Elke werkdag van 08:30 tot 18:00 beschikbaar

Bel ons  085 - 27 33 586
Werken bij  
Hanze advocaat
Werken bij
​Wat als personeelsgegevens op straat liggen? cover

​Wat als personeelsgegevens op straat liggen?

16 september 2025

Waarschijnlijk zag je de aflopen weken de berichten ook voorbijkomen: hackers kregen toegang tot de gegevens van 850.000 mensen die meededen aan het bevolkingsonderzoek baarmoederhalskanker. Deze aanval op Clinical Diagnostics veroorzaakte veel onrust. Het ging om gevoelige medische informatie, Burgerservicenummers en wellicht ook contactgegevens van mensen die dachten veilig en anoniem een test te laten doen.

Dit keer ging het om deelnemers aan het bevolkingsonderzoek. Maar het komt ook voor dat bij een datalek personeelsgegevens op straat belanden. Denk aan het incident bij zorgorganisatie Pluryn van afgelopen zomer, waar een verloren USB-stick informatie bevatte over cliënten én (oud-)medewerkers van de afgelopen vijftien jaar.

Wat betekent zo’n incident voor jou als HR-professional in de zorg? En hoe bereid je je voor op dit soort situaties?

Vertrouwelijke personeelsgegevens binnen HR

Binnen HR werk je dagelijks met privacygevoelige personeelsgegevens. Denk aan:

  • loonstroken, kopieën van ID’s en bankgegevens
  • verzuimgegevens, re-integratieverslagen en medische informatie
  • beoordelingen, waarschuwingen en ontslagdossiers

Medewerkers mogen erop vertrouwen dat deze gegevens vertrouwelijk worden behandeld. Toch gaat het in de praktijk regelmatig mis. Soms door technische storingen of cyberaanvallen, maar vaker nog door menselijk handelen.

Voorbeelden uit de praktijk

Het datalek bij Pluryn werd veroorzaakt doordat iemand een USB-stick met onversleutelde bestanden was kwijtgeraakt. Maar andere voorbeelden zijn:

  • een manager die personeelsdossiers naar zijn privé-mail stuurt
  • een medewerker die medische gegevens via WhatsApp deelt met collega’s
  • systemen waarin autorisaties niet goed zijn ingericht, waardoor dossiers door anderen ingezien kunnen worden

Wat betekent dit arbeidsrechtelijk?

Als personeelsgegevens van medewerkers op straat komen te liggen, leidt dat vaak tot grote onrust. En dat roept vragen op:

  • Is de organisatie aansprakelijk?
  • Mag je een medewerker aanspreken op onzorgvuldig handelen?
  • Hoe ver mag je gaan in het opleggen van sancties?

Het arbeidsrecht biedt geen specifieke regels voor dit soort datalekken. Toch zijn er wel degelijk juridische kaders. Zo moet je vanuit de privacywetgeving zorgvuldig omgaan met vertrouwelijke gegevens, maar valt dit ook onder de wettelijke plicht tot goed werkgeverschap. Als dit misgaat kan dit als ‘ernstig verwijtbaar’ worden aangemerkt.

De rol van HR: vijf dingen die je nu kunt doen

1. Breng risico’s in kaart

Weet je wie toegang heeft tot welke gegevens? Worden er nog USB-sticks gebruikt? Of verzendt men persoonsgegevens per e-mail? Maak een inventarisatie van de grootste risico’s binnen jouw organisatie.

2. Actualiseer het beleid

Veel privacyverklaringen zijn opgesteld met cliënten of patiënten in gedachten. Zorg dat er ook aandacht is voor personeelsgegevens. Denk aan:

  • mail- en wachtwoordbeleid
  • omgang met apps zoals WhatsApp
  • werken op eigen apparaten (BYOD)
  • gedrag op social media

3. Herinner medewerkers aan de gedragsregels

Veel organisaties hebben een gedragscode met privacyregels, maar medewerkers kennen de inhoud vaak niet. Zet vertrouwelijkheid regelmatig op de agenda, bijvoorbeeld in teamoverleggen, bij onboarding of tijdens e-learnings.

4. Wees duidelijk over de gevolgen

Wat gebeurt er als een medewerker vertrouwelijke gegevens deelt, al dan niet opzettelijk? Benoem dit expliciet in je beleid. Zo weet iedereen waar hij aan toe is. Dit voorkomt discussie als je moet ingrijpen.

5. Stel een stappenplan op voor HR bij een datalek

Wat doe je als het toch gebeurt? Wie informeer je, en wat zeg je tegen de betrokken medewerker? Hoe leg je het incident vast? Hiervoor kun je aansluiten bij het algemene datalekbeleid en daar een HR-paragraaf aan toevoegen.

Tot slot

Een datalek met personeelsgegevens is méér dan een privacy-incident. Het raakt direct het vertrouwen van je medewerkers. Vaak heeft dit ook impact op de sfeer binnen teams. Toch zijn veel zorgorganisaties onvoldoende voorbereid.

Het hoeft niet ingewikkeld te zijn. Met een paar gerichte maatregelen kun je veel risico’s beperken. Zorg voor helder beleid, breng je gedragsregels en de vertrouwelijkheid regelmatig opnieuw onder de aandacht en maak een duidelijk plan voor als het misgaat.

Hulp nodig?

Wil je sparren over je HR-beleid rondom datalekken? Of een protocol laten opstellen waarmee je voorbereid bent op incidenten? Bel of mail ons gerust. We denken graag met je mee.

Meld je aan voor de Nieuwsbrief.

Meld je hier aan voor onze nieuwsbrief en blijf op de hoogte.

Icoon
Icoon
Hanze advocaat

Sitemap Privacy- en cookieverklaring Proclaimer

Copyright ©2025 - Hanze advocaat

Webdesign: StandOut