We zijn steeds meer afhankelijk van de apps op onze smartphones, tablets en laptops. Veel van deze apps worden ‘gratis’ aangeboden, en natuurlijk bestaan ‘gratis’ apps niet. Je betaalt met jouw data, en in veel gevallen is dit heel heel heel veel data. Hoe komt het dan toch dat we dat vergeten bij onze alledaagse werkzaamheden? Afgelopen week werd bekend dat er bij de Autoriteit Persoonsgegevens melding is gedaan. Er was een WhatsApp groep met 300 medewerkers van een COVID testbedrijf aangetroffen en bekeken door een journalist. Daarbij werd geconstateerd dat vele bestanden met persoonsgegevens gedeeld werden. Dit bevatte naam van het test subject, adres, communicatiegegevens, testresultaten en andere data. Dit was slechts dagen nadat er een andere grote discussie ontstond over de bediscussieerde update van de WhatsApp gebruikersvoorwaarden, die binnenkort van kracht worden. Laten we een blik werpen op de potentiële issues die gepaard gaan bij gebruik van dergelijke gratis apps voor bedrijfsactiviteiten.

Juridisch gebonden

Normaal gesproken ondergaat een nieuw beoogde app meerdere assessments om inzicht te krijgen in de privacy, security en andersoortige risico’s, deze te adresseren en op de juiste wijze te mitigeren. Een organisatie blijft immers altijd eindverantwoordelijk. Al deze resultaten worden beschreven en uit onderhandeld in een (verwerkers)overeenkomst. Ook al is de app ‘gratis’, betekent dat bovendien zeker niet dat de organisatie is vrijgesteld van deze verplichting. Ben je daarnaast wel in compliance met de voorwaarden van deze ‘gratis’ licentie? Ik heb daarbij licenties gezien waarbij consumenten gebruik mogen maken van deze ‘gratis’ versie, maar waarbij dit niet was toegestaan voor organisaties. Ik heb dit eerlijk gezegd niet nagekeken voor WhatsApp, omdat dat niet de essentie van deze blog is.

Gebuik IT

De tweede uitdaging waar je op moet letten is of de app geschikt is voor bepaalde data. Hiervoor moet er een duidelijk, helder beleidsstuk zijn. Welke data kun je bijvoorbeeld via e-mail versturen en waarbij zou je toch een andere oplossing moeten verzinnen? Als iemand dat niet weet, dan kan dit een serieus risico zijn voor de verwerkte data en dat kan vervolgens resulteren in serieuze datalekken. Enkele goede vragen die jij jezelf kunt stellen:

  • Is de app bedoeld om deze data te verwerken?
  • Wat zal er gebeuren als ik de data in deze app invoer?
  • Kunnen we de data nog wel voldoende managen, zodra we de data hebben ingevoerd?
  • Wie heeft er toegang tot de data en zouden ze daar wel toegang toe mogen hebben?
  • Hebben we nog steeds controle over de data?

Als het gezond verstand nee zegt, dan zou je moeten nakijken wat een beter wijze is om de data te delen. Vaak is dit een applicatielijst met toegestane applicaties, waarop staat welke applicatie de veilig geacht worden voor bepaalde type data. In het geval van WhatsApp is het eigenlijk best eenvoudig: deze app is niet bedoeld voor het verwerken van medische data of überhaupt van organisatie data.

Het is aan jou

De derde uitdaging is tussen de regels door eigenlijk al beschreven; mensen. Een organisatie heeft een belangrijke uitdaging om mensen bewust te maken en ze van de juiste informatie te voorzien. De mensen moeten weten hoe ze bepaalde systemen kunnen inzetten voor het verwerken van data. Het is een continu proces dat onderdeel is van de organisatiecultuur. Alle organisatielagen; top down en bottom up. Alle organisatieonderdelen moet hierin op elkaar afgestemd zijn qua privacy en security by default en dit ook omarmen. Als dit succesvol plaatsvindt, dan weten mensen welke vragen ze moeten stellen, zijn ze bewust hoe ze veilig kunnen werken en wanneer ze incidenten en problemen moeten melden.

Het gaat allemaal om…

Alle bovenstaande punten zijn de sleutel tot het bouwen van een succesvolle organisatie, waarbij privacy en security integraal onderdeel is van het DNA. Iedereen is onderdeel van deze cultuur en daarmee onderdeel van de succesvolle implementatie van security en privacy. We hebben hierin allemaal onze eigen rol, waarbij we elkaar scherp moeten houden. Het gaat dus allemaal om… jou.

Categories:

Comments are closed