026 / privétoestellen als noodstrategie: homecomputer vs zaken laptop

Als de bedrijfscomputer opeens niet meer werkt: privétoestellen als noodstrategie?

De door de werkgever ter beschikking gestelde computer start niet op. Maar dringend projectwerk laat op zich wachten. De gedachte om het privé notebook te gebruiken komt al snel op. Het is een noodgeval. Maar is het AVG correct qua gegevensbescherming?

Wanneer er haast is

Hoe kan het anders zijn? Het concept zou om elf uur bij het afdelingshoofd moeten zijn, maar de pc die de werkgever voor het thuiswerken heeft voorzien start niet op. Nog maar twee uur tot de levering…

Het gebruik van privé-IT-apparaten bij het thuiswerken is eigenlijk niet toegestaan. De werkgever heeft daarom extra speciale pc’s aangeschaft en bij de werknemers thuis laten bezorgen. Maar nu is er een soort noodsituatie ontstaan: de bedrijfscomputer wil niet, dus je zou het privé apparaat kunnen gebruiken. Dat is tenminste het idee dat bij me opkomt. “Het privé notebook was tenslotte duur, het is zeer professioneel, moet ik zeggen…”

De pc-aanval en de gevolgen

Als je gewoon je eigen notebook gebruikt om het concept te voltooien, haal je misschien de deadline voor indiening, maar je overtreedt de richtlijnen die de werkgever heeft gesteld voor thuiswerken.

Ga er niet vanuit dat een “deadline” alle middelen rechtvaardigt. Het concept kan op tijd bij het afdelingshoofd zijn. Maar het vertrouwelijke concept met de klantgegevens kwam op een privéapparaat terecht. Ze hebben het daar bewerkt en vanaf daar gemaild.

De werkgever verbood het gebruik van het privétoestel niet zomaar. Daar zijn goede redenen voor. De werkgever heeft geen overzicht van:

  • of de privé notebook is voorzien van alle updates,
  • of de beveiligingssoftware voldoet aan de eisen,
  • of de e-mail beveiligd is verzonden,
  • of bijvoorbeeld de privé notebook zo is ingesteld dat alle bestanden erop automatisch worden overgebracht naar een cloud voor gegevensback-up, die niet voldoet aan de vereisten voor gegevensbescherming.

Vraag eerst en zorg voor bescherming

Iedereen die zonder overleg afwijkt van de veiligheidsrichtlijnen van de werkgever moet op problemen rekenen, ook als het een urgent begrip is en als je een uitzondering wilt maken voor een calamiteit.

Bescherm uzelf altijd en vraag uw leidinggevenden of u in uitzonderlijke gevallen uw privétoestel mag gebruiken. Maar denk dan ook eens aan het beveiligen van de data.

Zo mag de werkgever het zakelijk gebruik van eigen (home) apparatuur, ook wel BYOD (Bring-Your-Own-Device) genoemd, alleen goedkeuren als de beveiligings- en gegevensbeschermingsmaatregelen voor het apparaat correct zijn. Hetzelfde hoge beveiligingsniveau moet gelden als bij het gebruik van de bedrijfs-pc.

Als de werkgever de uitzondering goedkeurt, moeten alle beschermende maatregelen worden genomen om de toegang tot het bedrijfsnetwerk te beveiligen en ervoor te zorgen dat er geen bedrijfsgegevens achterblijven op privé-apparaten.

Als de uitzondering niet de regel is

Als de werkgever je eenmaal toestemming heeft gegeven om je privé apparaat te gebruiken, mag dit echter geen regel worden omdat je liever met bijvoorbeeld je privé-notebook werkt.

023 / Dropbox, Google Drive etc… daarom kan eigen initiatief gevaarlijk zijn!

Als u uw gegevens opslaat in cloudopslag zoals Google Drive, kunt u deze overal via het internet openen. Dit is ideaal voor flexibel werken in het thuiskantoor of onderweg. Voor gegevensbescherming ziet het er echter heel anders uit.

Het doel: gegevens opslaan, uitwisselen en beveiligen

Iedereen die in het thuiskantoor of onderweg werkt moet soms creatief zijn, zo lijkt het. Veel mogelijkheden die op kantoor bestaan zijn buiten het bedrijf niet beschikbaar. Als u bijvoorbeeld belangrijke gegevens wilt opslaan lijkt het opslaan op de notebook of tablet alleen niet voldoende. Wat gebeurt er bij verlies van het eindapparaat? Dan blijkt al het werk tevergeefs.

Op kantoor kunt u uw gegevens opslaan in een directory in het netwerk. Ook collega’s die met de data aan de slag moeten, kunnen daar gemakkelijk bij. Bent u echter onderweg of in het thuiskantoor, dan ontbreken deze opties soms voor opslag in het netwerk en voor gegevensuitwisseling. Regelmatige back-ups zijn ook niet zo eenvoudig centraal uit te voeren als u onderweg of in je thuiskantoor werkt.

Als het bedrijf niet de juiste ondersteuning biedt of als u de voorgestelde oplossingen voor gegevensopslag en gegevensoverdracht niet kent, wordt u snel inventief. Er zijn oplossingen zoals Google Drive of Dropbox die zich privé al hebben bewezen. Herkent u u weer? U staat hierin niet alleen – helaas vanuit het oogpunt van gegevensbescherming.

Het probleem: de zogenaamde schaduw-IT

Kiest u als gebruiker de oplossingen waarmee u data wilt opslaan en uitwisselen, dan zorgt u voor zogenaamde schaduw-IT. Dit betekent IT-oplossingen die de verantwoordelijke afdeling in het bedrijf niet heeft gecontroleerd en goedgekeurd.

Als u ongecontroleerde en operationeel niet goedgekeurde oplossingen gebruikt, kunnen risico’s voor de data, die niet bekend zijn bij de IT-afdeling, in het bedrijf worden aangesloten. En daarom kunnen deze risico’s niet worden afgewend met de benodigde IT-beveiligingsoplossingen. Dit is vooral het geval bij cloudopslag, waar iedereen snel, gemakkelijk en meestal gratis gebruik van kan maken.

De dringende aanbeveling: neem a.u.b. geen initiatief in gegevensopslag

Normaal gesproken is elk bedrijf blij met het initiatief van de medewerkers. Maar als het om databeveiliging en data protectiecompliance gaat, is het niet goed en ook niet wenselijk om zelf naar oplossingen te zoeken.

Operationele gegevens mogen alleen worden opgeslagen en uitgewisseld in oplossingen die zijn goedgekeurd door het bedrijf. Anders kunnen de gegevens in gevaar komen omdat de beveiliging van oplossingen voor privédoeleinden niet voldoet aan de hoge eisen van een bedrijf. Daarnaast kan het, zeker bij cloudopslag, voorkomen dat de persoonsgegevens worden doorgegeven aan een land dat niet simpelweg het noodzakelijke niveau van gegevensbescherming biedt.

Gebruik daarom alleen bedrijfsgoedgekeurde applicaties, ook in het thuiskantoor en onderweg! Als je de oplossing niet weet, vraag het dan.