Een goede beveiliging van zakelijke communicatie is cruciaal, zeker als er gevoelige informatie wordt uitgewisseld. Toch kiezen veel werknemers in de praktijk voor gebruiksgemak. Zij communiceren liever via een populaire app als WhatsApp dan via de ‘goedgekeurde’ applicaties van de zaak. Begrijpelijk, maar ook riskant.
Begin november waarschuwde de Algemene Rekenkamer voor het gebruik van onveilige apps binnen de overheid. Uit een onderzoek naar thuiswerken en ICT bij onder meer ministeries en beide Kamers blijkt namelijk dat ambtenaren en bewindslieden vertrouwelijke informatie soms delen via apps en apparaten die daarvoor niet zijn bedoeld en niet veilig zijn. Hierdoor kunnen gegevens in handen komen van onbevoegden, zo constateert de Rekenkamer in het rapport ‘Focus op digitaal thuiswerken’.
Een enquête onder ambtenaren wees uit dat 4 procent van de respondenten WhatsApp zelfs gebruikt voor vertrouwelijke werkinhoudelijke communicatie. Ruim 2 procent maakt hiervoor gebruik van privémail. Een mogelijke verklaring is dat een deel van de ambtenaren de voorschriften niet kent. Daarnaast verschilt het beleid voor ‘samenwerkings-ICT’ van organisatie tot organisatie. “Dit leidt tot onduidelijkheid bij ambtenaren over wat wel en niet mag en bemoeilijkt de communicatie tussen verschillende organisaties”, schrijft de Rekenkamer.
Gebruiksgemak versus beveiliging
Een andere verklaring is dat populaire apps vaak gebruiksvriendelijker zijn. In het rapport wordt een ambtenaar aangehaald die zegt dat de functionaliteit van WhatsApp van te veel toegevoegde waarde is om te kunnen missen. Deze afweging speelt zelfs op het hoogste niveau. Zo werd er dit voorjaar een extra beveiligde omgeving voor videobellen ontwikkeld, zodat ministers en staatssecretarissen vertrouwelijk met elkaar kunnen praten. Bij de kabinetsleden bleek echter geen behoefte aan dit systeem.
“Gebruiksgemak staat vaak op gespannen voet met beveiliging”, zegt Erno Doorenspleet, Vice President Security Strategy bij KPN Security. “Het is begrijpelijk dat consumentenapps zoals WhatsApp ook voor werk worden gebruikt. We zijn vanuit ons privéleven gewend aan deze apps. Bovendien lopen werk en privé steeds meer door elkaar, zeker nu we massaal thuiswerken. Veel mensen vinden het niet handig om allerlei verschillende apparaten en apps te gebruiken.”
Compliance, security en archivering
Toch zijn er volgens Doorenspleet zwaarwegende redenen om het gebruik van consumentenapps voor zakelijke doeleinden te ontmoedigen. “Allereerst weet u bij veel applicaties niet wat er precies met de data gebeurt en of de gegevensverwerking in lijn is met privacywetgeving zoals de Algemene verordening gegevensbescherming (AVG)”, stelt hij. “Dit is extra riskant als medewerkers via de app gevoelige persoonsgegevens uitwisselen zoals patiëntgegevens of informatie over etniciteit, religie of seksuele geaardheid. Het uitlekken hiervan kan de privacy ernstig schaden.”
Het is namelijk maar de vraag of de applicatie een passend beveiligingsniveau biedt. Doorenspleet: “Bedrijven moeten erop kunnen vertrouwen dat de communicatie goed is afgeschermd van de buitenwereld. Toch blijkt vaak dat populaire applicaties hun security niet op orde hebben. Zo werd videobeldienst Zoom dit jaar geplaagd door privacy- en beveiligingslekken. Pas sinds kort biedt Zoom end-to-end encryptie, zodat de data alleen toegankelijk zijn voor deelnemers aan de meeting.”
Een ander nadeel van consumentenapps is het gebrek aan inzicht en archivering. “Als werkgever heeft u eigenlijk geen idee wat er via welke app besproken wordt en met wie. Welke afspraken zijn er gemaakt en wie draagt de verantwoordelijkheid? Dit bemoeilijk ook de compliance met wet- en regelgeving omdat zaken achteraf niet herleidbaar zijn. En wat als een werknemer het bedrijf verlaat, bijvoorbeeld uit onvrede? Een zakelijk e-mailadres blijft eigendom van de organisatie, maar een consumentenapp is gebonden aan de persoon.”
Alleen voor informele gesprekken
Tegelijkertijd is het volgens Doorenspleet niet wenselijk om het gebruik van WhatsApp, privémail en andere consumentenapplicaties volledig te verbieden. “Zolang werknemers maar beseffen dat deze middelen alleen geschikt zijn voor informele, niet werk-gerelateerde gesprekken met collega’s onderling. Het is belangrijk om voldoende bewustwording te creëren over de risico’s van onveilige applicaties. Bijvoorbeeld via heldere richtlijnen en periodieke security-awarenesstrainingen.”
Voor zakelijke communicatie adviseert hij strengere maatregelen. “Selecteer in overleg met de IT-afdeling enkele applicaties die voldoen aan de eisen op het gebied van veiligheid, privacy, compliance en archivering. Communiceer dat alleen deze applicaties toegestaan zijn voor werkinhoudelijke gesprekken. Blijkt na verloop van tijd dat mensen zich niet aan de regels houden? Dan zijn er technische oplossingen die zakelijke applicaties en data scheiden van de toepassingen die privé worden gebruikt. Of oplossingen waarmee u precies kunt bepalen welke mobiele applicaties op een smartphone van de zaak mogen worden geïnstalleerd.”
“Dat klinkt nogal rigoureus, maar het gebruiksgemak van consumentenapps weegt simpelweg niet op tegen de risico’s”, zo vindt de Vice President Security Strategy. “Een zorgvuldige omgang met communicatiemiddelen behoort tot de basisbeveiliging van elke organisatie. Het gebruik van onveilige applicaties kan leiden tot ernstige datalekken met een grote impact op klanten, individuele medewerkers en het bedrijf zelf. We moeten gebruikers tegen zichzelf in bescherming nemen.”