Veiligheid tijdens thuiswerken

Veiligheid garanderen tijdens thuiswerken? De Autoriteit Persoonsgegevens (‘AP’) heeft vier punten geformuleerd. Wij leggen ze voor u uit en voorzien van ze van concrete aanbevelingen:

Faciliteer een beveiligde werkomgeving en verstrek thuiswerkapparatuur aan werknemers.

Versleutel de thuiswerkapparatuur en stel regels vast omtrent thuiswerken. Leg in ieder geval vast dat thuiswerkapparatuur nooit onbeheerd achter mag worden gelaten, bijvoorbeeld in de auto. Vooral auto’s met een sleutelloos toegangssysteem zijn vaak doelwit van diefstal. Indien de thuiswerkapparatuur dan is versleuteld, verkleint dat de kans dat een datalek bij de AP moet worden gemeld.

Voorkom dat (bedrijfs)informatie op moet worden geslagen op de persoonlijke computer van de medewerker. Dit leidt vrijwel altijd tot een onrechtmatige verwerking van persoonsgegevens. 

Werk zo min mogelijk met papier en USB-sticks. Zorg dat gevoelige documenten op een beveiligde server staan.

De veiligste optie is het gebruik van gegevensloze thuiswerkapparatuur zoals ‘Thin client’. Deze systemen bevatten géén opslagmedium voor (vertrouwelijke) informatie. Medewerkers kunnen hiermee inloggen op hun beveiligde werkomgeving. Hiermee wordt gewaarborgd dat alle informatie bij de werkgever blijft staan.

Communiceer via veilige communicatiemiddelen. Overleg bijvoorbeeld niet via WhatsApp. Toch via een onveilig kanaal gevoelige informatie besproken? Wis dan direct na het gesprek de berichten.

Let op: het gesprek wissen nadat informatie is uitgewisseld via een onbetrouwbaar communicatiemiddel is – zoals de AP zelf ook aangeeft – géén alternatief voor een veilig communicatiemiddel. Het is een laatste strohalm. De informatie staat op dat moment al op servers van landen waar de wetten inzake privacy en bedrijfsgeheimen minder bescherming bieden. In veel beroepsgroepen wordt nog steeds geregeld gebruik gemaakt van WhatsApp om snel (vertrouwelijke) informatie te delen. Zelfs bijzondere persoonsgegevens worden hiermee gedeeld (zoals medische informatie: “medewerker X heeft het coronavirus”). Houd er rekening mee dat dit wettelijk om twee redenen in beginsel niet is toegestaan. Ten eerste is het onrechtmatig om bijzondere persoonsgegevens te verwerken tenzij sprake is van een uitzonderingsgrond op grond van de AVG. Daarnaast is het onrechtmatig om (bijzondere) persoonsgegevens te verwerken via een onveilig medium zoals WhatsApp.

Informeer medewerkers over phishing mails.

Medewerkers informeren over phishing mails dient volgens ons in samenhang te worden gezien met het informeren over een veilig surfgedrag en een veilige gegevensuitwisseling. Daarnaast geldt deze tip te allen tijde. Zowel indien er wordt gewerkt op werk, als thuis. Controleer naleving periodiek en handhaaf indien hier niet aan wordt voldaan.

Ten slotte merken wij op dat veel thuiswerkinfrastructuren niet berekend zijn om alle medewerkers thuis te laten werken. Hierdoor maken organisaties een onderscheid tussen cruciale medewerkers die toegang genieten en niet-cruciale medewerkers die géén toegang tot het bedrijfsnetwerk genieten. Echter is het in veel gevallen mogelijk de thuiswerkinfrastructuur op te schalen. Neem hiervoor contact op met uw IT-dienstverlener.

Vragen over een veilige thuiswerkomgeving? Neem contact op met ons privacyteam.