Bij veel mkb-bedrijven worden personeelsgegevens vaak onvoldoende beschermd en niet veilig opgeslagen. Dat blijkt uit onderzoek van Van Spaendonck onder 717 mkb-bedrijven tot 50 medewerkers. Dit onveilige gebruik van persoonsgegevens kan leiden tot grote privacy-risico’s voor medewerkers, zoals identiteitsfraude. Ook blijkt dat 35% van deze mkb-bedrijven vaak niet weten welke regels er gelden voor het opslaan en delen van gegevens van sollicitanten en personeel. Goede voorlichting en laagdrempelige inzet van online HR- en salarisapplicaties kunnen risico’s van onveilig gebruik van persoonsgegevens aanzienlijk verminderen.
Gegevens van nieuwe medewerkers onveilig gecommuniceerd
Uit het onderzoek blijkt dat 55% van de respondenten gegevens van nieuwe medewerkers via mail naar het accountants- of administratiekantoor verstuurt. Hierbij worden ook persoonsgegevens meegestuurd, zoals het burgerservicenummer. E-mail is alleen een veilige vorm van communicatie als het encrypted is. Als dat niet het geval is, lopen bedrijven het risico dat de mail met persoonsgegevens in verkeerde handen valt. Dit kan leiden tot identiteitsfraude. Niet voor niets meldt de Autoriteit Persoonsgegevens op haar website dat onbeveiligde e-mail niet meer is toegestaan voor het verzenden van persoonsgegevens.
Personeelsdossiers niet veilig bewaard
Van de respondenten geeft 53% aan dat ze nog steeds een (deels) fysiek personeelsdossier hebben. Bij 11% van deze bedrijven ligt het dossier niet op een afgesloten plek. Fysieke dossiers mogen niet voor iedereen toegankelijk zijn, aangezien deze gevoelige informatie kunnen bevatten.
Bij bedrijven die wel een (gedeeltelijk) digitaal dossier hebben, worden de gegevens in ruim 60% van de gevallen bewaard op een harde schijf of een platform zoals Google Drive. Deze opslagmiddelen zijn minder veilig. Risico’s ontstaan als anderen ook toegang hebben, de gegevens niet versleuteld zijn of een harde schijf bijvoorbeeld gestolen kan worden.
Wettelijke bewaartermijnen niet nageleefd
Bijna 48% van de respondenten is zich niet bewust van de wettelijke bewaartermijnen. Dit leidt ertoe dat personeelsgegevens te lang worden bewaard. In combinatie met de slechte beveiliging van de dataopslag betekent dit dat (voormalig) personeel onnodig het risico loopt dat gegevens in handen vallen van malafide bedrijven of personen.
Onduidelijkheid regels
Dat personeelsinformatie onveilig wordt verstuurd en bewaard, en bewaartermijnen niet worden nageleefd, wordt mede veroorzaakt door onbekendheid met wet- en regelgeving. 35% van de respondenten is onbekend met de regels van privacybewust en informatieveilig werken. 39% van de respondenten geeft weinig tot geen aandacht aan privacy en informatiebeveiliging van medewerkers. In 61% van deze gevallen is onduidelijk wat er van het bedrijf verwacht wordt.