Whatsapp, LinkedIn, Evernote, Dropbox, Google Docs, Google Drive, OneDrive, Toodoo… Er zijn veel handige tools waarmee medewerkers efficient kunnen communiceren en bestanden kunnen opslaan, bewerken, plannen en delen. Maar ze zorgen vanwege de Algemene Verordening Gegevensbescherming (AVG) ook voor grote risico’s. Hoe ga je daarmee om?
PrivacyZone geeft vijf management argumenten waarmee organisaties die deze risico’s onder controle willen krijgen.
Het begint met nadenken over het faciliteren van enthousiaste ijverige medewerkers die efficienter en productiever willen werken.
Het probleem ligt meestal niet bij de medewerkers, maar bij starre ICT-managers die te weinig rekening houden met de behoeften van de werknemers. De ICT-afdeling van het bedrijf moet de belangen van de medewerkers zeer serieus nemen en zich meer richten op de behoeften van haar medewerkers.
Veel medewerkers zijn ontevreden over de digitale tools die ze van hun werkgever ter beschikking krijgen. Ze gebruiken daarom op eigen initiatief ongeautoriseerde apparatuur en apps en schenken daarbij geen aandacht aan regelgeving, beveiliging of compliance. Voor de werkgever is dat een groot probleem.
ICT-afdelingen stoorden zich altijd al aan medewerkers die de bedrijfsmatige ICT-omgeving proberen te omzeilen. Ze hebben geen controle op deze collega’s. Ze waarschuwden het management altijd al voor de mogelijke consequenties.
Tot de invoering van de AVG namen veel managers de kritische geluiden van de ICT-ers vaak voor kennisgeving aan. Mogelijk ook omdat ze zelf ook gebruik maken van deze handige tools. Sinds de AVG ligt dat anders. Het management is nu aansprakelijk geworden voor overtredingen van de privacywet.
Ongecontroleerde systemen stellen bedrijven voor juridische uitdagingen, niet in de laatste plaats omdat de naleving van de regelgeving inzake gegevensbescherming, auteursrechtelijke bescherming of bewaarplicht op geen enkele wijze wordt gegarandeerd.
Whatsapp verschaft zich bijvoorbeeld toegang tot alle contactadressen op een smartphone. Prive is dat juridisch geen probleem, zakelijk wel. De organisatie moet kunnen aantonen dat iedere contactpersoon vooraf toestemming heeft gegeven zijn contactgegevens met Whatsapp te delen.
Google Docs, Dropbox en OneDrive zijn handig om bestanden op te slaan en te delen. Maar wat nu als dit priveaccounts zijn waarin zakelijke documenten met veel persoonlijke gegevens worden opgeslagen? Dan is het bedrijf niet compliant. Er is geen controle meer.
Al die persoonlijke apps vormen ook een constante bedreiging voor de IT-beveiliging, omdat hackers via deze kanalen wellicht gemakkelijker toegang kunnen krijgen tot het zakelijke netwerk.
Veel persoonlijke smartphones en tablets die door werknemers worden gebruikt voldoen niet aan de ICT-protocollen van het bedrijf.
Hoe kun je zorgen voor een cultuuromslag binnen de organisatie? PrivacyZone heeft 5 argumenten:
1. De werknemers informeren
De onzorgvuldigheid van medewerkers in de omgang met smartphones en tablets is vaak te wijten aan kennisgebrek over de juridische risico’s die de werkgever loopt. Regelmatige Privacy Awareness trainingen en informatie kunnen dan helpen. Alleen wanneer medewerkers zich volledig bewust zijn van de risico’s die gepaard gaan met het gebruik van onbevoegde apps, kan van hen worden verwacht dat zij er meer zorg aan besteden.
2. Leren van werknemers
Bedrijven doen er verstandig aan alle apps die werknemers privé gebruiken eens grondig te inventariseren. Vraag waarom de medewerker deze tools zo graag gebruiken. De organisatie kan zo achterhalen hoe ze hun personeel nog beter kunnen faciliteren. Misschien kunnen sommige tools toegevoegd worden aan de lijst met officiele zakelijke tools. Misschien zijn er alternatieve applicaties die wel voldoen aan de AVG. Als de organisatie meedenkt met de medewerkers en zelf vergelijkbare bruikbare applicaties aanbiedt wordt het risico van wangedrag van werknemers verminderd.
3. Betrekken van afdelingen
Organisaties moeten ervoor zorgen dat IT- en bedrijfsafdelingen nauw samenwerken om zinvolle apps te leveren en tegelijkertijd aan de beveiligingsnormen te voldoen. Degenen die verantwoordelijk zijn voor IT en compliance moeten niet optreden als “remmers”, maar als constructieve business enablers.
4. Toegang tot de infrastructuur controleren
Bedrijven moeten precies definiëren welke apps welke interne resources of clouddiensten mogen gebruiken. Je moet bijvoorbeeld aangeven welke e-mail app toegang heeft tot de Exchange of Office365 server. Ongeautoriseerde apps mogen geen toegang krijgen.
5. Zorg voor de juiste apps
Bij het selecteren van goedgekeurde apps zijn veiligheid en compatibiliteit met stationaire IT belangrijk. Toch heeft gebruiksvriendelijkheid ook een hoge prioriteit. Alleen als gebruikers tevreden zijn met de apps en hun werk zonder problemen kunnen doen, gaan ze niet op zoek naar eigen apps.
Aanmelden PrivacyZone Nieuwsbrief
Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.
Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.
U kunt u ten allen tijde eenvoudig afmelden voor de nieuwsbrief. Zie de Privacy Policy en Algemene Voorwaarden van PrivacyZone.