Apps en programma’s vragen voortdurend om persoonlijke informatie. Alleen als we een account aanmaken, kunnen we ermee werken. Stappenteller, afslankprogramma, webshop, game – wat we ook online willen doen, het werkt alleen als we informatie invoeren.

Ook in de arbosector verloopt communicatie steeds vaker via internet. We kunnen online een zorgverzekering afsluiten. We maken online een afspraak met een arts. In de seniorenflat kunnen we via een app om hulp vragen. Het is begrijpelijk dat we daarvoor gegevens moeten delen. Die informatie is nodig om een offerte te kunnen maken of om de juiste hulp te bieden.

Maar sommige programma’s vragen onnodig veel informatie. Wat gebeurt daarmee? En hoe veilig zijn onze gegevens?

Informatie is geld waard

Onze gegevens zijn geld waard. De grote internetspelers willen alles van ons weten. Waarom? Om te weten welke medicijnen we slikken. Om ons hulpmiddelen aan te bieden. Om ons naar een bepaalde verzekering te sturen.

De best betalende adverteerders bepalen de online advertenties op Google, Facebook, LinkedIn, etc. Ze richten zich niet rechtstreeks op klanten, maar suggereren dat wel. Daarom blijven zij om informatie vragen. En daarom kan elke partij die gegevens van ons heeft, die data verkopen voor gigantische bedragen.

Hoe veilig zijn uw programma’s?

Uiteindelijk draait het dus allemaal om geld. Geld is de reden dat alle apps en programma’s zo veel mogelijk gegevens verzamelen. Dat alleen al maakt communicatie via internet gevaarlijk. Want als arbo- of zorggerelateerde organisatie is het uw taak om de gegevens van cliënten te beschermen. Weet u hoe veilig uw programma’s en tools zijn?

Veel tools slaan cliëntgegevens op, terwijl dat niet nodig is. Voorbeeld: een bedrijfsarts wil een afspraak maken met een cliënt. Daar heeft ze een tool voor. Ze voert een naam, geboortedatum en cliëntnummer in. Nu heeft ze alle cliëntgegevens makkelijk bij de hand. Maar voor de werking van de tool is dat helemaal niet nodig. De tool is uitsluitend bedoeld voor het plannen van afspraken. Het invoeren van cliëntgegevens voegt niets toe aan de eenvoudige kalender die de tool eigenlijk is. Alle informatie over de cliënt zit gewoon in het cliëntdossier.

Veel tools slaan cliëntgegevens op terwijl dat niet nodig is

Door deze gegevens aan elke afspraak te koppelen, ontstaat er een steeds onveiliger situatie. Een naam, geboortedatum en cliëntnummer zijn immers voldoende om alles wat er bekend is over de cliënt, op te zoeken.

Wie kijkt er mee in het verzuimsysteem van het UWV?

De Autoriteit Persoonsgegevens (AP) heeft het UWV begin november een last onder dwangsom opgelegd omdat de beveiliging van het werkgeversportaal niet goed genoeg gebleken is. Via het werkgeversportaal hebben werkgevers en arbodiensten onder andere toegang tot een verzuimsysteem. Daarin kunnen ze ziekteverzuimgegevens van werknemers invoeren en bekijken. Het portaal bevat gezondheidsgegevens van werknemers. Daarom is het UWV verantwoordelijk voor de beveiliging van dit portaal.

Organisaties die persoonsgegevens verwerken, moeten passende maatregelen nemen om ze goed te beveiligen. Extra hoge eisen worden gesteld aan de beveiliging van gezondheidsgegevens die online worden verwerkt. Meerfactorauthenticatie is een van die eisen. Bij deze toegangsbeveiliging moeten gebruikers zich identificeren met minimaal twee factoren om toegang te krijgen tot een systeem of applicatie. Een veel voorkomende vorm is een gebruikersnaam in combinatie met een wachtwoord.

Het UWV zou meerfactorauthenticatie moeten toepassen om toegang te geven tot het werkgeversportaal, maar heeft dat niet geregeld. En dan te bedenken dat meerfactorauthenticatie een minimumeis is. Er zou dus eigenlijk nog méér aan beveiliging moeten zijn.

Hoe veilig werken uw medewerkers?

Laten we de menselijke factor niet vergeten in de moderne communicatie. Te beginnen met papier. Het goeie ouwe papier. Wie heeft er niet ooit een brief in de brievenbus gevonden die voor iemand anders was? Wie kent niet de schandalen van politici die hun volle aktetas op de stoep hadden laten staan of op de achterbank laten liggen? Wie heeft er niet op het bureau van een collega documenten zien liggen die eigenlijk goed opgeborgen hadden moeten zijn?

En dan het mailverkeer. Het gebeurt ons allemaal wel eens dat we een mailtje versturen naar de verkeerde persoon. En we hebben ook allemaal wel mailtjes ontvangen die niet voor ons waren bestemd. Op zich kan dit al behoorlijk gevaarlijk zijn. Werkgevers zouden hun werknemers op het hart moeten drukken om twee keer na te denken voordat ze een mailbericht versturen.

Het gebeurt ons allemaal wel eens dat we een mailtje versturen naar de verkeerde persoon

Nog riskanter is dat veel bedrijven een cultuur hebben waarin het gebruikelijk is om hele groepen in de CC te zetten. Dan is iedereen altijd op de hoogte is de gedachte daarbij. Meestal leveren deze slordigheden geen gevaar op. Denken we. Maar wat als privacygevoelige informatie in verkeerde handen valt? Stel dat uw gespreksverslag via een CC terecht komt bij iemand die het per ongeluk doorstuurt?

Persoonsgegevens mogen nooit worden verspreid, ook niet intern. En al helemaal niet aan grote groepen mensen in de CC.

Bewustwording, training en controle van medewerkers

Bewustwording is hier een belangrijke sleutel. Uw medewerkers zijn niet met opzet slordig. Neem in het AVG-beleid van uw organisatie op hoe werknemers moeten omgaan met persoonsgegevens. Belangrijker nog: bied uw medewerkers een training aan over dit onderwerp, gevolgd door regelmatige opfriscursussen. Zorg voor goed IT-beheer en laat de juiste technische voorzieningen installeren. Niet alleen om uw systemen te beveiligen, maar ook om uw medewerkers te helpen om het goed te doen. En controleer of iedereen goed met de communicatie omgaat.

Veilig communiceren via internet

De tools die we gebruiken om te communiceren en dingen te regelen via internet, zijn niet allemaal veilig. Veel tools claimen dat ze voldoen aan de NEN 27001 en ISO 7510, terwijl ze niet echt gecertificeerd zijn. Technisch en juridisch zijn ze vaak zo lek als een mandje.

En dan hebben we het nog niet over programma’s die moedwillig informatie verzamelen en verkopen. Ze hebben het kunstje afgekeken bij de grote internetspelers en ruiken geld. Ze dekken zich in met lange lappen tekst over hun veiligheidsvoorzieningen en procedures. Teksten die niet om door te komen zijn. Maar dat geeft niet. U hoeft die teksten niet helemaal door te ploegen. U hoeft alleen maar even een vinkje te zetten bij “akkoord”. Vervolgens vragen ze u het hemd van het lijf, slaan ze alle informatie op en verkopen ze uw data door.

Veel tools zijn technisch en juridisch vaak zo lek als een mandje

Neem Twitter. Twitter zou een abonnementsvorm kunnen opzetten. Ze zouden daarvoor rustig € 0,50 per account per maand kunnen vragen. Met grofweg 315 miljoen actieve gebruikers wereldwijd geeft dat een omzet van € 1,9 miljard per jaar. Wie haalt daar nou zijn neus voor op? Er is vaak over gesproken, maar tot dusver is het abonnement er niet gekomen. De verkoop van gebruikersdata levert veel meer op.

Kennis is macht, ook in 2018

“Kennis is Macht” is een spreuk van Francis Bacon die dateert uit 1597. Ook na 421 jaar kan dit nog op twee manieren worden uitgelegd. De eerste is dat je alleen vooruitkomt in het leven als je studeert en je ontwikkelt. De tweede is: wie informatie heeft over zijn tegenstander, of willekeurige anderen, heeft een grote voorsprong. Daarom is die data zo veel geld waard. Want hoe mooi is het om te weten wat andere bedrijven aanbieden?

Als die informatie via internet verspreiden, kunnen wij daarvan profiteren. Hoe handig is het om te weten dat iemand die al maanden verzuimt, drie keer in de week gaat golfen? Netjes elke dag naar de AA-bijeenkomst gaat? Vorige week de badkamer heeft betegeld? Hoe interessant is het om te weten dat iemand die moet re-integreren, al drie gesprekken met een advocaat heeft gehad?

Hoe handig is het om te weten dat iemand die al maanden verzuimt drie keer in de week gaat golfen?

Als u de informatieveiligheid binnen uw organisatie niet goed heeft geregeld, kan dat u nog jaren achtervolgen. Bijvoorbeeld doordat u een onveilig programma gebruikt om cliëntgegevens bij derden op te slaan. Wist u dat u over tien jaar nog een boete kunt krijgen? Zelfs als u niet wist dat het programma onveilig was? Het is uw verantwoordelijkheid om uit te zoeken of zo’n programma veilig is.

End-to-end encryptie

Steeds meer programma’s voor chatten en videochatten maken gebruik van end-to-end encryptie. Zij versleutelen dus alle berichten, telefoon- en videogesprekken. De berichten worden versleuteld op de telefoon van de zender met een publieke sleutel. Ze worden pas weer ontsleuteld op de telefoon van de ontvanger met een geheime sleutel. Vandaar de naam: end-to-end encryptie. Voorbeelden van programma’s die dit toepassen zijn Signal en WhatsApp.

Klinkt veilig toch? Helaas. Er zijn een paar beperkingen aan deze vorm van beveiliging. De voornaamste is dat de metadata, ofwel de gedragsgegevens, zichtbaar blijven voor anderen. Het is dus nog steeds te zien met wie u communiceert, wanneer u dat doet en vanaf welk IP-adres. Die informatie wordt opgeslagen op Amerikaanse servers en verkocht aan wie maar wil. In verband met het beroepsgeheim en de privacy van uw cliënten wilt u als bedrijfsarts, zorgaanbieder of psycholoog dus zeker weten dat vertrouwelijke gespreksdata niet op Amerikaanse servers worden opgeslagen.

De tweede beperking is dat end-to-end encryptie ophoudt zodra het bericht is aangekomen bij de ontvanger. Dan wordt het bericht ontsleuteld. Maar wat gebeurt er daarna mee? Bewaart u het op uw telefoon? Als die gestolen of gehackt wordt, zijn al uw berichten alsnog te lezen.

Wist u dat WhatsApp toegang heeft tot alle telefoonnummers en e-mailadressen in uw telefoon?

Om dat te voorkomen, kunt u bij WhatsApp een back-up maken van uw berichten op Google Drive of iCloud. Jammer! Ook daarmee kan het misgaan. Want we weten wat Google en Apple met onze gegevens doen. Wist u trouwens dat WhatsApp toegang heeft tot alle telefoonnummers en e-mailadressen in uw telefoon? Ook Dropbox, WeTransfer en dergelijke diensten kijken mee met alles wat u verstuurt. Als u ze zonder extra voorzorgsmaatregelen gebruikt, worden ze zelfs beschouwd als datalek.

Tot slot valt de authenticiteit van publieke sleutels soms te betwijfelen. Het woord “publiek” is al veelzeggend: hackers kunnen erbij. Als het account van de ontvanger gehackt is, stuurt u uw berichten dus regelrecht naar het hol van de leeuw.

End-to-end encryptie biedt zeker meer veiligheid, doordat alleen de zender en de ontvanger een bericht kunnen lezen. Toch is dit niet het ei van Columbus.

Gecertificeerde tools, volledig gecertificeerde tools en niets dan gecertificeerde tools

Maar hoe weet u nou dat een programma veilig is of niet? Moet u dan al die teksten en verklaringen uitpluizen?

Nee, dat helpt niet. De eerst stap naar optimale informatieveiligheid is meteen de eenvoudigste: werk uitsluitend met tools die gecertificeerd zijn volgens NEN 27001 en ISO 7510. Dan weet u zeker dat ze de veiligheid goed geregeld hebben.

Alleen programma’s die volgens de NEN- en ISO-norm zijn gecertificeerd, mogen zichzelf veilig noemen. Niet-gecertificeerde programma’s zijn niet acceptabel. U doet dit niet alleen voor uw cliënten, maar ook voor uw eigen organisatie. Die draagt immers de verantwoordelijkheid.

Tips om veilig te communiceren via internet

  • Maak gebruik van versleutelde verbindingen
  • Zorg voor een firewall en antivirusprogramma
  • Voer updates direct uit
  • Meerfactorauthenticatie is een minimale eis!
  • Hanteer een krachtig wachtwoordbeleid
  • Werk niet via openbare wifi
  • Controleer welke data uw besturingssysteem met derden deelt
  • Gebruik e-mail en uw mobiel alleen voor algemene communicatie, nooit voor vertrouwelijke informatie.
  • Check of een programma, tool of systeem expliciet vermeldt dat er geen data op buitenlandse servers wordt opgeslagen

Denk niet automatisch dat grote bedrijven het wel goed doen, maar kijk verder dan uw neus lang is. Er zijn echt goede oplossingen te vinden. U weet nu waarop u moet letten!

© BG magazine