Bij thuiswerken is privacygevoelige informatie vaak minder goed beschermd dan op kantoor. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je ook thuis verplicht om persoonsgegevens goed te beveiligen. Bij thuiswerken is het belangrijk om technische maatregelen te nemen en duidelijke werkafspraken te maken. Je wilt immers voorkomen dat er een datalek ontstaat waarbij privacygevoelige gegevens van bijvoorbeeld klanten of medewerkers op straat komen te liggen.
Wie is er verantwoordelijk voor de naleving AVG?
Volgens artikel 32 van de AVG moeten zowel de verwerker als de verwerkingsverantwoordelijke van de persoonsgegevens passende technische en organisatorische maatregelen nemen om de beveiliging ervan te waarborgen. Oftewel: zowel de werknemer als de werkgever is dus verantwoordelijk, ongeacht of de persoonsgegevens thuis of op kantoor verwerkt worden.
Wat kan je doen veilig en volgens de AVG thuis te werken: vier cruciale tips
De Autoriteit Persoonsgegevens (AP), die toezicht houdt op het naleven van de AVG, geeft een aantal tips voor het veilig verwerken van vertrouwelijke data en persoonsgegevens in thuissituaties:
Werk in een beveiligde omgeving.
Bescherm gevoelige documenten.
Wees kritisch met het gebruik van (video)chatdiensten.
Download software updates.
Werk in een beveiligde (thuis)omgeving
Het belang van een beveiligde ICT-omgeving kan niet genoeg benadrukt worden. Wanneer medewerkers thuis gebruikmaken van het bedrijfsnetwerk, moet de verbinding daarmee veilig zijn. Dat kan door deze te versleutelen met een VPN.
Denk ook aan firmware-updates. Als de routersoftware een lek bevat, is het thuisnetwerk niet meer veilig genoeg. Recent kwam bijvoorbeeld een beveiligingslek in een router van een grote Nederlandse telecomprovider aan het licht. Het gebruik van USB-sticks en papieren dossiers met persoonsgegevens wordt sowieso afgeraden.
Bescherm apparatuur en documenten
Zorg dat apparatuur (waaronder laptops, tablets en telefoons) en documenten die thuis gebruikt worden, goed beveiligd zijn. Je kunt apparaten versleutelen met bijvoorbeeld BitLocker (wanneer je gebruikmaakt van Microsoft) en FileVault (voor Apple-gebruikers). Persoonsgegevens kun je pseudonimiseren: identificatiegegevens worden dan via een algoritme vervangen door versleutelde data.
Maak verder gebruik van unieke en sterke wachtwoorden en eventueel tweefactorauthenticatie. Zorg dat het besturingssysteem van alle devices up-to-date is. Vooral wanneer medewerkers gebruikmaken van privé-apparaten, is het belangrijk om de veiligheid hiervan regelmatig te checken. Meer tips voor een optimale bescherming van je thuisomgeving vind je in ons artikel Veilig thuiswerken in acht stappen.
Scheid werk en privé
Het gebruik van privé-apparaten vormt een veiligheidsrisico. Zo kan op thuiscomputers relatief makkelijk malware (zoals ransomware) terechtkomen. Via zo’n achterdeur kunnen cybercriminelen mogelijk bij privacygevoelige informatie komen. Het is daarom het beste om zakelijke en privé-apparatuur zo veel mogelijk te scheiden.
Ga bewust om met videobellen
Videoconferencing-tools als Microsoft Teams, Webex, Skype en Zoom zijn inmiddels helemaal ingeburgerd voor vergaderingen, presentaties en sollicitatiegesprekken. Als tijdens het videobellen persoonsgegevens worden besproken, is het extra belangrijk dat de gesprekken goed beveiligd en niet openbaar zijn.
De Autoriteit Persoonsgegevens heeft een handige keuzehulp gemaakt, die veertien populaire videobeltools vergelijkt. In de tabel zie je in één oogopslag wat de tools bieden, hoe ze gegevens verwerken en of de communicatie beveiligd is.
Let op de gegevensverzameling
Belangrijk: achterhaal of de videobeltool gegevens verzamelt en waar deze bewaard worden. Wanneer deze data buiten de EU worden opgeslagen, gelden er veelal minder strenge privacyregels. Daarom is het beter om te kiezen voor een tool die alle gegevens in de EU opslaat.
Veel applicaties zijn gratis. Maar let op: hiervoor doe je meestal concessies op het gebied van privacy en beveiliging.
Bespreek geen gevoelige gegevens
Wanneer je tijdens het videobellen persoonsgegevens bespreekt, probeer deze dan zo veel mogelijk te pseudonimiseren. Je kunt bijvoorbeeld naar personen verwijzen door middel van een nummer.
Vraag toestemming
Wil je het helemaal volgens het boekje doen? Vraag dan altijd van tevoren toestemming aan de persoon met wie je wilt videobellen en geef aan wat de risico’s zijn van deze communicatievorm. Een sollicitant is niet verplicht om deel te nemen aan een videosollicitatie.
Als hij of zij dat niet wil, moet je een alternatief bieden. Vraag altijd om toestemming wanneer je de gesprekken wilt opnemen en geef aan wat de bewaartermijn is.
Wees attent op phishingmails
Door middel van phishingmails proberen cybercriminelen privacygevoelige informatie te stelen. Het is belangrijk dat iedereen binnen de organisatie dit soort mails herkent. Speciale phishingtrainingen voor medewerkers zijn bijzonder effectief.
Ook spamfilters werken tegenwoordig steeds beter om phishingmails te onderscheppen.
Lees meer over de betekenis en voorkomen van phishing.
Stel een datalekprotocol op
Wanneer er ondanks alle voorzorgsmaatregelen toch een datalek ontstaat, is het belangrijk om te weten hoe jullie moeten handelen. Dit staat beschreven in een datalekprotocol. Een datalek treedt sneller op dan je denkt: vaak is er al sprake van wanneer persoonsgegevens naar een verkeerd mailadres worden gestuurd.
Maak duidelijke afspraken
Zorg voor heldere communicatie naar de medewerkers over de AVG-wetgeving én over hoe je tijdens het thuiswerken veilig met persoonsgegevens kunt omgaan. Maak duidelijke werkafspraken over het gebruik van apparatuur, videobellen en de verwerking van privacygevoelige data. Zorg ook voor een duidelijk protocol in het geval van een datalek.
Zijn daarnaast zakelijk en privé zo veel mogelijk gescheiden én heb je meer bewustwording gecreëerd over vormen van cybercriminaliteit zoals phishing? Dan blijven persoonsgegevens binnen jouw bedrijf ook tijdens het thuiswerken goed beschermd.
Meer weten over wat je kan doen om de veiligheid van je bedrijf goed te regelen? Download het gratis whitepaper Basisbeveiliging.
