© PXimport
Regels omtrent thuiswerken - Privacy in het geding?
Door de coronacrisis is thuiswerken plotseling de norm geworden voor veel mensen. Onvermijdelijk gaan thuiswerkers aan de slag met persoonsgegevens. Maar mag dat wel van de privacywet AVG?
De Algemene verordening gegevensbescherming (AVG) werd eind mei 2018 van kracht. Dat ging gepaard met veel tamtam, maar sindsdien horen we er opvallend weinig over. Toch kunnen er hoge boetes volgen als bedrijven zich niet aan de AVG houden. Maar in deze coronatijd is de kans groot dat juist thuiswerkers zich niet aan deze richtlijnen houden.
Coulant
De AVG bepaalt dat bedrijven persoonsgegevens alleen maar mogen opslaan als dat strikt noodzakelijk is. Ook moet de beveiliging op orde zijn. Als ze niet meer nodig zijn, moeten bedrijven de gegevens direct verwijderen. Over het algemeen zijn systemen in bedrijven ingericht op deze eisen, maar thuis ligt dat anders. Thuiswerkers gebruiken veelal noodgedwongen de eigen computer. Een IT-afdeling kan onmogelijk garant staan voor de beveiliging van die apparatuur.
De Autoriteit Persoonsgegevens ziet toe op het naleven van de AVG. In het begin van de coronacrisis gaf de AP aan coulant te zijn tegenover overtreders. ‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’, zei AP-voorzitter Aleid Wolfsen eind maart. Bedrijven kregen meer tijd om vragen te beantwoorden over privacykwesties. De AP liet weten aan akkoord te gaan met het gebruik van consumentenapps, zoals FaceTime of Skype. Zelfs door zorgverleners, ondanks eventuele privacyzorgen. ‘Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens’, voegde Wolfsen eraan toe.
© PXimport
Encryptie
Bij de AP kwamen de afgelopen maanden meer klachten binnen over privacyschendingen. Of dat door corona komt, wil de organisatie niet zeggen. ‘Twee keer per jaar is er een rapportage. Normaal gesproken zou er een in september verschijnen, maar door corona redden we dat niet. De volgende rapportage is gepland in februari. Daarin zal duidelijk worden wat corona heeft betekent voor het aantal datalekken en klachten over privacy’, zegt woordvoerder Quinten Snijders.
Het is wel duidelijk dat er veel vragen zijn binnengekomen over corona, bijvoorbeeld van werkgevers over thuiswerken. Mede naar aanleiding daarvan heeft de privacywaakhond een keuzehulp voor videobel-apps online geplaatst. Veel van de populaire apps scoren matig op het gebied van privacy, waaronder Zoom of Teams. Zelfs bij veilig geachte alternatieven als FaceTime en Signal raadt de AP aan voorzichtig om te gaan met vertrouwelijke gegevens. Zo wordt medici aanbevolen geen namen van patiënten te noemen, maar zich te beperken tot patiëntnummers. Bovendien is het verstandig de historie van chatapps (zoals Signal en WhatsApp) na elk gesprek te wissen. Bedenk dat de goede oude telefoon nog altijd een prima alternatief is, zij het zonder beeld. De beveiliging van reguliere telefoongesprekken (ook mobiel) is veelal beter dan die van videobeldiensten.
© PXimport
Toegangspoort
Bij het thuiswerken is het belangrijk dat privégegevens niet worden gedeeld met gezinsleden of omwonenden. ‘Zorg ervoor dat de buurman niet kan meeluisteren’, vat Snijders het advies samen. Dat geldt extra voor mensen met een medisch beroepsgeheim. Praten over patiënten in aanwezigheid van een partner of kinderen is uit den boze, al was het maar omdat zij niet gehouden zijn aan het medisch beroepsgeheim.
De werkgever is verantwoordelijk voor het bieden van een goed beveiligde werkomgeving aan thuiswerkers. Daarbij fungeert de computer thuis slechts als een toegangspoort tot het bedrijfsnetwerk. De kans op privacyschendingen is dan niet zo groot. Toch zijn er risico’s. Vaak kan de werknemer documenten naar de eigen computer downloaden. In dat geval moet met een aantal zaken rekening worden gehouden.
Zo moet de thuiscomputer goed zijn afgeschermd. Beveiliging met een wachtwoord is wel het minste. De harde schijf moet de gegevens ook versleuteld opslaan, bijvoorbeeld met BitLocker, beschikbaar in Windows 10 Pro.
Rondslingeren
Helaas staat op veel thuiscomputers Windows 10 Home. En daarin ontbreekt veelal de mogelijkheid tot encryptie. Cybercriminelen kunnen dan eenvoudig data kopiëren als ze toegang hebben tot de pc. Bedenk dat je bestanden op usb-sticks of externe harde schijven ook moet versleutelen: dergelijke apparaatjes hebben bij uitstek de neiging te gaan rondslingeren. Houd verder rekening met het uitprinten van documenten. Een printje kan snel onder ogen komen van een onbevoegd persoon. Veel bedrijven hebben papierbakken voor vertrouwelijke documenten die veilig worden vernietigd. Thuis is de kans groot dat iemand een vertrouwelijk document achteloos in de oud-papiercontainer gooit. Uiteraard is dat niet conform de AVG. Dat geldt ook voor het delen van een thuiscomputer met meerdere gezinsleden. Zonder extra maatregelen kunnen zij bij vertrouwelijke bedrijfsgegevens komen. Maak aparte accounts aan voor iedereen die de computer gebruikt en deel het wachtwoord niet met elkaar. Zo kan iedereen alleen bij zijn eigen documenten.
Lekken melden
Stevige barrière
Om te voldoen aan alle privacy-eisen moet ook de internetverbinding goed zijn afgeschermd. Iedere moderne wifi-router beschikt over WPA2-beveiliging. Die moet dus zijn ingeschakeld. Gebruik niet het standaard wachtwoord dat door de fabrikant of provider is ingesteld, maar wijzig dit direct in een moeilijk te kraken variant. Om te voorkomen dat dataverkeer wordt afgeluisterd, is het aan te raden een vpn-verbinding te gebruiken. Zo’n Virtual Private Network versleutelt al het verkeer tussen de eigen computer en de server van het bedrijf. Dit is een stevige barrière tegen hackers. Verder is tweevoudige authenticatie een belangrijke manier om hackers buiten de deur te houden. Bijna alle grote webdiensten ondersteunen dit tegenwoordig; inloggen met een extra code, als aanvulling op het reguliere wachtwoord.
Phishingmails
Wie wil voldoen aan de privacyregels kan beter geen gebruikmaken van gratis diensten als Google Drive of Microsoft OneDrive. Hoe verleidelijk de gratis varianten ook zijn, de privacyvoorwaarden zijn niet geschikt voor bedrijfsmatig gebruik. Zo scant Google de inhoud van documenten voor commerciële doeleinden. Uiteraard is dat bedrijfsmatig onwenselijk. Bedenk ook dat Amerikaanse veiligheidsdiensten relatief gemakkelijk toegang kunnen krijgen tot webdiensten uit de VS.
Een heel ander soort risico vormen de phishingmails die inspelen op corona. Wie zich om de tuin laat leiden door zo’n mail kan zorgen voor een stevige schending van de AVG. Cybercriminelen zien in de coronacrisis een mooie kans. Zij richten zich specifiek op thuiswerkers, onder meer met phishingmails die afkomstig zijn van de ‘IT-afdeling’ met het verzoek op een link te klikken. Het doel kan zijn bedrijfsgegevens te stelen. Maar ook mailtjes met nepfacturen zijn een bekend voorbeeld.
© CIDimport
Updaten
Tot slot blijven de reguliere gebruiksregels van toepassing voor computerapparatuur. Stel het updaten van zowel besturingssysteem als software niet uit. Hiermee voorkom je dat hackers gebruikmaken van bekende veiligheidslekken, waardoor gegevens op straat kunnen komen te liggen. Bovendien is een goede virusscanner onontbeerlijk, waarbij de virusdefinities natuurlijk up-to-date moeten zijn. Door dat soort eenvoudige maatregelen te nemen, wordt de kans een stuk kleiner dat een iemand erin slaagt je computer binnen te dringen.