Gebruikerslogin
Agenda
Aanbieders van de week
Veiligheid en privacy: een illusie
| PDF artikel | Grootte |
|---|---|
| Artikel_HansvanRooij_veiligheidprivacyillusie.pdf | 104.44 KB |
Digitale veiligheid en privacy hebben om de zoveel tijd weer hun hype. We kennen allemaal de paspoortaffaire, de OV-Chipkaart en het EPD (Elektronisch Patiënten Dossier). Het spreekt voor zich dat onze gegevens netjes beheerd dienen te worden. Mijn buurman hoeft niet te weten wat ik allemaal mankeer. Maar we moeten ook wel realistisch zijn, want Big Brother Google heeft grote ogen.
Papiertje
Veiligheid en beveiliging is een ongrijpbaar iets. ’s Avonds gaan de rolluiken van onze villa’s naar beneden en het alarm erop. Op de oprit brandt het licht de hele nacht en een bewegingsmelder activeert de camera die we hoog tegen de gevel gemonteerd hebben voor het geval iemand het in zijn hoofd haalt de auto even te lenen. Dat is de normaalste zaak van de wereld. Maar pasjes met pincodes vinden we wel lastig. En als ik elke week van mijn Security Officer mijn wachtwoord op het werk moet wijzigen, dan schrijf ik dat liever op een papiertje dat ik onder mijn toetsenbord leg, dat vindt toch niemand…?
Veiligheid, privacy en verzuimsystemen
Maar wat heeft dat eigenlijk allemaal met verzuimsystemen te maken? Wat mij betreft heel erg veel. Want geen beveiligingscertificaat, autorisatieprocedure, verzuimaudit of CBP-handboek is opgewassen tegen een gebrek aan discipline, onwetende gebruikers, loslippige medewerkers of openstaande deuren. Om het niet al te ingewikkeld te maken, zo maar een paar voorbeelden:
Voorbeeld 1
Elk professioneel verzuimsysteem heeft een aparte module voor de bedrijfsarts waarin hij medische gegevens kan opslaan. Door het protocolliseren van autorisaties kan alleen een persoon die bedrijfsarts is deze medische gegevens zien. Maar de hamvraag is natuurlijk: wie deelt deze autorisaties uit? De bedrijfsarts doet dat echt niet zelf. In het meest gunstige geval heeft de leverancier van het systeem een procedure waardoor het op locatie niet mogelijk is om deze rol toe te bedelen, maar vaak is dit niet het geval.
Als diegene, die de autorisaties beheert, bij de organisatie zelf werkt en van zijn leidinggevende de opdracht krijgt om een overzicht van de zieke medewerkers te maken met de reden van ziekte en de interventieverslagen, dan is het maar de vraag of de functioneel beheerder dit kan weigeren.
Voorbeeld 2
De leverancier heeft een sluitende procedure voor de beveiliging van de medische gegevens in zijn systeem gebouwd en levert het systeem vol trots aan een verzuimbureau. Het verzuimbureau richt het systeem in en gaat aan de slag. Casemanagers registreren in de schermen bedoeld voor de gespreksverslagen netjes wat wordt besproken en volgen de gesprekken keurig op.
Helaas blijken deze casemanagers wel eens over de ‘privacyschreef’ te gaan: ze stellen medische vragen of registreren medische antwoorden in de vrije velden. En daar gaat het natuurlijk mis: een computersysteem kan niet lezen. Dus wat je ook opschrijft, de computer slaat de gegevens op en verspreidt zo medische informatie onder alle non-medische gebruikers zoals bijvoorbeeld leidinggevenden.
In deze twee voorbeelden treft de leverancier geen blaam. Tenminste, ik heb nog niet gehoord dat Ferrari een bon heeft gekregen omdat een klant 250 kilometer per uur reed terwijl 100 kilometer per uur was toegestaan.
Hackerswalhalla
Weer terug naar veiligheid: applicaties worden gemaakt in programmeertalen als .Net, Java en php. Daarbij maakt men veelvuldig gebruik van beschikbare templates. Zo hoeft men niet steeds opnieuw het wiel uit te vinden. Dat houdt de ontwikkeling van nieuwe systemen betaalbaar en kost minder tijd.
Maar... dit zijn bij uitstek bronnen die gevoelig zijn voor hackers. En heb je als hacker eenmaal een template hebt gehacked, dan kun je meteen bij het merendeel van de toepassingen die op dit template gebaseerd zijn, ‘binnenwandelen’. Een waar hackerswalhalla!
De afgelopen maanden werden we opgeschrikt door berichten dat onze gegevens massaal op straat lagen. De illusie van digitale veiligheid lag volledig aan diggelen. Het begon met de DigiNotar crisis, notabene een veiligheidscertificaat dat zelf zo lek bleek als een mandje. Corporate reus KPN was niet in staat om eenvoudige klantgegevens te beveiligen en zelfs het protectionistische Apple kreeg te maken met de wereldwijde besmetting van 600.000 computers. Beide partijen ontkenden ook nog eens in eerste instantie. En wat dacht u van Microsoft Browser Internet Explorer, dat nooit helemaal waterdicht is geweest, maar waar wel 90 procent van de BV Nederland gebruik van maakt! En medische gegevens zijn blijkbaar ook niet veilig, want de medische gegevens van duizenden mensen lagen deze week op straat: Brabanders en medewerkers die geregistreerd stonden in verzuimsysteem VCD/Humannet.
Geen garanties
Als bedrijven met tientallen miljarden in kas al niet kunnen garanderen dat u veilig kunt werken of dat de privacy gegarandeerd is, tja... wat mag u dan verwachten van een gemiddeld MKB-bedrijf? Garanties op het waarborgen van privacy en 100 procent veilig? Dat is echt een illusie. Ik vind het zelfs arrogant om dit soort garanties te claimen onder het mom van “maar wij zijn gecertificeerd, dus bij ons zit het wel goed”. Of: "We hebben een verzuimaudit gedaan en we voldoen aan de eisen.”
Hoe hard is die claim? Ik speel even advocaat van de duivel: een audit is een momentopname en zegt vooral iets over of je je processen op orde hebt, niet of de mensen zich in de praktijk aan deze processen houden of hoe de praktijk er na de audit uitziet.
Ik lees geweldige specificaties van hard- en softwarebeveiligingsprotocollen, van de meest strikte autorisatieprocedures en atoomkelders waar servers staan te ratelen die met elkaar verbonden zijn met de snelheid van het licht. Waar je zonder irisscan en bewijs van goed gedrag niet eens op de bel mag drukken. Toch moet ik steeds denken aan die man die zijn wachtwoord onder zijn toetsenbord heeft liggen…
Maar wat dan wel? Als organisatie moet je zo goed mogelijk in kaart brengen welk beveiligingsniveau je wenst. Hierop kun je de aanbieders selecteren en vervolgens richt je de interne organisatie goed in. Daarna ga je de discipline van alle gebruikers flink opschroeven en dan… jezelf wapenen voor als het toch niet goed is gegaan...
Hans van Rooij, informatie analist en initiatiefnemer van verzuimsystemen.nl, hans.van.rooij@verzuimsystemen.nl
© Dialoque Media
Lees ook:
Gratis ondersteuning bij de selectie in inkoop van verzuimsystemen
Waarom een verzuimregiesysteem?
Poortwachtertool, verzuimsysteem of oude typemachine?
Veiligheid en privacy: een illusie!
Checklist voor veilig gebruik van uw verzuimsysteem
Checklist Privacy
Verzuimsystemen anno 2012
- Inloggen of registreren om te reageren
Printvriendelijke versie
BG magazine shop
-
Onderzoeksrapport medewerkeronderzoeken
Onderzoekrapport ‘De markt van medewerkeronderzoeken in kaart’ Het belang van duurzaam inzetbaarheidsbeleid wordt breed gedragen door politiek en werkgevers. Volgens de SER is een goed...
more » -
Documenthouder + Toetsenbord
Voorkom nekbelasting en vermoeide ogen De documenthouder Q-doc 415 wordt tussen het beeldscherm en het toetsenbord geplaatst. Hierdoor ontstaat een functioneel werkvlak, worden overbodige nekbelasting...
more » -
Multifunctionele FlexDesk 630 Whiteboard
Efficiënt en ergonomisch verantwoord uw werk doen De FlexDesk 630 Whiteboard is een multifunctionele documenthouder en lessenaar in 1. Het concept is helder en doeltreffend. Plaats de FlexDesk tussen...
more » -
DXT Precision Mouse + gratis Egg ergo muismat
Nauwkeuriger en efficiënter navigeren met de muis De DXT Precision Mouse combineert de neutrale polspositie van een verticale muis met de “precisie” grip van een pen. Door de ‘Precision’-grip...
more » -
Evoluent 4 + gratis Egg ergo muismat
Ergonomisch verantwoord muizen De Evoluent 4 is een verticale ergonomische muis. Uw hand omvat de Evoluent 4 in een ‘handschudgreep’ zodat de onderarm in een neutrale positie wordt...
more » -
Ergo-Q260 + S-Board 840 + Laptop Sleeve
Helemaal klaar voor Het Nieuwe Werken! De BakkerElkhuizen Ergo-Q260 laptopstandaard is een compacte, lichtgewicht laptopstandaard die mobiel werken met een gezonde werkhouding combineert. Deze...
more » -
FlexTop 270 + S-Board 860 Bluetooth
Helemaal klaar voor Het Nieuwe Werken! Met deze set bent u helemaal klaar voor Het Nieuwe Werken. U kunt de Bakker Elkhuizen FlexTop 270 laptopstandaard aan de laptop bevestigen, waarmee deze...
more » -
Efficiency software CtrlWORK
Geconcentreerd werken en beter presteren Met CtrlWORK efficiency software werkt u geconcentreerder en presteert u beter. Korte nieuwsflitsen, tips en informatie houden u scherp, verbeteren uw...
more » -
Casemanagement opleiding
De Basisopleiding Casemanager Verzuim In Nederland zijn circa 5.000 casemanagers actief. Toch was het beroepsprofiel van de professionele casemanager nog niet gedefinieerd. De Gecertificeerde...
more » -
Arbokiezer
Advies nodig bij het selecteren van uw arbodienst? In 10 minuten een gratis selectie en adviesrapport! Bent u verantwoordelijk voor arbo en verzuim binnen uw organisatie? Dan weet u dat het selecteren...
more » -
Verzuimsystemen
KIES IN 15 MINUTEN HET BESTE VERZUIMREGIESYSTEEM U zoekt een goed verzuimregiesysteem? Hoe komt u tot een goed wensen- en eisenpakket en hoe maakt u de juiste keuze voor de verzuimsoftware die het...
more » -
Collectief Pensioen Kiezer
Is uw pensioendossier op orde? De pensioenmarkt is volop in beweging. Met name de nieuwe Wft vergunning, gecombineerd met het verbod op provisie, zal de markt volledig gaan veranderen. Veel adviseurs...
more » -
Verzuimverzekering
Zijn uw verzuimkosten ook te hoog? Dat verbaast ons niets. Vrijwel iedereen heeft te maken met te hoge verzuimkosten. Kan dat dan niet anders? Jazeker! Innosurance heeft een verzuimverzekering...
more »
BG magazine ondersteunt de dagelijkse praktijk van professionals die zich bezighouden met bevlogenheid, productiviteit, (lifestyle) risico's, preventie, arbo, verzuim, re-integratie, organisatieontwikkeling, sociale zekerheid en wet- en regelgeving. BG magazine is een uitgave van Dialoque Media ©2012 - Alle rechten voorbehouden.
