Vorige week gaf Arnoud Engelfriet voor security.nl antwoord op de vraag of een lek van zakelijke persoonsgegevens in de privésfeer ook moet worden gezien als datalek. Kort antwoord: ja. Wanneer de gelekte gegevens zijn verstrekt in het kader van de werkzaamheden van de werknemer, zorgt zo’n lek (gewoon) voor een datalek bij de werkgever. Ondanks dat de gegevens bijvoorbeeld opgeslagen lagen binnen ‘privéapplicaties’ op de niet-zakelijke telefoon. In deze blog borduur ik voort op het door Arnoud gegeven antwoord en kijk ik met jullie samen naar maatregelen om (de negatieve gevolgen van) een dergelijk datalek te voorkomen.
Datalekken kunnen ongelooflijk vervelend en pijnlijk zijn. Maar al te vaak maken wij in de praktijk mee hoe gegevens omtrent bijvoorbeeld iemands medische achtergrond – vaak onbedoeld – terechtkomen bij ontvangers die niks met de gegevens te maken horen te hebben. En, hoewel we het met z’n allen eens zijn dat het laten slingeren van patiëntengegevens bij het boodschappen doen not done is en een uitdraai van deze data zich niet leent als middel voor een boodschappenlijstjes, laat Arnoud in zijn antwoord zien dat het niet altijd zo duidelijk is. Gevoelsmatig kan de gedachte dat de in de privésfeer gebruikte gegevens nog steeds ‘van de werkgever zijn’, en dat de werkgever ook in deze situatie de verantwoordelijkheid heeft over de gegevens, wringen. Dit dienen we echter formeel te bekijken, aldus Arnoud: ‘de gegevens zijn verstrekt door de werkgever, en vallen onder de verantwoordelijkheid van de werkgever. Dat er met de gegevens iets misgaat is dus een incident dat de werkgever aan valt te rekenen.’
Verantwoordelijkheid voor werkgever
En dus moeten we wat met die verantwoordelijkheid. Eens te meer nu we ons met het toenemende thuiswerken in een situatie bevinden waarin de grens tussen zakelijk en privé wat troebel kan lijken. Je huidige bureau lijkt soms verdacht veel op wat eens je eettafel was, al worden er zelden meer maaltijden aan genuttigd. Tijd om als werkgever eens wat af te spreken over het gebruik van zakelijke data. Met welke apparaten mag dit? En met welke apparaten mag dit absoluut niet? En, moet ik ook nog wat afspreken over de applicaties waarbinnen gegevens gebruikt mogen worden?
Wanneer we kijken naar de maatregelen die je als werkgever kunt nemen om problemen te voorkomen, dan is de belangrijkste tip om je medewerkers op de hoogte te brengen van wat er van hen verwacht wordt. Je kunt immers nog zulke goede maatregelen treffen, als de medewerkers hier niet mee bekend zijn, dan halen ze weinig uit. Spreek daarom wat af over wat medewerkers beslist niet en wel mogen doen, en geef ze wat handige tips. Denk hierbij onder andere aan de volgende punten:
Allereerst updaten!
Om het risico op lekken door verouderde en/of niet langer ondersteunde software zo klein mogelijk te maken is het verstandig om nu toch echt maar eens toe te geven aan die pop-ups met daarin het vriendelijke verzoek om je programmatuur te updaten. Hoewel soms irritant dragen ze toch echt bij aan het weerbaar maken van jouw systemen tegen dreigingen van buitenaf. Zo kunnen updates uitgebracht worden om bij de ontwikkelaar bekende beveiligingsrisico’s zo goed mogelijk aan te pakken. Een echte must.
Maar is dit wel een mailtje van…?
Mailt de baas nou echt met een mailadres waarin ze haar echte achternaam verkeerd spelt? Denk het niet. Check voordat je mails opent altijd eerst of de verzender te vertrouwen is en ben daarna gespitst op links in mails. Klik hier alleen op als je er zeker van bent dat de verzender van de e-mail je niet in het o’tje neemt. Phishing is namelijk dé manier om ongewensten toegang te geven tot jouw systemen. Veelal ontfutselen cybercriminelen jouw inloggegevens op slinkse wijze zodat ze daarna met gemak bij jouw data kunnen. Ook je zakelijke gegevens!
Voor werkgevers belangrijk om werknemers op de hoogte te brengen van deze dreigingen van buitenaf. Informeer dus bijvoorbeeld via intranet en oefen zo nu en dan met het herkennen van phishing mails.
Let op waar je je internetverbinding vandaan haalt.
Hoewel we nu even volledig gekluisterd zijn aan huis, is het goed mogelijk dat we over enige tijd ons heil toch wat meer buiten de deur zoeken. En als dit niet op kantoor is, dan zal je goed moeten checken of de gebruikte Wifi verbinding wel te vertrouwen is. Onbeveiligde verbindingen zijn in de regel onbetrouwbaar omdat gemakkelijk een neppe verbinding opgezet kan worden die jouw gegevens toegankelijk maakt voor onbevoegde derden.
Biedt opties om gegevens veilig te delen
Het delen van zakelijke info via Whatsapp – denk aan gevoelige klantgegevens – kan zoals we in het antwoord van Arnoud lazen ook prima leiden tot een datalek voor de organisatie aan wie ze toebehoren. Het is daarom van belang dat je als werkgever veilige opties faciliteert om het delen van gegevens mogelijk te maken. Veelal zitten deze opties al ingebakken in systemen en applicaties waar de organisatie gebruik van maakt (denk bijvoorbeeld aan het delen via OneDrive).
Mag ik nou wel of niet mijn privé laptop gebruiken?
Wanneer je als werkgever ervoor hebt gezorgd dat al je medewerkers voorzien zijn van een flitsende nieuwe laptop, maak dan ook afspraken met je medewerkers over het gebruik van ander materiaal. Je hebt natuurlijk niet al die investeringen gedaan om vervolgens je medewerkers achter hun privé laptop te zien belanden. Maak afspraken met medewerkers over waar ze hun werkzaamheden uitvoeren en waar niet.
Vaak is het gebruik van een privé telefoon om werkmail te checken een ‘moetje’ voor werknemers. Ook in dat geval maak je afspraken over de minimale beveiliging van een telefoon, of facilitair je andere opties om dit gebruik te voorkomen.
Hulp nodig bij het opstellen van een beleid rondom deze ‘best practices’ of wil je graag eens hulp met het opzetten van een goede procedure voor het snel en slagvaardig aanpakken van datalekken? Neem dan eens contact op met een van de juristen van ICTRecht.
