Onderzoeksvraag
Welke wettelijke (AVG) en ethische kaders moet ik borgen bij het verzamelen van gegevens en het uitvoeren van de phishingtest?
1. Wettelijke basis: gerechtvaardigd belang (AVG art. 6(1)(f))
De phishingtest valt onder de AVG omdat er persoonsgegevens worden verwerkt. Bodegro heeft gekozen voor de rechtsgrond 'gerechtvaardigd belang' (artikel 6, lid 1, sub f AVG), onderbouwd via een Legitimate Interest Assessment (LIA). Daarbij is afgewogen dat:
- Het belang van cybersecurity-awareness zwaarder weegt dan de beperkte privacy-impact.
- De test transparant en zonder negatieve gevolgen is voor medewerkers.
- De verwerking noodzakelijk is om realistisch gedrag te meten bij phishing.
De Data Protection Impact Assessment (DPIA) benoemt mogelijke risico’s, zoals het gevoel van controle of privacy-inbreuk, en beschrijft maatregelen zoals dataminimalisatie, geen bijzondere persoonsgegevens, veilige opslag, en transparantie achteraf. De DPIA is goedgekeurd door de Functionaris Gegevensbescherming (FG) en de directie.
2. Dataminimalisatie en beperking van gevoelige data
Bodegro volgt het AVG-beginsel van dataminimalisatie (artikel 5):
- Er is uitsluitend informatie verzameld die openbaar en relevant is.
- Bijzondere persoonsgegevens (gezondheid, religie, politieke voorkeur) zijn expliciet uitgesloten.
- Afgeschermde profielen en besloten groepen zijn niet benaderd.
- Alle gegevens zijn tijdelijk opgeslagen op een versleutelde Bodegro-VM en na afloop volledig verwijderd.
Een strikte procedure werd gevolgd (zie bijlage Richtlijn Dataminimalisatie), met een checklist per medewerker en systematische controle op gevoelige data.
3. Ethische uitgangspunten
Naast de juridische kaders zijn ethische principes gehanteerd:
- Proportionaliteit: Alleen wat strikt noodzakelijk was, werd verwerkt.
- Geen schade: Geen confronterende inhoud of sancties voor medewerkers.
- Positieve framing: De phishingmail (paaseitjesactie) had een vriendelijke, luchtige toon.
- Vrijheid: Medewerkers waren vrij in hun reactie (melden of niet).
- Geen individuele rapportage: Resultaten zijn uitsluitend op geaggregeerd niveau gedeeld.
De keuze om géén gepersonaliseerde phishingmails te versturen, ondanks beschikbare OSINT-data, is expliciet genomen vanuit ethisch oogpunt en na overleg met de begeleiders.
4. Transparantie en communicatie
Transparantie was essentieel in de afronding van het onderzoek. Uitgevoerd volgens het communicatieplan (zie bijlage):
- Een e-mail met uitleg over het onderzoek werd verstuurd aan alle medewerkers.
- Er volgde een presentatie met toelichting op resultaten, doelen en ethiek.
- Een FAQ bood antwoorden op vragen zoals: “Word ik beoordeeld?”, “Wat is er over mij verzameld?” en “Wat gebeurt er met mijn data?”
- Medewerkers hadden het recht op inzage in hun digitale voetafdruk binnen een termijn van 14 dagen.
- Alle verzamelde persoonsgegevens zijn daarna vernietigd, volgens het principe van dataretentie-minimalisatie.
5. Conclusie
Het OSINT-onderzoek en de phishingtest zijn binnen Bodegro juridisch én ethisch verantwoord uitgevoerd. Door het combineren van een grondige DPIA en LIA, zorgvuldige selectie van gegevens, transparante communicatie en een duidelijke focus op educatie (niet controle), werd een veilige en waardevolle bewustwordingservaring gecreëerd.
Deze aanpak kan dienen als best practice voor organisaties die security awareness willen verhogen met inachtneming van de rechten en beleving van medewerkers.
Terug naar overzicht