Toelichting regeling ICT- en informatiegebruik
Algemeen
Het doel van deze regeling is om:
• het niet aan werk gerelateerd gebruik van door de VRR beschikbaar gestelde voorzieningen te begrenzen;
• het beschermen en beveiligen van systemen en informatie van de VRR;
• de persoonlijke levenssfeer van betrokkenen waarvan persoonsgegevens zijn opgenomen in een of meer persoonsgegevensverwerkingen te beschermen tegen misbruik van die gegevens en tegen opslag van onjuiste gegevens;
• te voorkomen dat persoonsgegevens die in een persoonsgegevensverwerking zijn opgenomen voor een ander doel worden gebruikt dan waarvoor deze bestemd zijn.
De digitale werkomgeving biedt medewerkers mogelijkheden die een zeker risicobesef vragen. Deze regeling bevat daarom regels over de gebruiksmogelijkheden van de digitale werkomgeving, het online gedrag en een bewuste omgang met de risico’s.
De regeling is een uitwerking van goed ambtenaarschap en wat de maatschappij mag verwachten van een medewerker van de VRR. Medewerkers moeten zich hieraan houden en zijn hierop aanspreekbaar. In eerste instantie zal de leidinggevende samen met het Hoofd ICT toezien op de naleving van de regeling. Daarnaast vinden controles plaats. Niet naleving van deze regeling kan leiden tot maatregelen.
De regeling beschrijft het gewenste gedrag van de medewerker bij het gebruik van de digitale werkomgeving en VRR-informatie. Ook de VRR als werkgever is aan regels gebonden: goed werkgeverschap en bescherming van de persoonlijke levenssfeer zijn van belang.
De eigen verantwoordelijkheid van medewerkers
Voor de medewerkers gaat het niet alleen om wat mag en niet mag: van groot belang is ook de eigen verantwoorde-lijkheid van de medewerkers. Hiervoor wordt verwezen naar de daartoe opgestelde regels.
Informatiegebruik en -beveiliging onder het flexibel werken.
Het flexibel werken, plaats- en tijdonafhankelijk, is steeds in ontwikkeling en vraagt continue aandacht voor informatiebeveiliging. Beveiligingsrisico’s zijn er op verschillende vlakken:
Mens
Het gedrag van de mens is vaak de zwakste schakel. Apparaten kunnen onbeheerd achtergelaten worden, een PC wordt soms niet goed beheerd en kan besmet zijn met malware of virussen. Datadragers (USB-sticks, CD-roms) kunnen kwijtraken. Een bericht kan naar een verkeerde ontvanger worden gestuurd.
Toegang tot informatie
De toegang tot informatie en bedrijfsapplicaties is op afstand beschikbaar gesteld. Toegang met alleen naam en wachtwoord is eenvoudig te kraken.
Locatie
Openbare locaties (bijvoorbeeld horecagelegenheden, flexibele kantoorgebouwen) vergroten het risico op mee-luisteren of meekijken door kwaadwillenden. Niet zakelijke ICT- middelen kunnen onveilig zijn.
ICT-middelen
Voor bijvoorbeeld laptops en PC’s geldt dat huisgenoten kunnen meekijken en mogelijk zelfs kunnen inloggen.
ThuisPC’s kunnen in een lokaal netwerk zijn opgenomen en benaderd worden vanaf een andere werkplek, mogelijk zelfs via een onbeveiligde draadloze verbinding. Bij verlies of afvoer van oude apparatuur kan data achterblijven en worden achterhaald.
Verbindingen
De verbindingen, als WiFi, kunnen worden afgeluisterd en data kan worden onderschept.
Ofschoon de risico’s nieuw lijken zijn er geen principiële verschillen tussen:
- toegang en gebruik van informatie binnen of buiten de kantooromgeving;
- digitaal gebruik of gebruik van analoog/papieren dossier.
Het is in de kern dus de feitelijke context waarin organisatie en medewerkers weer nieuwe antwoorden moeten vinden. Hierbij is het zaak dat ieder zich bewust is van de risico’s en daarin ook nadrukkelijk de eigen verantwoordelijkheid neemt. Dit geldt voor de organisatie, die beveiligingsmaatregelen moet nemen en kaders moet stellen, en voor medewerkers, die de maatregelen en kaders in acht moeten nemen en attent moeten blijven op de bestaande beveiligingsrisico’s.
Artikelsgewijze toelichting
Hieronder volgt een toelichting op een aantal artikelen.
Artikel 1 Begripsbepalingen
Beveiligingsincident
Hier wordt de integriteit van de gegevens en niet de integriteit van de medewerker of organisatie bedoeld.
Elektronische informatie- en communicatiefaciliteiten
Met sociale media wordt gedoeld op toepassingen als WhatsApp, Facebook, Twitter, LinkedIn, YouTube, Instagram en alle vergelijkbare communicatie toepassingen. Ook blogs, forums en reacties op interne en externe websites vallen hieronder.
VRR-informatie
Hiermee wordt bedoeld alle informatie die de medewerker beschikbaar heeft of bewerkt voor het uitvoeren van zijn functie voor de VRR. Ook informatie waar de medewerker toegang toe heeft maar welke niet nodig is voor de uitvoering van zijn functie valt onder dit begrip.
De informatie kan zich bevinden in een systeem of in ongestructureerde vorm bestaan zoals in documenten, audio en beeld, e-mails en social mediaberichten of op websites van de VRR. Zo valt bijvoorbeeld een WhatsApp bericht aan collega’s over een dossier, ook als die met een privé-telefoon is verzonden, onder het begrip VRR-informatie.
ICT-middelen
In de definities wordt onderscheid gemaakt tussen ICT-apparatuur (bijv. computer, laptop, telefoon, tablet) en elektronische informatie en communicatiemiddelen. De ICT-apparatuur omvat ook de daarop geplaatste software en bestanden. Alles tezamen wordt aangeduid als ICT-middelen.
Medewerker
Onder ‘degene die betaalde of niet betaalde werkzaamheden voor (een onderdeel van) de VRR verricht’ wordt onder andere verstaan: een externe medewerker, een stagiair en een vrijwilliger.
Artikel 2 Gebruik van ICT-middelen en VRR-informatie
De werkgever kan op basis van zijn gezagsbevoegdheid voorwaarden stellen aan het gebruik van ICT-middelen en informatie of bepaalde soorten gebruik verbieden.
Artikel 2, lid 2
Het verbod om de ICT-middelen aan een ander ter beschikking te stellen, betreft zowel betaald als onbetaald ter beschikking stellen. Het is vanzelfsprekend wel toegestaan om de telefoon en dergelijke onder toezicht even te laten gebruiken door een collega.
Artikel 2, lid 6
Medewerkers mogen bij de uitvoering van hun functie gebruik maken van privé ICT-middelen. Denk hierbij aan mobiele (privé)apparatuur en aan het werken vanuit huis. De medewerker heeft de verantwoordelijkheid om bij het gebruik van privé ICT-middelen de voorschriften uit deze regeling in acht te nemen.
Concreet gaat het om het tegengaan van ongewenst gebruik, het zorgen voor goede beveiligingsmaatregelen, het voorkomen van een onnodige belasting van het netwerk en meewerken aan controles. Dit geldt ook in het geval dat de medewerker bij uitvoering van zijn functie gebruik maakt van een privé ICT-middel waar hij geen eigenaar van is.
Artikel 2, lid 7
De medewerker heeft een eigen verantwoordelijkheid om te voorkomen dat er VRR-informatie verloren gaat door het gebruik van (privé) mobiele ICT-middelen. Het gaat hierbij om gebruik van bijvoorbeeld WhatsApp, Facebook, Twitter, LinkedIn, YouTube, Instagram en alle vergelijkbare communicatietoepassingen.
Een social media bericht dat is opgesteld uit hoofde van een functie bij de VRR, is VRR-informatie. Dit is ongeacht met welk account of welk social media platform het bericht is verstuurd of ontvangen en waar het social media bericht wordt bewaard.
Artikel 2, lid 8
In het achtste lid wordt het ongewenst gebruik omschreven. Dit is geen uitputtende opsomming.
Artikel 2, lid 10
Waar het achtste en negende lid vooral zien op de inhoud van de -ongewenste- informatie, ziet het tiende lid vooral op risico’s en belasting van het netwerk. Hierbij valt te denken aan het downloaden van te omvangrijke bestanden, het versturen van een mail aan een te grote groep van tegelijk geadresseerden of het geautomatiseerd doorsturen van een mail naar een extern e-mailadres. Ook het privé mailadres is een extern e-mailadres.
Artikel 2, lid 12
Zorgvuldigheid en integriteit zijn de kernbegrippen van het gebruik. De boodschap is eenvoudig en veelomvattend: ga zorgvuldig om met de ICT-middelen en de informatie van de VRR. Deze zorgvuldigheid is vergelijkbaar met begrippen als “goed medewerker”. Onderdeel van deze zorgvuldigheid is het bepaalde in het dertiende lid waarin is opgenomen dat medewerkers het privacy- en informatiebeveiligingsbeleid in acht nemen.
De zorgvuldigheid geldt zeker ook voor het gebruik van sociale media, e-mail-, internet- en telefoonfaciliteiten (zoals Whatsapp, SMS en alle vergelijkbare communicatietoepassingen). De medewerker gaat hier verstandig mee om, is transparant over diens betrokkenheid bij de VRR en meldt negatieve berichtgeving bij de leidinggevende.
Artikel 2, lid 13
Het dertiende lid ziet op de beveiliging als onderdeel van de gebruiksnormen. Hier betreft het vooral reeds genomen maatregelen die gerespecteerd moeten worden. Deze gebruiksnormen worden op verschillende momenten en via verschillende kanalen aan de medewerker aangereikt. Daar waar nodig kan ondersteuning of aanvullende opleiding worden aangevraagd. De informatiebeveiligingsaspecten worden verder uitgewerkt in artikel 3.
Artikel 2, lid 15
Als er sprake is van een reis naar een land met een hoog risico op digitale spionage of cybercriminaliteit, is het in beginsel niet toegestaan om ICT-middelen en VRR-informatie mee te nemen of te gebruiken. Tenzij er sprake is van voorgenomen gebruik binnen de Europese Unie vraagt de medewerker bij gebruik van ICT-middelen of VRR-informatie vooraf bij de Servicedesk na of het land waar het gebruik zal plaatsvinden een hoog risico op digitale spionage of cybercriminaliteit heeft. De Servicedesk maakt voor reizen naar die landen een veiligheidsadvies waarin aanwijzingen staan over alternatieve ICT-middelen en waar ter plaatse rekening mee moet worden gehouden. Voorbeelden van hoog risicolanden zijn o.a. China, Rusland en Iran.
Artikel 3 Toegang tot en beveiliging van informatie.
Artikel 3, lid 1
Het eerste lid regelt dat de medewerker alleen die informatie mag benaderen, waarvan hij weet of moet weten dat hij daar toegang tot heeft. Fouten in autorisaties of beveiliging betekenen niet dat de informatie vrij is.
Artikel 3, lid 2
In het tweede lid wordt ingeval van wijziging van functie van de medewerker de verantwoordelijkheid bij de leidinggevende gelegd om de toegang tot VRR-informatie aan te passen. Maar mocht het toch niet goed zijn gegaan dan rust ook op de medewerker de plicht om actie te ondernemen.
Artikel 3, lid 5
De medewerker is verplicht bij gebruik van een privé ICT-middel de VRR-informatie over te dragen. Denk hierbij bijvoorbeeld aan een Woo-verzoek, aan de uitvoering van de Archiefwet 1995 en aan integriteitsonderzoeken.
Artikel 3, lid 6
Met ‘de regels die hieromtrent zijn of worden opgesteld’ wordt ten tijde van het opstellen van deze Regeling, het VRR Protocol Melding en Afhandeling Datalekken van oktober 2017 bedoeld. Dit protocol is te vinden op intranet.
Artikel 3, lid 7
De algemeen directeur is bevoegd om noodmaatregelen te nemen ingeval van dringende redenen. Uitgangspunt is dat de algemeen directeur deze maatregelen neemt, maar ook de CIO en het Hoofd ICT zijn hiertoe bevoegd. Het Hoofd ICT zal bij afwezigheid vervangen kunnen worden door het Hoofd IM.
Het bovenstaande ziet bijvoorbeeld op de situatie dat vertrouwelijke informatie of gegevens in verkeerde handen dreigen te vallen, doordat bijvoorbeeld een telefoon of laptop is kwijtgeraakt of gestolen. Dan bestaat de mogelijkheid om alle informatie op afstand te wissen. Dit geldt dan ook voor de privé-informatie die op het ICT-middel is opgeslagen. Ook kan een dergelijke noodmaatregel worden toegepast op privé-middelen.
Het spreekt vanzelf dat er voldoende aanleiding moet zijn voor het nemen van een dergelijke maatregel. Dit vergt een afweging door de algemeen directeur. Indien deze niet beschikbaar is, is de CIO respectievelijk het Hoofd ICT hiervoor aangewezen.
De algemeen directeur, de CIO of het Hoofd ICT heeft, indien dit noodzakelijk is, ook de bevoegdheid een account te blokkeren, hetgeen erop neerkomt dat de medewerker zijn werkomgeving niet meer kan benaderen.
Artikel 4 Controle en algemene bepalingen
Artikel 4, lid 1, onder b tot en met d
Controles dienen in redelijke verhouding te staan tot de belangen van de medewerker en de gebruikte middelen mogen niet een verdergaande inbreuk maken op die belangen dan strikt noodzakelijk (proportionaliteit en subsidiariteit). Steeds zal hiertoe een belangenafweging moeten plaatsvinden. Het doel rechtvaardigt dus niet een continue controle en daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de medewerker.
In beginsel zal de controle op naleving slechts steekproefsgewijs en geanonimiseerd mogen geschieden. De uitzonderingen hierop worden uitgewerkt in artikel 5. Indien de (steekproefsgewijze) controle de toegang tot informatie betreft, is het noodzakelijk hierbij authenticatie en/of autorisatiegegevens te betrekken. Deze gegevens zijn niet geanonimiseerd.
Artikel 4, lid 1, onder e
Daar waar de hiervoor genoemde controles slechts beperkte inbreuk op de privacy maken, ligt dit anders indien er sprake is van een redelijk vermoeden van integriteitschending of niet naleven van deze regeling. In dat geval zijn, afhankelijk van de omstandigheden, aanvullende maatregelen noodzakelijk. Het uitgangspunt blijft dat de controle zo beperkt mogelijk wordt gehouden. Indien daartoe zwaarwegende redenen zijn, kan de controle ook gericht plaats-vinden. Dit wordt uitgewerkt in artikel 5 en kan persoonsgegevens en de inhoud van bestanden of berichtenverkeer betreffen.
Artikel 4, lid 2
Controles vragen altijd om een specifieke afweging vooraf. Controles vinden daarom als regel plaats in opdracht van de algemeen directeur. De algemeen directeur omschrijft bij zijn opdracht duidelijk het doel van de controle.
In het kader van het beheer van de ICT-middelen kan ook de CIO opdracht geven voor controle-activiteiten op de ICT-middelen waarover hij het beheer voert. Dit zal echter nooit de inhoud van communicatie of bestanden kunnen betreffen. De algemeen directeur omschrijft bij zijn opdracht duidelijk het doel van de controle.
Artikel 4, lid 6
Controles kunnen ook betrekking hebben op privé ICT-middelen die zakelijk worden gebruikt. De medewerker is verplicht mee te werken aan de controles. Vanzelf spreekt dat daarbij de controleregels van de artikelen 4 en 5 in acht genomen moeten worden, rekening houdend met de eigendomssituatie van de ICT-middelen. Hierbij geldt in het bijzonder dat:
- de doeleinden van de controles beperkingen stellen aan de omvang en wijze van controle (art 4, lid 1); en
- privébestanden zoveel mogelijk worden ontzien (art 4, lid 5).
Artikel 4, lid 7
Geconstateerd kan worden, dat een medewerker zich niet houdt aan de bepalingen van de regeling. Is dat het geval, dan moet de leidinggevende de medewerker hier zo spoedig mogelijk op aanspreken. Een bepaalde tijd voor de opbouw van het dossier is toegestaan indien de omstandigheden daartoe aanleiding geven. Indien de medewerker op zijn handelen in strijd met de regeling wordt aangesproken, is het noodzakelijk dat hij gewaarschuwd wordt voor de (rechtspositionele) gevolgen bij continuering van dit gedrag.
Artikel 4, lid 8
Op grond van artikel 17 van de Wet op de ondernemingsraden hebben de leden van de ondernemingsraad (OR) ten behoeve van hun OR werkzaamheden het recht om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken.
Op communicatie van en aan OR-leden in functie zijn de algemene wettelijke regels over vertrouwelijke communicatie van toepassing. Ook de inhoud van het overig ICT-gebruik is geprivilegieerd. Hiervan mag de algemeen directeur in beginsel geen kennisnemen. Het betreft hier echter geen absoluut verbod. Er kan van worden afgeweken in bepaalde situaties, waarbij men kan denken aan het lekken van geheime of vertrouwelijke stukken.
Artikel 4, lid 9
In sommige systemen zitten controlemechanismen ingebouwd in het kader van informatiebeveiliging en/of ter bescherming van de privacy van burgers. Hier valt bijvoorbeeld te denken aan geautomatiseerde logging in andere systemen. Logginggegevens geven informatie over “het bezoek” aan een bestand: welke gegevens zijn bekeken of opgevraagd etc.
Artikel 5 Gerichte controle
Artikel 5, lid 1
Gerichte controle houdt in dat op persoonsniveau wordt gecontroleerd, waarbij controle op inhoud van e-mail of bestanden kan plaatsvinden. De controles kunnen zijn gericht op:
- een persoon, waartegen concrete verdenkingen bestaan, zoals bijv. signalen van omkoping of fraude; of
- (de oplossing van) een ontstaan probleem, zoals bijvoorbeeld gelekte geheime of vertrouwelijke informatie.
Een gericht onderzoek kan plaatsvinden in het kader van de in artikel 7, eerste lid onder b en e genoemde doelen: het voorkomen van onrechtmatig gebruik dan wel misbruik van de ICT-middelen en VRR-informatie alsmede het beveiligen van het systeem en het netwerk respectievelijk het nemen van maatregelen bij integriteitschendingen.
De beperkingen, genoemd in artikel 4, eerste en tweede lid, zijn hierop van overeenkomstige toepassing:
- de controle wordt zo beperkt mogelijk gehouden (gerichte controle mag niet structureel zijn, maar is altijd tijdelijk);
- de controle moet in een redelijke verhouding staan tot het doel waarvoor deze wordt aangewend (er moet sprake zijn van zwaarwegende belangen van de VRR);
- het doel van de controle moet vooraf duidelijk worden omschreven.
Ingevolge het eerste lid van artikel 5 vindt gerichte controle slechts plaats indien een medewerker wordt verdacht van het niet naleven van deze regeling of indien er sprake is van een redelijk vermoeden van integriteitschending. Om de zorgvuldigheid hierin te waarborgen regelt het tweede lid dat de controle alleen kan plaatsvinden in opdracht van de algemeen directeur, die hiervoor advies vraagt van de Integriteitsfunctionaris en CIO. Ook moet de FG worden geïnformeerd vanwege zijn toezichthoudende taak op de uitvoering van de privacyregels.
Artikel 5, lid 2 en 3
Het derde lid geeft een uitzondering op het tweede lid: in het kader van het beheer van de ICT-middelen kan ook de CIO opdracht geven voor controle-activiteiten op de ICT-middelen waarover hij het beheer voert. Dit zal echter nooit de inhoud van communicatie of bestanden kunnen betreffen. Indien sprake is van een beveiligingsrisico en/of datalek zullen, indien dat noodzakelijk is, de CIO respectievelijk de FG opdracht kunnen geven tot een dergelijke controle. Ook in deze situaties dient het doel van de controle voorafgaand duidelijk omschreven te worden.
Artikel 5, lid 4 en 5
Vindt gerichte controle plaats, dan dient de betrokken medewerker ingevolge lid 4 vooraf te worden geïnformeerd en om zijn reactie gevraagd.
Deze informatieplicht kan volgens art. 41 Uitvoeringswet AVG worden opgeschort voor zover dit noodzakelijk en evenredig is ter waarborging van:
a. de nationale veiligheid;
b. landsverdediging;
c. de openbare veiligheid;
d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e. andere belangrijke doelstellingen van algemeen belang van de Europese Unie of van Nederland, met name een belangrijk economisch of financieel belang van de Europese Unie of van Nederland, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
f. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
g. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen, bedoeld in de onderdelen a, b, c, d, e en g;
i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen; of
j. de inning van civielrechtelijke vorderingen.
Het noodzakelijkheids- en evenredigheidsvereiste van artikel 41 AVG dwingt tot een expliciete afweging ingeval niet vooraf wordt geïnformeerd. In dat geval moet altijd achteraf worden geïnformeerd dat een onderzoek heeft plaatsgevonden. (Ook indien bij het onderzoek geen afwijkingen zijn geconstateerd!)
Bij integriteitsonderzoeken kan het noodzakelijk zijn om bestanden (bijv. ook e mailboxen) tijdelijk apart te plaatsen om nader onderzoek mogelijk te maken.
Artikel 7 De verwerking van persoonsgegevens van medewerkers.
Artikel 7, lid 1
Vanwege privacy vereisten is het noodzakelijk om de doelen van het verwerken van persoonsgegevens en het uitvoeren van controles vooraf vast te stellen. In het eerste lid wordt aan deze eisen voldaan.
Artikel 7, lid 2
Voor wat betreft de informatie over het gebruik van ICT-middelen verdient vooral het gebruik van communicatiefaciliteiten aandacht. Denk bijvoorbeeld aan alle bezochte internetadressen die worden vastgelegd of een telefoonregistratie die alle telefoonnummers bevat. Dit betreft veelal geautomatiseerd verwerkte gegevens, die in eerste aanleg alleen verkeersgegevens betreffen (dus welke IP-adressen van computers of welke telefoonnummers), Koppeling van deze verkeersgegevens aan een persoon is echter een mogelijkheid, bijvoorbeeld in het kader van gerichte controle.
Ook e-mail en WhatsApp verkeer (en die van andere vergelijkbare producten) valt onder de opsomming. Dit betreft niet alleen de verkeersgegevens hiervan, maar mogelijk ook de inhoud van de mails of bijvoorbeeld WhatsApp berichten. Vanzelf spreekt dat privé berichten zo veel als mogelijk worden ontzien.
Artikel 7, lid 4
Het is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is zes maanden.
In het geval van een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van ICT-middelen en VRR-informatie of in geval van een integriteitsschending worden de gegevens bewaard zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een medewerker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens verwijderd.
Artikel 7, lid 6
Bepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back-ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back-up een individueel e mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet meer worden verstrekt (verwerkt).
Artikel 8 Rechten van de medewerker.
In dit artikel worden de rechten van de medewerkers bij het verwerken van persoonsgegevens behandeld. De rechten van betrokkenen worden geregeld in de artikelen 12 tot en met 22 AVG. De rechten van de medewerker kunnen buiten toepassing gelaten worden in bijzondere omstandigheden als vastgelegd in artikel 41 van de Uitvoeringswet AVG. Bijvoorbeeld indien dat nodig is in het belang van de voorkoming, opsporing en vervolging van strafbare feiten.
Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden.
Een medewerker die het niet eens is met de verwerking van zijn persoonsgegevens kan daartegen bezwaar maken bij de algemeen directeur. Indien een medewerker het niet eens is met de beslissing van de algemeen directeur kan hij op grond van artikel 77 AVG een klacht indienen bij de Autoriteit Persoonsgegevens.