Datalekken: de risico’s van een vervagende grens tussen zakelijk en privé

Steeds meer werknemers permitteren zich allerlei vrijheden op de werkvloer. Even Facebooken of e-mailen in de baas zijn tijd, moet kunnen toch? Veel managers leggen medewerkers hierin nauwelijks een strobreed in de weg. ‘Zolang het werk maar afkomt’, is een veelgehoorde uitspraak. Maar die houding brengt de nodige risico’s met zich mee, en zet de deur wagenwijd open voor datalekken.

De afgelopen jaren zijn steeds meer medewerkers gaan werken volgens de principes van ‘Het Nieuwe Werken’. Negen tot vijf op kantoor past niet meer bij ons 24/7-economie en digitale wereld, waarin iedereen en altijd online is. Dankzij (video)chat en samenwerkingstools werken we steeds vaker waar en wanneer we dat willen.

De grens tussen werk en privé vervaagt daarbij steeds meer. In de avonduren beantwoorden medewerkers nog even snel die zakelijke mail. Maar het omgekeerde is ook waar: tijdens kantooruren werken ze de LinkedIn- of Facebookpagina bij, zoeken ze naar die nieuwe racefiets op Marktplaats en versturen ze privémailtjes over die familiedag van het komend weekend. Onderzoek bewijst dat: driekwart van de werkende Nederlanders regelt privézaken onder werktijd en 84 procent werkt in privétijd. De ooit zo duidelijke scheiding tussen werk en privé is grotendeels achterhaald.

Niet onschuldig

Dat klinkt onschuldig, maar niets is minder waar. De kans op een datalek neemt bij die vervagende grenzen tussen werk en privé fors toe. Zo’n datalek vindt niet per se opzettelijk plaats, maar is veelal een ‘ongelukje’ veroorzaakt door bijvoorbeeld onoplettendheid of onwetendheid. En datalekken waren nog nooit zo ongewenst: sinds 1 januari 2016 moet u bij een datalek verplicht melding maken bij de Autoriteit Persoonsgegevens, en in ernstige gevallen ook aan de betrokkenen. Bovendien riskeert u een hoge boete.

Een datalek door privégebruik van zakelijke ICT-middelen is een reëel risico. Denk bijvoorbeeld aan een medewerker die per ongeluk een zakelijke mail met privacygevoelige informatie verstuurt met het persoonlijk mailadres. We kennen inmiddels allemaal de case van Hillary Clinton, die duizenden mails vol gevoelige informatie via haar privé-mailserver verstuurde.

Gezellig op Facebook

Maar denk ook aan de medewerker die ‘per ongeluk’ een gezellige foto op Facebook zet met daarin duidelijk zichtbaar privacygevoelige klantgegevens. Of per ongeluk een bestand vol klantinformatie verstuurt via een Amerikaanse chatapp, ‘omdat dat zo gemakkelijk werkt’. Of denk aan de medewerker die op zijn LinkedIn-profiel in een opwelling een vooraankondiging doet van een naderende fusie. Hoewel er in dat laatste geval geen sprake is van een datalek (er zijn immers geen persoonlijke gegevens gelekt), kunnen zo wel bedrijfsgeheimen ongewenst in de openbaarheid terechtkomen.

Ook op het mobiele front zijn er risico’s wanneer de grenzen tussen zakelijk en privé vervagen. Zo vergroot het installeren van apps voor privégebruik op zakelijke toestellen de kans op malwarebesmettingen en hacks. Die kunnen weer tot een datalek leiden, doordat ongenode gasten zich zo toegang verschaffen tot de op het toestel aanwezige persoonsgegevens.

Verlies van productiviteit

Er is naast het risico op datalekken nog een ander nadelig aspect aan de privégebruik van ICT-middelen tijdens werktijd: het gaat ten koste van de productiviteit. Het bedrijfsleven verliest jaarlijks miljarden door ongebreideld surfen, chatten en mailen. Deze zaken verstoren bovendien de concentratie en de ‘flow’, wat de productiviteit niet alleen verder verlaagt, maar ook de kans op fouten vergroot.

De vervagende scheiding tussen werk en prive is echter een maatschappelijke ontwikkeling die nauwelijks valt tegen te houden. Dat vraagt niet alleen om risicobeheersing en regulering, maar ook om bewustwording bij medewerkers. Vier maatregelen om dit in goede banen te leiden:

Datalekken Risico's

Whitepaper AVG/GDPR

Deze whitepaper schetst in heldere taal de gevolgen van het aangescherpte privacybeleid voor organisaties die persoonsgegevens verwerken. Wat houdt deze nieuwe wetgeving in? Wat voor gevolgen heeft die wetgeving voor de verwerking van persoonsgegevens en gerelateerde bedrijfsprocessen? Wat moet een organisatie doen om ‘in control’ te komen, en te blijven?

Whitepaper school+

Voor schoolorganisaties en het onderwijs is er een ook een Whitepaper: Een veilige digitale leeromgeving – Geen luxe maar noodzaak.

Stap 1

Breng de risico’s in kaart

Maak een risico-analyse rondom de scheiding tussen werk en privé. Ga bijvoorbeeld na op welke socialmediakanalen uw medewerkers privé actief zijn en welke apparaten ze gebruiken en welke software daarop geïnstalleerd is. Ga ook na of ze gebruikmaken van cloudopslagdiensten zoals Dropbox voor het uitwisselen van informatie, en welke data ze daarmee al dan niet uitwisselen.

Stap 2

Stel een privacy- en ICT-gebruiksbeleid op

Veel organisaties hebben geen duidelijk omschreven privacy- en ICT-gebruiksbeleid, laat staan een die volledig aan de wettelijke eisen voldoet. Een gevaarlijke situatie, want in zo’n geval is een datalek vaak een kwestie van tijd.

Via een privacy- en ICT-gebruiksbeleid maakt u met medewerkers duidelijke afspraken over het gebruik van digitale bedrijfsmiddelen. Mogen ze bijvoorbeeld gebruikmaken van social media tijdens werktijd? Van welke opslagdiensten mogen ze al dan niet gebruikmaken? En welke chatapps zijn toegestaan? En welke bedrijfsgerichte informatie mogen ze op dergelijke kanalen wel en niet delen? Uiteraard moeten deze afspraken voor iedereen duidelijk zijn en bovendien zwart-op-wit staan.

Een opstellen en handhaven van een compliant privacy- en ICT-gebruiksbeleid is een ingewikkelde taak. YourSafetynet biedt uitkomst: deze appliance leidt u stap-voor-stap door alle benodigde organisatorische maatregelen en bevat alle technologische voorzieningen voor handhaving en controle van het beleid.

Stap 3

Monitor indien noodzakelijk individuele medewerkers

Wanneer u het ICT-gedrag van individuele medewerkers monitort, moet u dit altijd duidelijk met de betrokkene overeenkomen. Ongeacht of u aan het gemonitorde gedrag consequenties verbindt. De controle moet bovendien ‘in redelijke verhouding’ met de belangen van de werknemers. Zonder duidelijke wederzijdse overeenstemming is monitoring op individueel niveau een inbreuk op de privacy en kan dit zelfs een datalek op zichzelf zijn. Ook kunt u dan geen consequenties binden aan het gemonitorde gedrag. Maak van individuele monitoring, wanneer dit noodzakelijk en gewenst is, dan ook een helder omschreven en integraal onderdeel van het privacy- en ICT-gebruiksbeleid dat u met uw medewerkers overeenkomt.

Stap 4

Werk aan het privacy- en veiligheidsbewustzijn van medewerkers

Medewerkers moeten zich terdege bewust zijn van de gevaren van een datalek en de factoren die de kans hierop vergroten. Investeer in trainingen die dit bewustzijn vergroten. Het zal hun zelfcorrigerend vermogen en voorzichtigheid ten goede komen. Bovendien resulteert een beter bewustzijn rondom deze onderwerpen in een groter begrip voor het beleid en maatregelen die hen inperken in hun vrijheden. Dat laatste aspect is niet onbelangrijk voor het vasthouden van talent en een goede sfeer op de werkvloer.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This