertrekkende medewerker ook op zijn eigen apparaten heeft gewerkt, naar het motto “bring your own device", moet de werkgever zich er ook van vergewissen dat de bedrijfsgegevens op de eigen apparaten worden verwijderd. Ook voor het verwijderen van deze gegevens moet de IT-afdeling van het bedrijf worden ingeschakeld. Er moet op worden toegezien, dat ook werkelijk alle bedrijfsgegevens en persoonsgegevens die bescherming vereisen worden verwijderd.

Heeft u vragen over dit onderwerp, neemt u dan contact op met Romy Latka, informatietechnologie-recht/ functionaris gegevensbescherming. Desgewenst staan ook onze advocaten arbeidsrecht Gisela Surmann, Anja Romijnders en Torsten Viebahn tot uw beschikking.

 

 

 

#gegevensbescherming #werknemer #persoonsgegevens #bedrijfsgeheimen #werkgever #bedrijfsgegevens #offboarding #it_toegangsconcept #toegangsrecht #account_gedeactiveerd

 

 

  • gepubliceerd : dinsdag, 14 juli 2020