Thuiswerk in coronacrisis: tips voor databescherming
Publicaties
30 maart 2020
Thuiswerk is de norm zolang de maatregelen van de coronacrisis gelden. Aldus de beslissing van de overheid op 17 maart 2020. Bedrijven voerden vervolgens massaal een thuis- en telewerkregeling in, zo blijkt ook uit recente bevragingen van, onder meer, Acerta.
Thuiswerk en vertrouwelijke bedrijfsgegevens?
Maar die nieuwe werkwijze brengt ook een aantal risico’s met zich mee, zeker voor werkgevers die voor de coronacrisis nog geen thuiswerk toelieten. Veel ondernemingen moesten halsoverkop thuiswerk invoeren en mogelijks daarvoor nog een volledig nieuw beleid uit de grond stampen . In die haast kan het zijn dat belangrijke aspecten, zoals de bescherming van bedrijfsdata en IT security, over het hoofd gezien worden.
Toch is dit belangrijk, want thuiswerk brengt immers nieuwe risico’s met zich mee op gebied van privacy en databescherming. Gelukkig kan je daarvoor ook goede veiligheidsmaatregelen invoeren en afspraken opnemen in je thuiswerkbeleid.
Vink alle risico’s af in je thuiswerkbeleid
Wil je zeker zijn dat je met alle risico’s rekening houdt in je huidige beleid rond thuiswerk?
Lees hieronder ons handig overzicht van de meest voorkomende risico’s én oplossingen daarvoor.
Thuiswerk en het risico op een datalek
Wanneer persoonsgegevens ongeoorloofd openbaar toegankelijk worden, verloren gaan, vernietigd of gewijzigd worden, spreekt men van een datalek.
Een werknemer die van thuis uit werkt, heeft niet dezelfde IT-infrastructuur en – beveiliging als op kantoor. Er is een verhoogde kans op datalekken wanneer werknemers op afstand toegang krijgen tot o.m. data- en softwarepakketten. Hetzelfde geldt wanneer werknemers papieren dossiers en documenten mee naar huis nemen. Een datalek kan negatieve gevolgen hebben voor het bedrijf, in de vorm van schade of aansprakelijkheid.
Wat bij een datalek?
Bedrijven zijn verplicht om zo snel mogelijk – en ten laatste binnen de 72 uur – na de vaststelling van een datalek de Gegevensbeschermingsautoriteit op de hoogte te brengen. Te laat of niet melden kan eindigen in geldboetes tot 10.000.000 euro of 2% van de totale wereldwijde omzet.
Databescherming is verantwoordelijkheid van de werkgever
Privacy en databescherming zijn en blijven de verantwoordelijkheid van de werkgever. Ondernemingen moeten waar nodig bijkomende technische en organisatorische maatregelen invoeren om databescherming bij thuiswerk te garanderen. Besteed er daarom ook aandacht aan in je thuiswerkbeleid, en neem het daar uitdrukkelijk in op.
Welke veiligheidsmaatregelen je kan invoeren om een datalek te vermijden, lees je hieronder.
Veiligheidsmaatregelen voor thuiswerk
De meest voorkomende oorzaak van datalekken, naast malware attacks en hacking, is de menselijke fout. Het is je plicht als werkgever om in te zetten op sensibilisering van je thuiswerkers. Informeer je werknemers duidelijk over de mogelijke risico’s op vlak van databescherming en de maatregelen die daarrond bestaan.
Onder het mom “een gewaarschuwd thuiswerker is er twee waard” kan je alvast aandacht besteden aan onderstaande veiligheidsmaatregelen:
Fysieke beveiliging
Het lijkt evident maar de kans dat de thuisomgeving van werknemers beter beveiligd is dan de bedrijfsgebouwen is klein. Maak thuiswerkers er attent op om de nodige fysieke beveiliging (brandalarmen, sloten, etc.) te voorzien en wijs hen op hun verantwoordelijkheid om toestellen niet onbewaakt achter te laten.
Netwerkbeveiliging
Verifieer of werknemers over een veilig thuisnetwerk beschikken wanneer ze van thuis uit werken. Geef hen bij voorkeur via beveiligde VPN-verbinding de mogelijkheid om toegang vanop afstand te krijgen tot het bedrijfsnetwerk. Voer waar mogelijk het gebruik van complexe wachtwoorden en/of Multi Factor Authenticatie in.
IT-apparatuur en beveiliging
Bescherm zowel hardware, software als netwerken tegen virussen en malware. Wijs thuiswerkers op het belang van goed uitgeruste IT-apparatuur en het up-to-date houden van beveiligingsprogramma’s. Voer het gebruik van remote wipe in waar mogelijk voor het geval toestellen verloren gaan of accounts gehackt worden.
E-mail en data-uitwisseling via samenwerkingsplatformen en – tools
Bestanden onvoorzichtig doorsturen geldt als een datalek. Wijs thuiswerkers op het belang van aandacht en ernst bij elke vorm van data-uitwisseling. Voer de encryptie van e-mailverkeer in waar mogelijk. Wees er als werkgever ook steeds aandachtig voor dat binnen diverse samenwerkingsplatformen en – tools steeds de juiste toegangsrechten worden toegekend.
Opslag en verwijdering
Denk goed na over de manier waarop uw organisatie opereert in de cloud: staan uw bestanden wel in een veilige cloudomgeving? Geef richtlijnen aan thuiswerkers omtrent het veilig en verantwoord opslaan en verwijderen van bedrijfsdata. Denk aan principes van clear desk, clear screen en het gescheiden houden van werk- en privédocumenten. Papieren documenten die weg mogen, worden bij voorkeur versnipperd en bv. niet met het oud papier buiten gezet.
Technische problemen en datalek
Zorg er als werkgever voor dat thuiswerkers steeds weten wat hen te doen staat ingeval van technische problemen of bij het vaststellen van een datalek. Zeker wat dit laatste betreft is kort op de bal spelen van groot belang. De werkgever heeft namelijk zelf maar 72 uur om het datalek tijdig te melden.
Extra veiligheidsmaatregelen tijdens coronacrisis
Social sharing
Waarschuw thuiswerkers voor de risico’s van social sharing waarbij werkdetails of dagelijkse routines bij het thuiswerken gedeeld worden via social media. Beroepsgeheim en discretieplicht blijven immers ook geldig bij thuiswerk.
Coronaberichtgeving en hacking
Hackers spelen in op het feit dat we nu massaal van thuiswerken en trachten via valse coronaberichtgeving allerhande virussen en malware te verspreiden. Zorg er dan ook voor dat thuiswerkers gewaarschuwd zijn om niet zomaar de eerste de beste links die ze toegestuurd krijgen te openen!
Wanneer je de bovenstaande aandachtspunten kan afvinken, sluit je al een heel pak risico’s op datalekken uit en voorkom je mogelijks rampzalige gevolgen achteraf.
Maar hoe garandeer je dat ook je werknemers deze maatregelen zullen naleven als ze thuiswerken?
Thuiswerkbeleid: dwing de veiligheidsmaatregelen af
Een van de beste manieren om bovenstaande veiligheidsmaatregelen af te dwingen bij alle werknemers is door ze op te nemen in je thuis- en telewerkbeleid.
Door je afspraken op papier te zetten zijn je werknemers correct geïnformeerd en kan je de naleving ervan ook afdwingbaar maken. Bovendien hoort het ook tot de verantwoordingsplicht van werkgevers om op elk moment te kunnen bewijzen dat de nodige veiligheidsmaatregelen genomen werden en de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de wet.
Naast de uitgewerkte veiligheidsmaatregelen biedt zo’n thuis- of telewerkpolicy ook ruimte om diverse andere – en minstens even belangrijke – afspraken met thuiswerkers op te nemen. Bijvoorbeeld afspraken rond kostenvergoeding, arbeidsuren (werktijden, bereikbaarheid), arbeidsongevallen, maar ook eventuele controlemogelijkheden van de werkgever op de elektronische communicatiemiddelen van de thuiswerker, etc.
Hulp of advies nodig bij een beleid rond thuiswerk?
Onze experts kunnen je helpen. Zowel bij advies rond privacy- en databescherming en het uitwerken van een IT-securitybeleid, als op het gebied van andere sociaalrechtelijke afspraken in de vorm van bv. een algemene thuis- of telewerkpolicy.
Neem hier contact op met ons team en wij koppelen zo snel mogelijk terug.
Ook interessant
