Onder de noemer Digitaal brevet 'Privacy & Security, heeft SURF (ICT-coöperatie van onderwijs en onderzoek, surf.nl) een serie online modules voor studenten en medewerkers van onderwijsinstellingen (mbo, hbo, wo) ontwikkeld. Het doel van deze modules is om specifieke doelgroepen zoals studenten, HR-medewerkers, onderzoekers en baliemedewerkers alle benodigde kennis en vaardigheden rondom privacy en security mee te geven.
De module 'Privacy & Security voor medewerkers' is specifiek voor medewerkers bedoeld.
Inhoud module
Inderdaad, van harte welkom!
Je staat op het punt om aan een interessante reis te beginnen. Een reis door de wereld van 'privacy en security'. Dat klinkt misschien nog niet zo sexy, maar let even goed op. Want dit gaat niet over allerlei regeltjes en protocollen, maar over een werkwijze waarmee je zorgt voor een zo veilig mogelijke omgang met informatie. Over informatie die waardevol is, bijvoorbeeld jouw eigen persoonsgegevens, persoonsgegevens van collega's en eigenlijk alle informatie die wij als onderwijsinstelling goed moeten beschermen.
Tijdens je werkzaamheden krijg je te maken met allerlei soorten informatie. Persoonsgegevens, onderzoeksrapporten, financiële rapporten, gevoelige beleidsinformatie en foto's en video's. Voor de omgang met die informatie gelden vijf principes. Die principes leer je in deze online module.
En waarom staan er dan allemaal mensen op de openingsfoto van deze module, terwijl het toch over (digitale) informatie gaat? Precies; eigenlijk gaat dit hele verhaal juist over mensen. Over jou dus en over de manier hoe jij, je collega's en alle studenten met informatie omgaan. Want de mens is hierin zowel de zwakste, als de sterkste schakel...
Doel van deze module
Als je deze module doorlopen hebt weet je:
wat de vijf leidende principes zijn om een goede omgang met privacy en security te waarborgen,
hoe je die principes samen met collega's concreet in de praktijk kunt toepassen,
waar je terecht kunt als je tegen problemen aanloopt, of gewoon als je vragen over privacy en het beveiligen van informatie hebt.
Opzet van deze module
De module is opgebouwd in vijf hoofdstukken: in ieder hoofdstuk behandelen we één principe. De vijf principes die je tegen gaat komen zijn:
Principe 1: Maak voor je werk alleen gebruik van ICT-faciliteiten die jouw werk aanbiedt
Principe 2: Weet altijd met wie je te maken hebt
Principe 3: Werk altijd en overal veilig en betrouwbaar
Principe 4: Laat alleen de juiste mensen bij de juiste gegevens
Principe 5: Help elkaar op weg naar het juiste gedrag
Ieder hoofdstuk is op dezelfde wijze opgebouwd, zodat je er snel je weg in kunt vinden. Per hoofdstuk doorloop je deze stappen:
Stap 1: een beknopte samenvatting van het principe
Stap 2: een korte quiz bestaande uit 10 vragen, om daarmee je voorkennis over het principe te testen
Stap 3: een uitleg van de belangrijkste begrippen die bij het principe een rol spelen
Stap 4: een overzicht van de belangrijkste do's en don'ts binnen drie scenario's uit de praktijk
Stap 5: een challenge die je samen met collega's kunt uitvoeren om te testen hoe goed jullie het principe al in de vingers hebben
Duur van deze module
Het doorlopen van de gehele module kost ca. 1,5 uur.
Vragen?
Heb je tijdens het doorlopen van deze module of na afloop vragen? Neem dan contact op met [contactgegevens].
We wensen je heel veel succes met het doorlopen van deze cursus!
Principe #1 - Maak voor je werk alleen gebruik van ICT-faciliteiten die jouw werk aanbiedt
Samenvatting
In deze module wijzen we je op het belang om zoveel als mogelijk gebruik te maken van de ICT faciliteiten die door jouw onderwijsinstelling aangeboden worden. Met de juiste hardware en software kunnen we onze gevoelige data, zoals persoonsgegevens, beter beschermen en een zo groot mogelijke beveiliging garanderen.
Een onderwijsinstelling staat nooit stil. Ruimte voor innovatie is een van onze primaire levensbehoeftes. Wil je gebruik maken van een nieuw type soft- en/of hardware, dan kijken we samen of dat mogelijk is. Wellicht biedt het huidige ICT-landschap al de mogelijkheid om jouw doelen te realiseren, je dagelijkse werk te ondersteunen of is er toch echt nieuwe technologie nodig. In dat geval is het noodzakelijk dat we samen de juiste route bewandelen, om zeker te weten dat de licenties op de juiste wijze afgesloten worden en er (indien de toepassing persoonsgegevens verwerkt) een verwerkersovereenkomst is met de leverancier.
Ook jouw privé-apparatuur mag je onder bepaalde voorwaarden gebruiken voor je zakelijke werkzaamheden. Maar we raden je bijvoorbeeld wel sterk af om je zakelijke cloud diensten met je privé apparatuur te synchroniseren om wildgroei van bestanden tegen te gaan. Werk je altijd via de cloud, dan hoeft het gebruik van privé apparatuur geen probleem op te leveren.
In deze module gaan we ook in op het gebruik van social media, zoals Facebook, WhatsApp en YouTube. Met deze organisaties is geen verwerkersovereenkomst af te sluiten om controle te houden over het gebruik van persoonsgegevens. Sterker nog, deze organisaties mogen via de licentieovereenkomst die je bij het aanmaken van een account met hen sluit gebruik maken van alle content die je op hun platform plaatst. Lastig dus om bijvoorbeeld een eerder gegeven toestemming voor het gebruik van persoonsgegevens terug te draaien, als jouw persoonsgegevens al op allerlei verschillende plekken op het platform ronddwalen.
Kortom; zolang je binnen de ICT-faciliteiten die we je nu al aanbieden werkt zorg je voor maximale garanties op het gebied van privacy en security. Maar wil je innoveren dan is ook daar voldoende ruimte voor zolang je dat in goed overleg met de juiste afdelingen binnen onze organisatie doet.; De wijze waarop vind je gedurende de module op de relevante pagina's.
Iedere module beginnen we eerst met een korte quiz waarmee je jouw voorkennis kunt testen. Veel succes met deze eerste module!
Wat weet je al?
Toets: Wat weet je al?
0%
Maak voor je werk alleen gebruik van ICT-faciliteiten die jouw werk aanbiedt. Dat klinkt heel streng, maar er zijn verschillende redenen waarom dit misschien wel het belangrijkste principe van de hele cursus is... In deze korte quiz kun je jouw voorkennis op dit gebied checken en krijg je meteen een beeld van de onderwerpen die we in deze module behandelen.
De onderstaande antwoorden moet je zelf nakijken; vergelijk jouw antwoorden met de goede
antwoorden, en geef aan in welke mate jouw antwoorden correct zijn.
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom de ICT-faciliteiten die jouw werk je aanbiedt.
Samenvatting:
Een verwerkersovereenkomst is (naast een licentieovereenkomst) altijd nodig indien je met nieuwe software gaat werken waarin persoonsgegevens worden verwerkt. Ga je zelf persoonsgegevens op bijvoorbeeld social media plaatsen, weet dan dat je het social media platform veelal via de voorwaarden waar je mee akkoord bent gegaan ook een 'licentie' geeft om jouw content te gebruiken.
Maar welke soft- of hardware je ook gebruikt, het updaten van alle toepassingen, het encrypten van je harde schijf en je verbinding en het hanteren van een algehele goede digitale hygiëne blijft de belangrijkste stap om een veilige omgang met privacy en security te garanderen.
Persoonsgegevens zijn (veel) geld waard
Ja, ook die van jou! Een gigantische hoeveelheid online platforms verdient inmiddels geld aan jouw persoonsgegevens. Zelfs als je geen gebruik maakt van enkele bekende social media platforms weten die vaak toch veel meer over jou dan je denkt:
Hoe completer het profiel is dat een platform van jou heeft, hoe beter er bijvoorbeeld advertenties op jouw persoonlijke pagina zijn te tonen. En die leveren het platform weer meer inkomsten op.
Om jouw persoonsgegevens te beschermen sluiten wij als onderwijsinstelling met onze ICT-leveranciers zogenaamde verwerkersovereenkomsten af. In deze overeenkomsten leggen we precies vast wat zij wel en vooral niet met de persoonsgegevens van onze studenten en medewerkers mogen doen. Handig dus om goed het belang van zo'n overeenkomst te weten indien je zelf nieuwe software voor je werk wilt gaan gebruiken.
Lees dit voorbeeld maar eens:
Een docent gebruikt even snel een Google Doc om aantekeningen van enkele studenten Politicologie met voor- en achternaam in te kopiëren en laat per ongeluk de instellingen van het document op 'openbaar' staan. De onderwijsinstelling maakt zelf gebruik van Microsoft 365, waardoor er geen verwerkersovereenkomst met Google is.
Jaren later krijgt de inmiddels oud-student via via te horen dat er aantekeningen van hem online staan, waarin duidelijk zijn politieke voorkeur is te lezen. De docent die het Google-account beheert is niet meer werkzaam bij de onderwijsinstelling, waardoor het document ook niet zomaar meer weg te halen is.
Dit is voor de student een heel vervelende situatie, die voorkomen had kunnen worden indien de docent gebruik had gemaakt van de ICT-toepassingen van de eigen onderwijsinstelling. En hetzelfde geldt voor het gebruik van privé apparatuur; ook hier kan het erg fout gaan zoals je in onderstaand voorbeeld leest...
Een medewerker van een onderwijsinstelling had voor het gemak haar zakelijke OneDrive gesynchroniseerd met haar privé laptop, zodat alle zakelijke bestanden ook direct lokaal op eigen laptop, offline te bewerken zouden zijn. Na een rit met de trein bleek dat haar laptop gestolen was; de wachtwoordbeveiliging op de laptop bleek niet voldoende.
Enkele dagen later werd bekend dat er verschillende bestanden met persoonsgegevens uit de laptop op het internet geplaatst waren, met grote schade voor alle betrokkenen tot gevolg.
Wees dus altijd zeer terughoudend in het gebruik van soft- en/of hardware buiten het aanbod van jouw onderwijsinstelling om!
Lees onderstaand eerst goed om te weten wat de verschillende begrippen inhouden. Op de volgende pagina ontdek je de belangrijkste do's en don'ts rondom het werken binnen de kaders van de ICT-faciliteiten die jouw onderwijsinstelling aanbiedt.
Wat heb jij te verbergen?
Niks toch... ! Waarom zouden we ons dan druk maken over privacy? Goeie vraag, misschien geeft deze video je al een eerste antwoord:
Oeps, er is dus toch wel iets dat je wilt verbergen... Veel van de informatie over personen die in deze video voorkomt noemen we 'persoonsgegevens'. Persoonsgegevens omvatten alle informatie die direct of indirect herleidbaar is tot jou als uniek persoon. En waarom is het belangrijk om dat te weten? Omdat je met persoonsgegevens van anderen ook heel vervelende dingen kunt doen.
Kijk maar eens:
Bedreiging door seksuele voorkeur
Persoonsgegevens
Ok, het is dus belangrijk om je persoonsgegevens niet zomaar overal rond te strooien. Maar wat zijn dat nou precies, 'persoonsgegevens'? Eigenlijk alle gegevens die alleen, of in combinatie met elkaar, tot jou als uniek persoon te herleiden zijn.
Ken je het spelletje 'Wie is het?' rechts nog? In dit spel combineerde je verschillende persoonsgegevens om zo uiteindelijk die ene juiste persoon te raden. Zo werkt het ook met jouw eigen persoonsgegevens. Alleen de bruine kleur van jouw haar is geen persoonsgegeven, maar wel als jij de enige persoon met bruin haar in jullie klas bent. Jouw voornaam alleen is in veel gevallen niet voldoende om je mee te identificeren, maar wel als ook je achternaam en huisnummer bekend zijn.
Voorbeelden van persoonsgegevens zijn: je naam, (e-mail)adres en woonplaats. Maar ook telefoonnummers, bankrekeningnummers, studieresultaten en postcodes met huisnummers zijn persoonsgegevens.
Bijzondere persoonsgegevens
En ja, dan zijn er ook nog 'bijzondere' persoonsgegevens! Deze speciale categorie is bij wet extra beschermd; geen enkele organisatie mag deze gegevens van jou opvragen, tenzij daarvoor in de wet een uitzondering is gemaakt. Een van deze uitzonderingen is 'toestemming': zodra jij zelf toestemming geeft aan een organisatie om bijzondere persoonsgegevens van jou op te slaan is dit voor deze organisatie wettelijk toegestaan.
Bijzondere persoonsgegevens gaan over:
ras of etnische afkomst;
politieke opvattingen;
religieuze of levensbeschouwelijke overtuigingen;
lidmaatschap van een vakbond;
genetische gegevens;
biometrische gegevens met oog op unieke identificatie;
gezondheid;
seksuele leven.
En nu?
Wat heb je aan al deze informatie over persoonsgegevens? Lees onderstaande tekst van de Autoriteit Persoonsgegevens eens:
Elke keer als je persoonsgegevens gebruikt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens gebruiken als het echt niet anders kan. Dus: als je zonder deze gegevens je doel niet kunt bereiken.
Dit betekent dat een organisatie zoals jouw onderwijsinstelling een goede reden moet hebben om persoonsgegevens te gebruiken. Zo'n reden noem je een 'wettelijke grondslag'. Er bestaan 6 wettelijke grondslagen waarmee het rechtmatig is dat je persoonsgegevens gebruikt, bijvoorbeeld als iemand je toestemming geeft, als het wettelijk verplicht is of als je persoonsgegevens noodzakelijk zijn om een overeenkomst (zoals een arbeidscontract) uit te kunnen voeren.
De wettelijke regels rondom het gebruik van persoonsgegevens zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). De kern hiervan is:
Er is een doel en een wettelijke grondslag voor verwerking van persoonsgegevens.
Er worden niet meer gegevens verzameld dan nodig zijn voor het betreffende doel.
Gegevens worden weer opgeruimd als deze niet meer nodig zijn voor het betreffende doel.
Rechten van betrokkenen worden gerespecteerd (o.a. het verstrekken van informatie over wat er met hun gegevens gebeurt).
Verwerking gebeurt veilig en bij inschakelen van andere partijen is het maken van afspraken over het gebruik van de persoonsgegevens (de verwerkersovereenkomst) verplicht.
Verwerkersovereenkomst & Licentierecht
Verwerkersovereenkomst
Een medewerker of student deelt enkele van zijn of haar persoonsgegevens met de onderwijsinstelling. De onderwijsinstelling gebruikt weer sommige van deze persoonsgegevens om bepaalde diensten aan te kunnen bieden, onderwijs te kunnen verzorgen of om aan bepaalde wettelijke verplichtingen te voldoen. De persoonsgegevens die de onderwijsinstelling daarvoor weer met externe partijen deelt vallen niet binnen de afspraken die jij met de onderwijsinstelling hebt gemaakt. Hiervoor zal de onderwijsinstelling weer een nieuwe overeenkomst met de externe partij (de 'verwerker' van jouw persoonsgegevens) moeten afsluiten. Dit heet een verwerkersovereenkomst en is verplicht voor zowel de onderwijsinstelling als voor de externe verwerker van de persoonsgegevens.
Een licentie wordt ook wel een gebruiksrecht genoemd. De voorwaarden waaronder een licentie (en daarmee het gebruiksrecht) wordt verleend, staan altijd in de licentieovereenkomst. Je sluit een licentieovereenkomst bijvoorbeeld af als je gebruik gaat maken van nieuwe software (iedereen kent het vakje 'Ik ga akkoord met de licentieovereenkomst', maar wie leest deze tekst ook echt...?), maar het kan eigenlijk het gebruik van ieder type (digitale) content zijn, ook foto's en video's. Wil je op onze onderwijsinstelling gebruik maken van nieuwe software, dan moet je dat altijd eerst aanvragen via [contactgegevens relevante afdeling].
Ook bij het gebruik van social media zoals Facebook en WhatsApp ga je akkoord met hun algemene voorwaarden. Je gaat dus direct akkoord; je kunt hierover niet met deze partijen onderhandelen. Hierbij geef je het social media platform vaak ook een 'licentie', dus een gebruiksrecht, om bijvoorbeeld jouw foto's en video's te mogen gebruiken. Ze worden daarmee geen eigenaar van de content (dat blijf jij), maar door deze overeenkomst mogen bijvoorbeeld anderen wel jouw foto's en video's delen. Het is daarmee dus erg lastig om alle content die je ooit zelf op het platform hebt gezet ook weer volledig te laten verwijderen mocht je dat ooit willen.
Wat leer je?
In dit onderdeel leer je alle handelingen kennen om zoveel als mogelijk gebruik te maken van de ICT-faciliteiten die jouw werk aanbiedt.
Samenvatting
De onderwijsinstelling waar je bij werkt faciliteert je voor jouw werk zowel qua hard- als software. Deze middelen zijn over het algemeen voldoende om jouw werkzaamheden mee uit te kunnen voeren, maar toch komt het voor dat medewerkers aanvullende soft- en/of hardware wensen. Wees je bewust dat je bij nieuwe software naast een licentieovereenkomst soms ook een verwerkersovereenkomst nodig hebt. En dat je bij het gebruik van eigen hardware moet zorgen voor beveiligingsmaatregelen, zoals encryptie. En het uitlenen van je apparatuur, ook aan vrienden of bekenden, is in het kader van veiligheid geen goed idee.
De ICT-faciliteiten van jouw werk
Iedereen probeert zijn of haar werk op de best mogelijke manier uit te voeren. De een heeft daar twee laptops voor nodig, de ander een speciaal softwareprogramma en weer een ander misschien wel alleen een mobiele telefoon. Er was een tijd dat je hier nog vrijwel niet over na hoefde te denken, zucht...
Nu, 40 jaar later, zien we hoe snel de ontwikkelingen zijn gegaan. Een mobiele telefoon en een laptop zijn de standaarduitrusting van de meeste medewerkers en studenten. Maar welke risico's kleven er aan het uitbreiden van je vaste set aan ICT-faciliteiten die jouw werk aanbiedt met eigen hard- en software? Kun jij per onderwerp bedenken wat de belangrijkste do's en don'ts zijn?
Het gebruik van zelfgekozen software
Iedereen kent het wel; je wilt snel even iets regelen voor je werk of hebt een leuk idee voor bijvoorbeeld een nieuwe werkvorm met studenten. Maar met de programma's op je laptop lukt het net niet om je doel te bereiken. Dus wat doe je? Even snel naar Google om te kijken of er een oplossing is. En ja hoor, een website die je nog niet kende biedt precies het juiste programmaatje aan!
Gelukkig hoef je tegenwoordig bijna geen programma's meer te downloaden, want dan loop je altijd tegen de restricties van systeembeheer aan. Bij de website die je gevonden hebt hoef je alleen maar even een account aan te maken, akkoord te gaan met de voorwaarden en je kunt direct aan de slag. Dat de studenten ook een account moeten aanmaken neem je voor lief, ze krijgen er straks veel voor terug. Toch..?
Wat denk jij dat de vier belangrijkste aandachtspunten zijn rondom software die je buiten de reguliere software van je onderwijsinstelling gebruikt? Bekijk hier het antwoord:
1. Persoonsgegevens? Dan is een licentie alleen niet genoeg
Worden er in de nieuwe software die je wilt gaan gebruiken persoonsgegevens verwerkt? Dan heb je naast een licentie op de software ook een verwerkersovereenkomst nodig. Maakt de software geen gebruik van persoonsgegevens, dan is een verwerkersovereenkomst niet nodig. Is de nieuwe software bijvoorbeeld alleen een programma dat lokaal op jouw computer berekeningen uitvoert zonder persoonsgegevens te verwerken, dan heb je aan een licentie op de software voldoende.
2. Ook een verwerkersovereenkomst nodig? Regel dat tegelijk met de licentieovereenkomst
Wil je nieuwe software gaan gebruiken en worden er persoonsgegevens in de software verwerkt? Dan moet je direct met de licentieovereenkomst ook de verwerkersovereenkomst sluiten. Zorg dat de afdeling Inkoop direct met dit proces meekijkt en de licenties/overeenkomsten voor je regelt. Sluit je eerst een licentie af en wil je daarna nog een verwerkersovereenkomst sluiten, dan is er waarschijnlijk niet alleen al persoonlijke data in de toepassing gebruikt, maar heb je ook een slechte onderhandelingspositie om de verwerkersovereenkomst alsnog goed te regelen.
3. Zowel thuis als op je werk
Steeds meer software draait in de cloud en is daarmee 'unmanaged'; de software draait op de servers van de aanbieder zelf, zodat je er als organisatie geen omkijken meer naar hebt. Dan is aan de ene kant prettig, maar betekent ook dat je zowel thuis als op je werk directe toegang tot de software hebt. Je wachtwoorden en allerlei trackers waar de software mogelijk gebruik van maakt staan daarmee zowel op je privé als op je zakelijke apparatuur, wat het risico met zich meebrengt dat kwaadwillenden ook via je privé-apparatuur mogelijk bij je zakelijke data in die specifieke toepassing kunnen komen.
4. Wie is het product?
Is een toepassing die je graag gaat gebruiken gratis? Grote kans dat jij dan het 'product' bent. Bijvoorbeeld de informatie die je over jezelf plaatst in een social media toepassing kan interessant zijn voor adverteerders. Zij betalen het social media platform voor toegang tot jouw data. Vraag je bij iedere gratis toepassing goed af wie of wat het product eigenlijk is, zodat je een goede afweging kunt maken of je de toepassing wel wilt gaan gebruiken.
Het gebruik van privé apparatuur
Apparatuur die je privé bezit, zoals een telefoon, tablet of laptop, zet je vast wel eens in om zakelijke werkzaamheden mee te verrichten. Logisch, want het werken in de cloud zorgt ervoor dat je eigenlijk altijd en overal je werk kunt doen. Op zich is daar dus ook niks op tegen, tenzij je jouw privé apparatuur niet goed beveiligd.
Want via jouw privé apparatuur kan onder de 'juiste' omstandigheden een kwaadwillend persoon ook eenvoudig bij je zakelijke bestanden en toepassingen komen. En dat kan net zoveel (of zelfs meer) schade toebrengen aan de organisatie als in het geval dat men inbreekt in je zakelijke apparatuur. Het is dus van groot belang dat je goed weet hoe je met jouw privé apparatuur dient om te gaan als je daar ook zakelijke werkzaamheden op uitvoert.
Wat denk jij dat de drie belangrijkste aandachtspunten zijn rondom het gebruik van privé apparatuur? Bekijk hier het antwoord:
1. Niet synchroniseren
Gebruik je een privé apparaat, zorg dan dat je altijd in de cloud blijft werken. Kopieer geen zakelijke bestanden naar je privé apparatuur en synchroniseer geen cloud dienst (zoals OneDrive) met je privé laptop, telefoon of tablet. Zo voorkom je dat bestanden op apparaten buiten je zakelijke hardware belanden.
2. Wachtwoorden
Sla geen wachtwoorden voor zakelijke toepassingen op in de browser van je privé apparatuur. Doe je dat wel, dan kan iedereen met toegang tot je privé apparatuur ook direct in je zakelijke toepassingen komen, en daarmee mogelijk ook in je zakelijke bestanden en communicatie.
3. Digitale hygiëne
Wil je toch gebruik maken van je privé apparatuur, zorg dan voor een goede digitale hygiëne op die privé apparatuur. Encrypt je harddisk, zorg ervoor dat alle toepassingen en je besturingssysteem up to date zijn, maak gebruik van een wachtwoordmanager en werk op je privé apparatuur altijd in de cloud met je zakelijke toepassingen.
Het gebruik van social media
Eigenlijk is er voor het gebruik van social media (waar geen verwerkersovereenkomst mee is) binnen je zakelijke werkzaamheden een simpele regel: niet doen. Het gaat hierbij niet eens alleen om de bekende social media zoals WhatsApp, Facebook en Instagram, maar om alle toepassingen waarbij medewerkers en studenten online aan elkaar gekoppeld worden en data uitwisselen, zonder dat er met die toepassing afspraken zijn gemaakt over het verwerken van de persoonsgegevens.
Mag je dan helemaal niks gebruiken? Zeker wel. Binnen de onderwijsinstelling maken we gebruik van de toepassing [titel toepassing invullen] waarmee bijvoorbeeld medewerkers onderling contact kunnen houden en onder andere bestanden kunnen uitwisselen. Voor de communicatie tussen studenten en het uitwisselen van bestanden maken we gebruik van [titel toepassing invullen]. Deze toepassingen kun je veilig gebruiken: wil je toch gebruik maken van een andere toepassing waar geen verwerkersovereenkomst mee is, neem dan in alle gevallen eerst contact op met [naam contactpersoon/informatiemanager invullen].
Wat denk jij dat de vier belangrijkste aandachtspunten zijn rondom het gebruik van social media? Bekijk hier het antwoord:
1. Toestemming alleen is niet voldoende
Vanuit de privacywetgeving betekent het geven van toestemming voor het gebruik van persoonsgegevens in een social media toepassing als Facebook of WhatsApp ook dat iemand die toestemming weer moet kunnen intrekken. Alleen, bij het accepteren van de voorwaarden van bijvoorbeeld Facebook of YouTube draagt de gebruiker het licentierecht op bijvoorbeeld afbeeldingen en video's die de gebruiker binnen die toepassing plaatst aan een Facebook of YouTube over.
Dat betekent dat Facebook, WhatsApp of YouTube alle foto's en video's die een gebruiker op hun platform plaatst, ook voor andere doeleinden mag gebruiken. Een bekend voorbeeld is een toeriste die in Japan plots haar profielfoto van Facebook op een reclame voor Facebook in een bushokje zag verschijnen. Het intrekken van je toestemming betekent dan dus niet meer dat daarmee alle content op het platform verwijderd wordt; die blijft gewoon binnen het licentierecht beschikbaar voor het social media platform zelf.
2. Studenten hebben recht op een veilige leeromgeving, ook online
Leren betekent fouten maken. Binnen een afgesloten online omgeving die een onderwijsinstelling zelf aanbiedt en waar een verwerkersovereenkomst mee is kun je dit garanderen; in principe wordt er geen werk van de student buiten dit platform publiekelijk gedeeld. Maar vraagt een docent bijvoorbeeld aan studenten om een opdracht voor een college op een openbaar blog-platform uit te voeren, dan is daarmee het werk van de student buiten het platform van de onderwijsinstelling beschikbaar. En daarmee potentieel ook vindbaar voor toekomstige werkgevers en relaties. Een student (en ook een medewerker) heeft recht op een veilige, afgesloten online werk- en leeromgeving waar fouten gemaakt mogen worden en waarbij anderen buiten de onderwijsinstelling geen toegang tot de data hebben. Nu niet en in de toekomst niet.
3. Bied altijd een alternatief
Het gebruik van social media is niet verboden. Wil je als docent bijvoorbeeld alleen bepaalde organisatorische wijzigingen aan studenten melden (dus geen persoonsgegevens), dan zou dat in principe via een Facebook-groep mogen. Maar het is verplicht om daarnaast een alternatief aan te bieden voor studenten die geen Facebook-account hebben of geen onderdeel van de Facebook-groep willen uitmaken. Studenten moeten ook alleen met gebruikmaking van de door de onderwijsinstelling aangeboden software alle informatie over de studie kunnen vinden.
4. Hou rekening met hiërarchische relaties
Stel, je bent een leidinggevende en je vraagt al je medewerkers of ze tijdelijk lid willen worden van een WhatsApp groepje om zo stiekem de verjaardag van een collega te kunnen voorbereiden. Durft een medewerker die daar geen behoefte aan heeft dan nee te zeggen? Is de te verlenen toestemming dan echt vrijwillig? En die ene collega die maar twee dagen in de week werkt, durft die tegen een groep fulltime medewerkers in te gaan indien er een gezellige Facebook groep voor de hele afdeling wordt aangemaakt? Of die ene student die als enige in de werkgroep niet mee wil doen aan een opdracht op die nieuwe populaire chat-app?
Toestemming moet vrijelijk gegeven kunnen worden. In een hiërarchisch relatie (bijvoorbeeld in een medewerker - leidinggevende en in een student - docent relatie) is hier vaak geen sprake van voor een ondergeschikte omdat iemand zich mogelijk sneller verplicht voelt om toestemming te geven. Hou dus altijd rekening met eventuele hiërarchische relaties indien je anderen vraagt om gebruik te maken van bepaalde social media!
Challenge & verdere hulp
Aan de slag!
Je bent nu bekend met de belangrijkste do's en don'ts die je in je achterhoofd dient te houden op het moment dat je gebruik wilt maken van software of apparatuur buiten het aanbod van jouw onderwijsinstelling om. Tijd om te testen hoe goed je dit in de praktijk kunt brengen!
Op deze pagina vind je een ludieke en leerzame 'challenge' die je samen met collega's aan kunt gaan. Met deze challenge krijgen jullie inzicht in de toepassingen die jullie buiten het reguliere aanbod om gebruiken en kun je zo samen het gesprek aangaan over de wenselijkheid van bepaalde toepassingen binnen jullie team of afdeling.
Succes!
Challenge: Wat voor gebruiker ben jij?
Doel: middels het inzicht in de (buiten het reguliere aanbod) gebruikte toepassingen binnen een team/afdeling in overleg bepalen welke toepassingen wenselijk en/of strikt noodzakelijk zijn.
Deelnemers: het is aan te raden deze challenge alleen te doen met een team van medewerkers waarbij het daadwerkelijk relevant is dat men binnen dat team of afdeling ook dezelfde software gaat gebruiken.
Uitvoering: In deze challenge gaan jullie aan de slag om binnen 1 week te ontdekken welke toepassingen de leden van een team of afdeling gebruiken. Nadat het inzicht verkregen is kunnen jullie in overleg bepalen welke toepassingen jullie wel/niet willen behouden en voor welke gewenste functionaliteiten er wellicht al software binnen de onderwijsinstelling wordt aangeboden.
Doorloop om deze challenge uit te voeren onderstaande stappen:
1. Print een Excel-werkblad uit met 3 kolommen: de eerste voor de naam van een collega, de 2e kolom met als titel ‘Toepassing’ en de 3e kolom met als titel 'Doel'. In dit werkblad kunnen medewerkers in iedere cel binnen hun eigen kolom een gebruikte toepassing plaatsen en in de kolom 'Doel' daarnaast aangeven met welk doel zij deze toepassing inzetten.
2. Communiceer de spelregels aan alle deelnemende collega's:
- We gaan één week kijken welke toepassingen we gezamenlijk allemaal gebruiken en met welk doeleinde we die toepassingen gebruiken.
- Het Excel-werkblad is in groot formaat uitgeprint en hangt op [locatie invoegen] waar iedereen er makkelijk bij kan.
- Noteer voor iedere lunch en voor ieder einde van de werkdag op dit werkblad bij jouw naam de software-toepassingen die je net gebruikt hebt en met welk doel je deze hebt ingezet. Noteer ook alle websites die je gebruikt hebt en waar je een account voor nodig hebt om die te kunnen gebruiken.
- Aan het einde van de week bespreken we met het hele team de resultaten. We kijken hierbij naar welke toepassingen buiten het reguliere aanbod om zijn gebruikt (en waar we mogelijk licentie- en verwerkersovereenkomsten mee moeten afsluiten indien deze toepassingen strikt noodzakelijk blijken), welke toepassingen binnen het reguliere aanbod we hiervoor wellicht ook kunnen inzetten en welke toepassingen binnen het reguliere aanbod we überhaupt niet gebruikt hebben.
- Met dit overzicht kunnen we aansluitend met onze collega's van [titel afdeling invoegen] in gesprek om te kijken hoe we voor onze werkzaamheden het aanbod aan toepassingen zo goed mogelijk kunnen organiseren.
3. Spreek een startdatum af en laat de challenge beginnen!
Onderstaand vind je rondom het principe 'Maak voor je werk alleen gebruik van ICT-faciliteiten die jouw werk aanbiedt' alle quick wins nog even handig op een rijtje:
Verwerkersovereenkomst: onthoud dat, indien je gebruik wilt maken van nieuwe software waarin persoonsgegevens verwerkt worden, er altijd een verwerkersovereenkomst nodig is.
Licentieovereenkomst: onthoud dat je een licentieovereenkomst en een verwerkersovereenkomst via de [contactgegevens afdeling toevoegen] dient aan te vragen, zodat zij deze tegelijkertijd kunnen afsluiten.
Licentierecht: realiseer je dat je bij het gebruik van veel social media hen het recht geeft om gebruik te maken van al jouw content die je op het platform plaatst.
Encryptie-software: we werken bij onze onderwijsinstelling met de encryptie-software [naam software toevoegen]. Je kunt deze software gratis downloaden en installeren via [locatie software toevoegen]. Instructies voor de installatie vind je op [locatie instructie toevoegen].
Sterke wachtwoorden: zorg bij iedere toepassing die je gebruikt voor lange wachtwoorden met veel verschillende tekens in het wachtwoord. Je kunt hiervoor gebruik maken van een wachtwoordmanager; we werken bij onze onderwijsinstelling met de software [naam software toevoegen]. Je kunt deze software gratis downloaden en installeren via [locatie software toevoegen]. Instructies voor de installatie vind je op [locatie instructie toevoegen].
Verdere vragen? Heb je nog andere vragen rondom het gebruiken van de ICT-faciliteiten die onze onderwijsorganisatie aanbiedt? Neem dan contact op met [contactgegevens toevoegen].
Principe #2 - Weet altijd met wie je te maken hebt
Samenvatting
Deze module gaat over social engineering. Een verzamelterm voor alle manieren waarop kwaadwillenden zowel online als offline proberen om jou informatie afhandig te maken die je normaal niet uit handen zou geven. Zoals wachtwoorden, toegangscodes, bestanden, je verbinding en financiën. Kwaadwillenden 'engineeren' zich 'social', wat simpelweg betekent dat zij zich voordoen als iets of iemand anders.
Het simpelste voorbeeld is de online prijsvraag die iedereen wel eens gewonnen heeft. Je was de miljoenste bezoeker op een site, had net die heeeeel makkelijke quiz online gewonnen, etc. Direct verschijnt er een link naar jouw speciale prijs in beeld, die je perse binnen één minuut moet aanklikken. En voordat je het weet ben je jouw e-mailadres, bankgegevens, etc. aan het invullen op een frauduleuze website...
De zwakste schakel bij social engineering is de mens zelf. Zolang wij toch onder bepaalde omstandigheden anderen (bewust of onbewust) toegang geven tot onze gegevens is er geen beveiliging die daar tegenop kan.
Social engineering gebeurt op allerlei manieren. Van een 'medewerker' van Microsoft die via de telefoon probeert om toegang tot je computer te krijgen, een kwaadwillende die gevoelige gegevens uit de vuilnisbak op kantoor vist tot CEO-fraude waarbij online grote sommen geld bijgemaakt worden.
Binnen social engineering kennen we dus offline en online vormen. De online vormen noemen we 'phishing', waar weer drie varianten in te onderscheiden zijn:
1. 'Normale' phishing, waarbij veel mensen via e-mail, WhatsApp of sms tegelijkertijd een nep-bericht krijgen.
2. Spear phishing, waarbij een nep-bericht op heel persoonlijke wijze naar een specifiek persoon of bedrijf gestuurd wordt.
3. Whaling, waarbij hooggeplaatste personen binnen een organisatie specifiek het doelwit zijn.
Om dergelijke berichten te herkennen begint het altijd bij de vraag of je het bericht sowieso wel vertrouwt. Is de afzender vreemd, had je een dergelijk bericht überhaupt niet verwacht, zitten er veel fouten in de taal of is het een bericht waar onverwacht ineens grote druk achter zit, dan moeten er direct alarmbellen gaan rinkelen. In deze module bieden we je concrete handvatten om bij een bericht relatief eenvoudig te kunnen checken of het een legitiem of frauduleus bericht is.
Maar let op: social engineering vindt dus ook offline plaats. Vooral in open onderwijsinstellingen kan iedereen zomaar het gebouw binnen lopen. Zit je deur niet op slot, staat je kast open, is het whiteboard niet uitgeveegd of laat je zomaar die leuke elektricien zonder duidelijk ID binnen op je kamer? Dan kunnen de gevolgen net zo vervelend zijn voor jou en voor de organisatie als bij digitale phishing.
Wantrouw nu niet niet meteen alles en iedereen, maar wees altijd alert over de herkomst van een boodschap. Onderneem liever vaker actie om een boodschap of boodschapper dubbel te checken, dan dat je toch maar even op dat ene linkje klikt...
Iedere module beginnen we met een korte quiz waarmee je jouw voorkennis kunt testen. Veel succes met de tweede module!
Wat weet je al?
Toets: Wat weet je al?
0%
Mooi, de kop is er af! Tijd voor het tweede principe: weet altijd met wie je te maken hebt. Want hoewel je de meeste mensen volledig kunt vertrouwen is het in de digitale wereld soms niet precies duidelijk wie je voor je hebt. Goed om dus altijd te blijven checken of iemand wel echt is wie hij zegt dat hij is...
In deze korte quiz kun je jouw voorkennis op dit gebied checken en krijg je meteen een beeld van de onderwerpen die we in deze module behandelen.
De onderstaande antwoorden moet je zelf nakijken; vergelijk jouw antwoorden met de goede
antwoorden, en geef aan in welke mate jouw antwoorden correct zijn.
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom manieren waarop kwaadwillenden jouw gegevens of gegevens van jouw organisatie proberen te stelen.
Samenvatting
Social engineering is de verzamelterm voor alle vormen waarbij online en offline kwaadwillenden zichzelf voordoen als iemand anders, met als doel om bijvoorbeeld toegang tot gegevens te krijgen, een account te hacken en geld of data te stelen. Zij richten zich hierbij op de zwakste schakel in de keten van beveiliging: de mens zelf.
De online vormen van social engineering noemt men 'phishing', waarbij drie vormen zijn te onderscheiden: via grootschalige aanvallen (phishing), specifiek op een persoon gerichte aanvallen (spear phishing) of aanvallen gericht op hooggeplaatste personen in de organisatie (whaling).
Een kritische blik bij iedere communicatie of verzoek naar de afzender, de gebruikte taal, linkjes en persoon achter de afzender kan veel van dit type aanvallen voorkomen. Gaat het toch mis, dan dien je de [afdeling invoegen] hiervan direct op de hoogte te stellen.
Een kat en muis spel
De wereld van hacking, phishing en whaling is er vaak een van een kat en muis spel. Beveiligingsbedrijven proberen zoveel als mogelijk om frauduleuze berichten er uit te filteren en medewerkers zijn alert om pogingen tot data-diefstal snel te herkennen.
En aan de andere kant proberen de kwaadwillenden weer nieuwe manieren te vinden om bedrijfsinformatie te achterhalen. Bekijk hier eens een mooi voorbeeld hoe ze elkaar op de hielen kunnen zitten...
Via 'social engineering', het zich voordoen als iemand anders, proberen kwaadwillenden op allerlei manieren binnen te komen in bedrijfssystemen. Want we kunnen nog zulke sterke wachtwoorden verzinnen en alles om ons heen encrypten; wij als mens zijn de kwetsbaarste schakel in deze hele keten.
Het is een techniek waarbij hackers jou proberen te verleiden om gegevens prijs te geven die je normaal niet prijs zou geven. Het kan ook zijn dat deze persoon niet direct jou wil hacken, maar dat hij via jou verder de organisatie in wil komen. Denk dus niet: wat is er nou bij mij te halen in deze organisatie? Jij kunt prima het opstapje zijn om bijvoorbeeld toegang tot de hele e-mailserver van de organisatie te krijgen, doordat kwaadwillenden via een nep-bericht een keylogger op jouw computer hebben kunnen installeren.
Geven wij toch via een dubieuze website ons wachtwoord weg of openen we toch per ongeluk dat bestandje met malware, dan kan daar geen digitale beveiliging tegenop. Tegenwoordig gebeurt social engineering vaak via digitale wegen, zoals de sms'jes en e-mails met dubieuze linkjes en verzoeken van 'banken' en 'overheden'. Maar dat kan ook prima met meer ouderwetse methodes:
Een zogenaamde medewerker van een bouwbedrijf loopt in bouwkledij een openbare onderwijsinstelling in en zoekt via de borden de directiekamer op. Daar loopt hij brutaal naar binnen en legt keurig uit dat hij alleen even kort de aansluitingen van de stroomvoorziening moet controleren. De verbouwereerde directeur laat de man gaan, maar heeft niet in de gaten dat deze stiekem een kleine USB-stick in de computer van de directeur stopt, waarmee hij later toegang tot alle datastromen van de directie krijgt.
Zo kan een organisatie in een paar minuten compleet bloot komen te liggen voor kwaadwillenden. In deze module gaan we aan de slag met het principe 'Weet altijd met wie je te maken hebt', zowel in de online als in de offline wereld. Want door enkele eenvoudige checks op iedere inkomende communicatie uit te voeren kun je veel schade voor jezelf en voor de organisatie makkelijk voorkomen.
Lees onderstaand eerst goed wat de verschillende begrippen inhouden. Op de volgende pagina ontdek je de belangrijkste do's en don'ts rondom phishing, spear phishing en whaling.
Phishing
Wat is het?
Stel, je krijgt een officiële e-mail van je bank, waarin ze je keurig vragen even op een link te klikken en ter controle je rekeningnummer en je wachtwoord in te vullen. Tuurlijk doe je dat, waarom niet? Maar even later blijkt dat kwaadwillenden je volledige pas en rekening hebben overgenomen.
Ai... Het overkwam een ondernemer uit Doetichem, zoals je hier kunt zien:
'Phishing' komt van 'fishing', hengelen. Kwaadwillenden vragen je via nep e-mails of nep sms-berichten om gegevens af te geven over je bank, paspoort of rijbewijs. Die gegevens gebruiken zij om bijvoorbeeld geld te stelen of je identiteit over te nemen. Bij phishing wordt vaak gebruik gemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank waardoor de gebruiker denkt dat hij met de echte site te maken heeft, terwijl de URL naar de site van de kwaadwillende verwijst.
Hoe kun je het herkennen?
Gebruik je gezonde verstand. Een bank vraagt je NOOIT om via sms jouw wachtwoord en/of BSN-nummer ergens in te vullen! Onderstaand enkele indicatoren die erop kunnen wijzen dat je mogelijk met een phishing-bericht te maken hebt:
Het bericht is niet aan jou persoonlijk gericht, maar begint bijvoorbeeld met "geachte klant";
Het bericht bevat taal- en stijlfouten;
Vaak wordt gevraagd om het 'verifiëren van een account': een bank of onderwijsinstelling zal dat nooit doen;
Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan het bericht;
De link in het bericht bevat subtiele verschillen met de juiste link, zoals een andere extensie.
Gebruik de beslisboom onderaan dit document om via enkele eenvoudige vragen snel te kunnen beoordelen of een bericht echt of nep is.
Phishing gaat dus over de online vormen van social engineering. Maar social engineering gebeurt ook offline. Een bekend voorbeeld is 'dumpster diving', waarbij kwaadwillenden de vuilnis van organisaties napluizen op zoek naar gevoelige of persoonlijke gegevens. Met die gegevens kunnen ze zich mogelijk voordoen als een medewerker van de organisatie of zelfs online toegang tot de netwerken van de organisatie krijgen. Let dus altijd heel erg goed op wat je in je prullenbak gooit…
Spear phishing
Wat is het?
Spear phishing is een vorm van 'phishing', waarbij kwaadwillenden een specifiek individu binnen een organisatie benaderen. Spear phishing is daarmee veelal nog lastiger te herkennen dan 'reguliere' phishing berichten, aangezien de boodschap vaak zeer persoonlijk is.
Bij een vermoeden van spear phishing is het altijd van belang om je af te vragen of je een bepaald bericht zou verwachten. Heb je bijvoorbeeld geen bestelling bij DHL gedaan, dan is een e-mail met een zogenaamde track&trace code vanuit DHL niet heel logisch. Ook vreemde verzoeken van bijvoorbeeld leidinggevenden die specifiek aan jou gericht zijn moeten de alarmbellen doen rinkelen.
Controleer bij een vermoeden van spear phishing de afzender nooit via e-mail, want de kans is groot dat jouw e-mail gewoon weer terecht komt bij de kwaadwillenden. Bel altijd even als je twijfels over een bepaald verzoek hebt, dan weet je snel zeker of je met een echt of met een frauduleus bericht te maken hebt.
Whaling
Wat is het?
Whaling is een specifieke vorm van phishing waarbij kwaadwillenden zich richten op hooggeplaatste medewerkers binnen een organisatie, zoals de bestuurder, de financieel directeur of een HR-directeur met toegang tot persoonsgegevens.
Een bekend voorbeeld hiervan is CEO-fraude, waarbij kwaadwillenden veelal gebruik maken van e-mail spoofing om een CEO te verleiden om bijvoorbeeld grote malafide transacties goed te keuren (spoofing is het namaken van e-mailberichten met een vervalst afzenderadres, waardoor het lijkt alsof de e-mail komt vanuit een adres dat je kent, zoals het adres van een collega).
Welke risico's zijn er en hoe verklein je ze?
Leestijd
12 minuten
Wat leer je?
In dit onderdeel leer je alle handelingen kennen om zoveel als mogelijk altijd te weten met wie je zowel online als offline te maken hebt, zodat je zeker weet dat je met de juiste persoon data deelt, een contract afsluit of welke andere vorm van zakelijke interactie dan ook hebt.
Samenvatting
Social engineering komt in verschillende vormen en maten voor. De bekendste vormen zijn phishing, spear phishing en whaling. De gebruikte technieken hierbij zijn inmiddels zodanig lastig van echt te onderscheiden, dat via deze methoden vele organisaties voor onder andere grote geldbedragen zijn opgelicht.
Naast de reguliere checks als 'zal mijn bank mij echt via sms vragen om een betaalpas te vernieuwen' is de beste check veelal om de persoon van wie een bericht afkomstig is gewoon even te bellen om het bericht te verifiëren. En mocht het toch een keer fout gaan, dan is het van groot belang om dit direct bij [naam/contactgegevens persoon/afdeling invoegen] te melden.
Het kan overal gebeuren...
Denk je eens in hoeveel er eigenlijk van jou te stelen is en op welke plekken jou dit kan overkomen? Niet alleen je werkplek is een potentiële locatie waar kwaadwillenden gegevens van jou, of via jou weer gegevens van anderen buit kunnen maken als je niet oplet. Ook die leuke meneer op Marktplaats kan wel eens heel iemand anders blijken...
Kun je dan helemaal niemand meer vertrouwen? Natuurlijk wel! Vrijwel alle communicatie die je met interne en externe personen en organisaties hebt is betrouwbaar. Maar net die ene keer dat je toch even niet goed oplet kan heel vervelende gevolgen hebben. Daarom bespreken we onderstaand de belangrijkste manieren om jezelf, jouw collega's en de onderwijsinstelling zo goed mogelijk tegen dit type fraude te beschermen.
Kun jij per type fraude raden welke manieren van bescherming dat zijn?
Phishing
Bij phishing denken we vaak aan die gekke mailtjes of sms'jes die iedereen wel eens krijgt. Net niet helemaal lekker geschreven, een link die naar een vreemde url verwijst en wazige logo's. Nee, die hoef je duidelijk niet te vertrouwen. Maar veel phishing berichten zijn inmiddels vrij geavanceerd en lastig meer van echt te onderscheiden. Het vraagt van jou als mens een zeer kritische houding ten aanzien van alle communicatie die er op je af komt.
Aangezien er een oneindig aantal vormen van phishing zijn is het lastig om ze hier allemaal uitgebreid te behandelen. We zoeken daarom naar algemene principes waarmee je phishing kunt herkennen en eenvoudige manieren om te checken of berichten echt zijn. En natuurlijk vertellen we je wat je moet doen als het toch mis gaat.
Eerst eens testen hoe goed je phishing-berichten al kunt herkennen? Doe dan deze phishing test van Google.
.
Wat denk jij dat de vier belangrijkste manieren zijn waarop je phishing berichten kunt herkennen? Bekijk onderstaand het antwoord:
1. Vertrouw je het?
Het klinkt wat flauw, maar toch is dit meestal de beste graadmeter om te weten of een bericht echt van de afzender afkomstig is die de afzender zegt te zijn. Denk logisch na: gaat een bank jou via sms benaderen? Stuurt een overheidsinstelling jou een e-mail zonder persoonlijke aanhef? Loopt er vaker zomaar een technicus zonder identificatie bij jullie op de kamer rond? Luister naar je gezonde verstand en bedenk steeds kritisch of je de communicatie kunt vertrouwen.
2. Check waar je op klikt
We klikken per dag honderden keren op allerlei linkjes, knopjes, bijlagen en afbeeldingen. Vrijwel nooit sta je er echt goed bij stil of de link die achter de klik zit jou ook daadwerkelijk naar de juiste online locatie brengt. En dat is maar goed ook, anders zou surfen op het internet ondoenlijk zijn. Maar vertrouw je een bericht niet helemaal, ga dan alleen even met je muis op de link 'hangen' om te kijken welk adres er achter de link zit. Gaat de link naar bijvoorbeeld abnamro.info, facebook.io, rijksoverheid.gz of een andere net niet kloppende website, dan weet je dat je jezelf een klik kunt besparen.
Pas ook op met bijlagen in bijvoorbeeld e-mails. Veel e-mailbijlagen bevatten malware, zoals ransomware. Bepaalde bestandstypen zijn extra verdacht als ze in een mailbijlage staan, zoals .exe, .zip, .js en .doc.. Op zich zijn Word-documenten niet schadelijk, tenzij ze je na openen vragen of je de macro's wilt inschakelen. Doe dat dan zeker niet. Helaas verbergt Windows standaard de extensies zoals .exe. Je kunt deze bestandextensies inschakelen, zodat je ziet om wat voor bestand het gaat. Typ hiervoor Windows-toets + R, typ in het venster ‘control folders’ en druk op Enter. In het tabblad Weergave verwijder je het vinkje voor ‘Extensies voor bekende bestandstypen verbergen’.
3. Controleer altijd waar het bericht vandaan komt
Kijk altijd goed naar de afzender van een bericht, zoals het telefoonnummer, het e-mailadres of de website. Komt dit niet overeen met de officiële afzender, klik dan zeker niet op het bericht. Een e-mail die bijvoorbeeld verzonden is vanaf info@rabobank.net hoef je niet te vertrouwen, omdat je weet dat het officiële adres van de Rabobank niet rabobank.net maar rabobank.nl is.
4. Social engineeringbestaat ook offline
Social engineering gebeurt dus niet alleen via e-mails, WhatsApp en sms-berichten, maar ook via bijvoorbeeld een brief of de telefoon. Zo kan het gebeuren dat je een telefoontje krijgt van een 'medewerker' van de 'Internet helpdesk', die jou graag helpt met een 'probleem' aan je computer. Let dus op dat social engineering vanuit allerlei richtingen op je af kan komen...
Spear phishing
Spear phishing is eigenlijk nog enger dan 'gewone' phishing. Zoals je weet gaat het hierbij niet meer om 'een schot hagel', wat reguliere phishing vaak is, maar om berichten die proberen om een specifieke medewerker of student te verleiden op bijvoorbeeld een link te klikken. En niet altijd omdat die medewerker zelf nou over heel gevoelige informatie beschikt, maar ook om bijvoorbeeld via die persoon malware op het bedrijfsnetwerk te installeren, gegevens van hooggeplaatste personen binnen de organisatie te ontfutselen of zich toegang tot bepaalde bestanden te verschaffen.
Spear phishing kan net als gewone phishing op allerlei manieren voorkomen. Bijvoorbeeld een vader die een Hotmail-adres aanmaakt met de naam van zijn dochter er in, om daarmee de cijferlijst van zijn dochter bij de docent op te vragen. Of een e-mail die vanaf een zogenaamd privé-adres van een directielid bij jou binnenkomt en jou persoonlijk aanspreekt, ook dat is spear phishing!
Wat denk jij dat de twee belangrijkste manieren zijn om goed met spear phishing om te kunnen gaan? Bekijk onderstaand het antwoord:
1. Gebruik geen reply op e-mail om de echtheid te controleren
Stel, je krijgt een e-mailtje met een wat vreemde vraag, bijvoorbeeld of je snel even een bepaald bedrag over wilt maken, of je bepaalde gevoelige informatie wilt doorsturen of dat men 'even toegang tot jouw account' nodig heeft. Zou je nu een e-mail terugsturen om te vragen of dit bericht wel klopt, dan komt jouw e-mail terecht bij de fraudeur. En die zal je natuurlijk met alle liefde geruststellen zodat je aan zijn of haar verzoek zult voldoen...
2. Bel!
Vertrouw je een persoonlijk bericht aan jou niet helemaal? Bel dan gewoon even. Niemand vind het erg als je een dubbelcheck op een bericht doet; liever vaker gecheckt dan de fout in te gaan. Door te bellen weet je zeker dat je de juiste persoon aan de lijn hebt, die jou snel genoeg kan aangeven of een bericht wel of niet legitiem is.
Whaling
Iedere vorm van phishing kan een grote impact hebben, maar whaling draagt misschien wel de grootste risico's met zich mee. De vaak lange opbouw van de aanvaller in de relatie met een hooggeplaatste medewerker zorgt ervoor dat, indien de aanval lukt, de aanvaller veelal grote schade aan een organisatie kan berokkenen.
Whaling aanvallen kunnen zowel een effect op de hooggeplaatste medewerker als op personen op lagere functies in de organisatie hebben. Beide partijen zijn vaak nodig om bijvoorbeeld een financiële transactie te doen, bestanden naar een externe partij toe te sturen of bepaalde bedrijfsinformatie bij elkaar te verzamelen. De een geeft toestemming, de ander voert uit. Verstandig dus dat alle medewerkers in een organisatie op de hoogte zijn van de kenmerken van een whaling aanval.
Wat denk jij dat de vier belangrijkste aandachtspunten zijn bij een whaling aanval? Bekijk onderstaand het antwoord:
1. Er is altijd sprake van een hiërarchische relatie
Niet iedere medewerker durft een verzoek van een hoger geplaatst persoon binnen de organisatie makkelijk ter discussie te stellen. En dat is precies een van de valkuilen van een whaling aanval. Door de hiërarchische relatie is er een kans dat het verzoek makkelijker ingewilligd wordt. Dus ook hier: vertrouw je het verzoek niet, zeker als het om een financieel verzoek gaat, bel dan altijd (of via je eigen leidinggevende) de persoon waar het verzoek vandaan komt.
2. Bellen in plaats van mailen
Net als bij spear phishing geldt ook hier: stuur nooit een e-mail naar het adres waar het bericht vandaan kwam om het verzoek te checken. Als het adres nep is komt de e-mail direct weer bij de aanvaller terecht. Gebruik altijd de telefoon om een verzoek te checken.
3. Reageer niet op privé mailadressen
Krijg je een verzoek van een leidinggevende of hooggeplaatst persoon binnen de organisatie dat van een privé e-mailadres afkomstig is, reageer dan niet. Iedereen kan elk willekeurig e-mailadres aanmaken en jou zo doen denken dat dit vanaf een echt persoon afkomstig is. Reageer alleen op verzoeken die van een e-mailadres binnen de organisatie afkomstig zijn en check hier altijd voor e-mail spoofing.
4. Check op e-mail spoofing
Controleer bij belangrijke of dubieuze verzoeken altijd of het e-mailadres waar het verzoek vandaan komt wel echt is. Via e-mail spoofing kunnen kwaadwillenden eenvoudig jou doen denken dat een e-mail daadwerkelijk van een leidinggevende afkomstig is, terwijl dat in de praktijk helemaal niet zo is. Ga bijvoorbeeld met je muis over het e-mailadres heen om te kijken welk mailadres er daadwerkelijk achter zit of check dit bij de ICT-afdeling.
Challenge & verdere hulp
Aan de slag!
Je bent nu bekend met de belangrijkste manieren waarop kwaadwillenden proberen om via social engineering jullie organisatie binnen te dringen. Tijd om te testen hoe goed je dit in de praktijk kunt brengen!
Op deze pagina vind je een ludieke en leerzame 'challenge' die je samen met collega's aan kunt gaan. Met deze challenge krijgen jullie inzicht in de mate van bewustzijn rondom social engineering binnen jullie team/afdeling, wat een goed startpunt biedt voor een gesprek over dit onderwerp en het mogelijk nemen van aanvullende beveiligingsmaatregelen.
Succes!
Challenge: Wat gooi jij allemaal weg?
Doel: bewustwording van de mate waarin gevoelige data zoals onder andere persoonsgegevens eenvoudig door anderen gevonden kan worden.
Deelnemers: het is aan te raden deze challenge alleen te doen met een beperkt team van medewerkers, aangezien aan het einde van de challenge de inhoud van de papierbakken door de leidinggevende bekeken wordt. Er moet voldoende vertrouwen binnen een team zijn om deze challenge met elkaar aan te gaan.
Uitvoering: In deze challenge gaan jullie aan de slag om na één week als team te ontdekken hoeveel persoonlijke informatie er via de fysieke papierbakken voor potentieel kwaadwillenden mogelijk beschikbaar is.
Doorloop om deze challenge uit te voeren onderstaande stappen:
Stel het team samen dat deze challenge gaat uitvoeren en hou er rekening mee dat de leidinggevende na één week de inhoud van de papierbak van alle teamleden in mag zien. Dat is namelijk precies ook wat mogelijk kwaadwillenden kunnen doen die de vuilnis/papierbakken onderscheppen.
Communiceer de spelregels aan alle deelnemende collega's:
We gaan één week lang kijken hoeveel persoonlijke en gevoelige informatie jullie tijdens je werk achterlaten waar je je mogelijk niet bewust van bent.
Doe je werk zoveel mogelijk zoals je dat ook normaal doet; over één week hoor je hoe we verder gaan.
Zonder het aan de teamleden te vertellen zorg je als spelleider dat iedere dag iemand de inhoud van de papierbakken van de deelnemers ophaalt en deze per persoon op een geheime plek bewaart.
Aan het einde van de week verzamelt de spelleider alle inhoud van alle deelnemers en draagt deze over aan de leidinggevende. Deze beoordeelt welke informatie uit de papierbakken binnen het team gedeeld kan worden (om geen datalekken te veroorzaken) en selecteert enkele voorbeelden van potentiële datalekken uit alle verzamelde informatie om de deelnemers bewust van de mogelijke risico's te maken. De leidinggevende spreekt waar nodig in algemene termen over de gevonden informatie, om daarmee geen individuele deelnemers aan te hoeven spreken.
De challenge eindigt met een evaluatie-gesprek, waarin de deelnemers tot afspraken komen om zowel online als offline gevoelige informatie voorzichtig(er) te behandelen.
Onderstaand vind je rondom het principe 'Weet altijd met wie je te maken hebt' alle quick wins nog even handig op een rijtje:
Vertrouw je het bericht? Dit is de meest snelle check; vertrouw je het niet, ga dan door met de volgende stappen om te controleren of het een legitieme afzender is.
Verwacht je het bericht? Is het niet logisch dat de afzender jou (op dit moment) het bericht stuurt? Wees dan extra alert.
Check de afzender: door met je muis 'op de link' te gaan hangen zie je in je browser wat de daadwerkelijke link is waar een bericht naar verwijst. Klopt de link niet, klik er dan zeker niet op.
Controleer een afzender niet via e-mail maar bel! want het e-mailadres waar je jouw reply naartoe stuurt is waarschijnlijk het adres van de kwaadwillende. Bel altijd als je wilt controleren wie de afzender is!
Privé e-mailadressen: reageer nooit op een privé e-mailadres van een collega. Iedereen kan ieder willekeurig e-mailadres aanmaken.
Phishing hoeft niet digitaal te zijn: social engineering vindt ook plaats via de post, telefoon of door personen die zich als iemand anders voordoen. Wees alert op iedere communicatie die verdacht lijkt.
Verdere vragen? Heb je nog andere vragen rondom phishing berichten en de manier waarop je actie moet ondernemen als het je overkomt? Neem dan contact op met [contactgegevens toevoegen].
Principe #3 - Werk altijd en overal veilig en betrouwbaar
Samenvatting
Deze module gaat over veilig en betrouwbaar werken, zowel op je werk, onderweg en thuis. En het lijkt heel logisch om dat altijd en overal te doen, maar er zijn voldoende redenen om daar toch echt even bij stil te staan.
Hoeveel mensen staan echt stil bij de risico's van het niet locken van je computerscherm? Wie weet echt hoe kinderlijk eenvoudig het is om al jouw internetverkeer te lezen als je in de trein even gebruik maakt van het openbare wifi-netwerk? Of als je een bestand met gevoelige data niet versleuteld in een e-mail meestuurt?
Deze module is zeker niet bedoeld om je angstig te maken. Het doel van deze module is juist om je concrete handvatten te bieden om zoveel als mogelijk risico's op het lekken van data tegen te gaan. Dat kan zowel om digitale data als om analoge data (zoals bijvoorbeeld printjes, volgeschreven whiteboards en post-its) gaan.
En denk daarbij niet dat jouw functie en de data waarmee je werkt niet interessant zijn voor hackers. Want die zijn slim genoeg om juist via medewerkers die hier minder op bedacht zijn binnen te komen in gevoelige systemen. En dan kan de schade net zo groot zijn.
We behandelen in deze module enkele belangrijke begrippen rondom het veilig en betrouwbaar werken, zoals encryptie, VPN-verbindingen en shouldersurfing. Je krijgt voor iedere plek waar je mogelijk werkt (op locatie, onderweg en thuis) vier concrete handvatten om veilig te werken. En we bieden je twee ludieke challenges, waarmee je samen met collega's direct in de praktijk kunt checken wie de lessen uit deze module het beste heeft onthouden.
Maar zoals in iedere module beginnen we eerst met een korte quiz waarmee je jouw voorkennis kunt testen. Veel succes met deze derde module!
Wat weet je al?
Toets: Wat weet je al?
0%
Veilig en betrouwbaar werken, altijd en overal. Dat heeft nogal een impact op de manier hoe je zowel op je werk, onderweg en thuis met alle technologie omgaat. In deze korte quiz kun je jouw voorkennis op dit gebied checken en krijg je meteen een beeld van de onderwerpen die we in deze module behandelen.
De onderstaande antwoorden moet je zelf nakijken; vergelijk jouw antwoorden met de goede
antwoorden, en geef aan in welke mate jouw antwoorden correct zijn.
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom veilig en betrouwbaar werken, zowel in een thuissituatie als binnen de school.
Samenvatting
Het versleutelen van bestanden, berichten en je internetverbinding is een belangrijke stap op weg naar altijd en overal veilig en betrouwbaar werken. Dit kan onder andere via encryptie van je verbinding en harddisk, maar ook via een VPN-verbinding. De software die je voor beide veiligheidsmethoden nodig hebt is bij de ICT-afdeling te verkrijgen.
Hoe veilig is jouw persoonlijke data afgeschermd?
Super veilig toch! Nou, niet bij iedereen in ieder geval... Kijk maar eens hoe makkelijk het is om binnen enkele minuten een grote hoeveelheid persoonlijke informatie van een willekeurig persoon te achterhalen:
Als een koffiemedewerker al zo eenvoudig persoonlijke data kan achterhalen, hoe makkelijk zal dit dan voor een kwaadwillende hacker zijn? En hoe gevaarlijk is het als het niet meer alleen om jouw persoonlijke data gaat, maar om bijvoorbeeld alle persoonsgegevens van medewerkers en studenten, gevoelige onderzoeksdata of financiële gegevens van onze school?
Het lijkt hierbij logisch om te denken dat je wellicht geen of slechts beperkte toegang tot gevoelige data hebt, maar stel je deze stappen eens voor:
Een hacker stuurt jou een e-mailtje dat vanaf een collega lijkt te komen. Deze e-mail bevat een link.
Jij klikt op de link en geeft daarmee, zonder dat je het door hebt, de hacker toegang tot jouw e-mailaccount.
Vanaf jouw account achterhaalt de hacker het e-mailadres van de financiële administratie en van het hoofd Bedrijfsvoering.
De hacker doet zich via het e-mailadres van het hoofd Bedrijfsvoering bij de financiële administratie voor als die persoon en weet zo een groot geldbedrag naar het rekeningnummer van de hacker over te laten maken.
Uit de lucht gegrepen? Helaas niet... jaarlijks zijn veel organisaties de dupe van dergelijke fraude. Een bekend voorbeeld is CEO-fraude, waarbij medewerkers denken dat ze via e-mail een opdracht van hun leidinggevende krijgen, terwijl een hacker vanaf een gehackt e-mailadres de conversatie voert.
[voorbeelden van dergelijke vormen van fraude die hier als illustratief voorbeeld bij te plaatsen zijn:
Het goede nieuws? Je kunt dit soort incidenten grotendeels voorkomen door te zorgen dat je altijd en overal veilig en betrouwbaar werkt.
Lees onderstaand eerst goed wat de verschillende begrippen inhouden. Op de volgende pagina helpen we je vervolgens om verschillende scenario's rondom veilig en betrouwbaar werken te herkennen en te weten hoe je in zo'n scenario dient te handelen.
Encryptie
Historie
Veel bekende toepassingen, zoals bijvoorbeeld Whatsapp en Microsoft Teams, versturen alle berichten versleuteld ('encrypted'). Dit betekent dat iemand die deze berichten onderschept er niks mee kan, omdat er een digitale sleutel nodig is om het bericht te kunnen lezen.
Encryptie is iets dat we al heel lang kennen, het bestaat al van ver voor de komst van de eerste computers. Een pril voorbeeld van encryptie is het zogenaamde 'Caesarcijfer', vernoemd naar de Romeinse keizer Julius Caesar. Hij verwisselde letters in het alfabet met elkaar om zo geheime berichten naar zijn generaals te kunnen sturen.
Een ander bekend voorbeeld van encryptie waren de Duitse Enigma en Lorenz codeermachines, waarmee legeronderdelen met elkaar konden communiceren. Waar Julius Caesar slechts 25 mogelijke combinaties met zijn Caesarcijfer kon realiseren, waren deze machines zo'n 2000 jaar later al in staat om 16 quadriljoen mogelijke combinaties te genereren!
Stand van zaken
Er zijn vandaag de dag vele vormen van encryptie, geschikt gemaakt voor allerlei doeleinden. Een bekend voorbeeld is de boodschap die WhatsApp laat zien als je een nieuw contactpersoon voor het eerst een bericht stuurt: "Berichten en gesprekken in deze chat zijn nu beveiligd met end-to-end versleuteling". Dat klinkt goed, maar wat is dat eigenlijk?
De eerste online communicatiediensten versleutelden berichten nog wel tussen de verzender en de centrale server, maar op de server zelf waren de berichten gewoon onversleuteld te lezen. Had je toegang tot die server, dan had je ook toegang tot alle berichten. Dat is tegenwoordig anders: door 'end-to-end' encryptie zijn berichten gedurende het gehele traject versleuteld. Onderschep je dus een bericht, dan kun je er niks mee tenzij je de sleutel hebt.
Precies weten hoe het werkt? Bekijk dan onderstaande video eens:
De volgende grote stap in de wereld van encryptie is de komst van quantumcomputers. Waar bij hedendaagse computers iedere 'bit' alleen de waarde 0 of 1 kan hebben, kunnen de 'qubits' in een quantumcomputer ook tegelijkertijd de waarde 0 en 1 hebben. Hierdoor neemt het aantal mogelijke parallelle berekeningen exponentieel toe. Dit betekent dat daarmee zowel de mogelijkheden voor encryptie als de mogelijkheden om diezelfde versleuteling te ontcijferen gigantisch zullen toenemen.
Manieren van encryptie
1. Encryptie van je verbinding
Een groot deel van ons werk doen we tegenwoordig via internet. Iedere website (dus ook alle cloud-diensten die je mogelijk voor de opslag van je data gebruikt) kunnen hierbij kiezen om van een beveiligde (encrypted) verbinding gebruik te maken. Dit is in de browser te herkennen door een slotje naast de url van de website.
Een slotje naast een website betekent dat er 'HTTPS://' voor de url van de website staat. De 'S' in 'HTTPS' staat voor 'Secure'; de website geeft daarmee aan al het verkeer versleuteld te versturen. Door met je muis op het slotje te klikken kun je meer informatie over de website bekijken en controleren of je wel met de juiste website te maken hebt. Maar let op, kwaadwillenden kunnen hun website natuurlijk ook van een slotje laten voorzien... Twijfel je over de echtheid van een website, controleer dan altijd ook goed de url zelf. Want de website facebook.info of abnamro.net kunnen nog zoveel slotjes hebben, officiële websites zijn het zeker niet!
2. Encryptie van bestanden
Stel, je moet een bestand met gevoelige data naar een collega in het buitenland sturen. Dan zou je dat bestand via e-mail kunnen sturen, maar dan staat het bestand straks onbeveiligd bij jouw collega op de laptop. Onderschept iemand het bestand, dan kunnen zij dit eenvoudig lezen. Een oplossing hiervoor is het versleutelen van individuele bestanden; dat kan eenvoudig op een van de volgende manieren.
Verstuur het bestand via de dienst SURFfilesender van SURF [onze school heeft hier een licentie op]. Bij het verzenden van bestanden via SURFfilesender kan je keizen om deze te versleutelen. Meer uitleg over deze mogelijkheid [vind je hier].
Als school bieden wij zelf de dienst [...] aan; hiermee kun je per bestand aangeven of je deze wilt versleutelen voordat je deze bijvoorbeeld via e-mail uitstuurt. Meer uitleg over deze mogelijkheid [vind je hier].
Ook is het mogelijk om de meeste bestanden binnen het Office-pakket met een wachtwoord te versleutelen, bijvoorbeeld een Word- of een PowerPoint-document. Door in deze toepassingen naar het menu 'Bestand' te gaan en vervolgens voor 'Info' te kiezen zie je de opties om je bestand met een wachtwoord te beveiligen. Let op: stuur dit wachtwoord nooit in dezelfde e-mail mee als het bestand dat je beveiligd wilt versturen!
3. Encryptie van je harddisk
Nog veiliger is het om je volledige harddisk van encryptie te voorzien. Op deze manier kan niemand zonder de speciale sleutel bij jouw bestanden. [Gebruik je een laptop van school, dan is deze standaard al versleuteld.] Maak je ook gebruik van een privé-device voor je werk, dan raden we aan om ook daarvan je harddisk te encrypten; je merkt qua snelheid geen nadelen van het encrypten van je harddisk.
Werk je privé met een Windows-computer? Dan raden we je aan om je harddisk te encrypten met [Bitlocker]. Gebruik je een Mac? Dan raden we je aan om van [Filevault] gebruik te maken. [Je kunt contact opnemen met de ICT/Helpdesk voor verdere informatie over de te volgen stappen.]
Let op: het beschermen van je computer met alleen een wachtwoord betekent niet dat je harddisk versleuteld is! Kwaadwillenden kunnen in dat geval eenvoudig de harddisk uit je computer halen, deze koppelen aan een computer waar zij wel het wachtwoord van kennen en op die manier nog steeds alle gegevens op de harddisk uitlezen.
VPN
VPN staat voor 'Virtueel Particulier Netwerk' en zorgt voor een beveiligde verbinding tussen jou en het internet. Maak je gebruik van een VPN-verbinding, dan heeft dat deze voordelen:
Anonimiteit
het is lastiger voor websites om jouw locatie op te slaan;
het is lastiger voor websites om te zien welke websites je bezoekt en welke bestanden te downloadt;
het is lastiger voor bijvoorbeeld social media websites om een persoonlijk profiel van jou op te bouwen.
Veiligheid
het is moeilijker voor kwaadwillenden om jouw internetverkeer af te luisteren;
het is met een VPN-verbinding mogelijk om veilig gebruik te maken van openbare wifi-netwerken;
via een VPN-verbinding is het mogelijk om ook vanaf huis veilig op onze interne systemen te werken.
Vrijheid
je kunt censuur en overheidsblokkades tegengaan. In sommige landen wordt internet gecensureerd. Met een VPN verandert je geografische locatie
je kunt geografsche blokkades omzeilen. Bepaalde content is vaak alleen in een specifieke regio te zien.
Bekijk onderstaande video eens om precies te zien hoe een VPN-verbinding werkt:
Een VPN-verbinding zorgt er dus voor dat al jouw internetverkeer via een versleutelde virtuele tunnel verstuurd wordt. Dat betekent dat je, onafhankelijk van de locatie waar je bent, kunt 'doen alsof' je gewoon in Nederland bent. Handig als je bijvoorbeeld wel eens in landen moet werken waar bepaalde diensten geblokkeerd zijn. Ook kun je op deze manier vanaf iedere locatie ter wereld veilig inloggen op onze interne diensten.
Sommige interne diensten zijn alleen via een VPN-verbinding bereikbaar. Dat zijn [.....].
Het gebruik maken van openbare wifi-netwerken raden we ten sterkste af, aangezien al het internetverkeer op deze netwerken onbeveiligd is. Werk je veel mobiel, dan raden we aan of gebruik te maken van je mobiele hotspot, of alleen via een VPN-verbinding contact te maken met een openbaar wifi-netwerk. Vanuit school bieden we je gratis de VPN-software [naam applicatie] aan. Je kunt deze hier [link] downloaden en installeren: [ruimte voor stappenplan / screencast met uitleg over te volgen stappen].
LET OP: lukt het je niet meer om toegang te krijgen tot één van de toepassingen die je vanuit school aangeboden krijgt? Neem dan direct contact op met [contactgegevens ICT/Helpdesk].
Welke risico's zijn er en hoe verklein je ze?
Leestijd
13 minuten
Wat leer je?
In dit onderdeel leer je alle handelingen kennen om zowel op je werk, onderweg als thuis veilig en betrouwbaar te kunnen werken.
Samenvatting
Op je werk, onderweg en thuis veilig werken vergt vooral het aanleren van enkele vaste routines. Het altijd en overal locken van je scherm als je wegloopt, het gebruik van een webcamcover en privacyfolie, het terughoudend zijn met het bespreken van zakelijke informatie onderweg en het beperken van synchronisatie en andere vormen van datauitwisseling tussen je zakelijke en privé apparatuur. Door het volgen van deze routines verklein je de kans aanzienlijk dat er op enig moment een datalek ontstaat.
Veilig en betrouwbaar werken
Het lijkt zo logisch; altijd en overal veilig en betrouwbaar werken. Iedereen wil dat toch? Klopt! Maar hoe doe je dat dan? Vroeger... ja vroeger was het allemaal een stuk eenvoudiger. Toen kostte het je bijna nog moeite om een datalek te veroorzaken:
Maar we leven niet meer in 1986. We leven in een tijd waarin we inmiddels 100% van onze tijd connected en 'in sync' zijn. En dat brengt zowel voordelen, nadelen als risico's met zich mee. En die risico's, daar is vrij eenvoudig wat aan te doen. Kun jij per scenario zo opnoemen hoe je het beste kunt handelen?
Scenario: Veilig werken op je werk
Klinkt misschien wat gek, maar ook op je eigen werkplek dien je veilig te werken. Niet alleen voor jezelf, maar ook om bijvoorbeeld de privacy van collega's en externen te waarborgen. Want hoe goed je jouw collega's en studenten ook vertrouwt, onze school is en blijft een open instelling. En binnen die openheid moeten we de balans vinden tussen 'open' en 'safe'.
Het is echt geen 'rocket science'. Door jezelf enkele eenvoudige routines aan te leren werk je vrijwel gegarandeerd veilig en betrouwbaar. En daarmee zorg je voor een minimale kans op datalekken, wel zo'n fijn gevoel toch?
Wat denk jij dat de vier belangrijkste handelingen zijn die je rondom 'Veilig werken op je werk' kunt doen?
1. Lock je scherm en sluit je werkkamer af
Het lijkt een kleine handeling, maar als je het niet doet kan het grote gevolgen hebben. Lock je computerscherm altijd als je (al is het 1 minuut!) even niet bij je computer in de buurt bent. Op die manier weet je zeker dat niemand zomaar bij je bestanden en programma's kan.
Je lockt je laptop in veel gevallen eenvoudig door bijvoorbeeld even kort op de aan/uit knop te klikken of het scherm van je laptop in te klappen, of door bij een (Windows) desktop gebruik te maken van de toetscombinatie Windowslogo-toets +L of Ctrl-Alt-Del-Enter.
Sluit ook altijd de deur van je werkkamer af als je de laatste bent die de kamer verlaat. Op die manier weet je zeker dat er geen kwaadwillenden bij je computer, documenten, werkkast of andere plek met mogelijk gevoelige informatie kan komen.
2. Niemand vraagt ooit om je wachtwoord
En als dat wél een keer gebeurt weet je dat het foute boel is. Dus ook de ICT-afdeling van onze school zal nooit (NOOIT!) om jouw wachtwoord vragen. Krijg je wel een e-mail, sms of ander bericht met de vraag om jouw wachtwoord te delen om welke reden dan ook? Niet doen.
3. Webcamcover en privacyfolie
Twee eenvoudige acties die ervoor zorgen dat anderen (bewust of onbewust) niet mee kunnen kijken naar jou of naar je computerscherm. Met de webcamcover zorg je ervoor dat, indien iemand je webcam vanaf afstand overneemt, deze persoon niet mee kan kijken naar waar jij mee bezig bent (bijvoorbeeld om je daarna met de opnames te chanteren). En privacyfolie zorgt ervoor dat de kijkhoek vanaf waar andere op jouw scherm mee kunnen kijken erg klein wordt. Ze zijn beide gratis af te halen bij [locatie invullen]. Doen dus.
4. Let ook op al je 'offline' sporen
Naast je digitale leven produceer je waarschijnlijk ook veel 'offline' informatie. Het volgeschreven whiteboard met de financiële prognose voor komend jaar dat niet uitgeveegd wordt, het A4-tje met het smoelenboek van de afdeling dat je onder de printer vergeet of de post-it naast je computer met je wachtwoord en inlognaam. Let goed op dat dit soort informatie net zo schadelijk als digitale informatie kan zijn indien het in de verkeerde handen terecht komt.
Scenario: Veilig werken onderweg
Er zijn situaties waarin het bijna niet anders kan: je moet even snel inloggen op een gratis wifi-netwerk om die ene grote bijlage te versturen! Enkele dagen later kom je er achter dat er malafide software op je laptop staat... Data die je zonder VPN-verbinding via een onbeveiligd, openbaar wifi-netwerk verstuurt is door iedereen te lezen en te analyseren. Bekijk deze video maar eens om te zien hoe snel dat gaat.
Veelal gaat het om meer onschuldige vormen van het 'lekken van data'. Bijvoorbeeld doordat een nieuwsgierig aagje naast je in de trein mee kan kijken op je scherm, of de persoon achter je in de bus die lekker meeluistert naar dat sappige verhaal dat je over een collega aan het vertellen bent. Werk je onderweg, wees dan zeer voorzichtig en terughoudend in het bespreken en tonen van (bedrijfs)informatie.
Wat denk jij dat de vier belangrijkste handelingen zijn die je rondom 'Veilig werken op je werk' kunt doen?
1. Gebruik geen openbare wifi-netwerken, tenzij...
Al het verkeer dat via een openbaar wifi-netwerk wordt verstuurd is eenvoudig door anderen te lezen. Gebruik daarom nooit (noch zakelijk, noch privé) een openbaar wifi-netwerk. De enige uitzondering op deze regel is als je gebruik maakt van een VPN-verbinding. Dan is al je internetverkeer versleuteld en kan niemand zomaar meelezen.
2. Pas op voor 'shouldersurfing'
Een mooi woord, 'shouldersurfing'. Het zijn die situaties dat je in een drukke trein of metro staat, even die zakelijke e-mail op je telefoon verstuurt terwijl anderen eenvoudig over je schouder kunnen meekijken. In 99% van de gevallen is dat geen probleem, maar voorkom ieder risico door op te letten dat niemand zomaar op je scherm mee kan kijken. Het is aan te raden om sowieso gebruik te maken van een privacyfolie op je scherm om de kijkhoek sterk te verkleinen.
3. Pas op voor 'meeluisteraars'
Net als 'shouldersurfing' is een 'meeluisteraar' snel gevonden in bijvoorbeeld het openbaar vervoer. Bewust of onbewust luisteren mensen mee naar gesprekken van anderen en er is altijd het risico dat je toch gevoelige informatie in dergelijke gesprekken deelt. Wees je altijd bewust van je omgeving en bespreek als uitgangspunt onderweg nooit gevoelige informatie of informatie die nog onder embargo is. Tenzij je alleen in je auto reist natuurlijk...
4. Encrypt je harddisks
Zorg ervoor dat, naast je zakelijke apparatuur, ook je privé apparatuur encrypted is als je daarop zakelijke werkzaamheden uitvoert. De kans dat je laptop, telefoon of tablet wordt gestolen is klein, maar het komt ieder jaar zeker een tiental keer voor. En als het gebeurt is alleen een sterk wachtwoord en twee-factor-authenticatie niet voldoende, met alle gevolgen van dien. Een kwaadwillende kan bijvoorbeeld eenvoudig jouw harddisk uit je laptop halen en deze in een andere computer stoppen; op die manier zijn nog steeds al jouw bestanden uit te lezen.
Scenario: Veilig thuis werken
Hehe, eindelijk ben je thuis. Hier weet je zeker dat je iedereen kunt vertrouwen. Dus kun je ook lekker relaxt werken en hoef je niet steeds op te letten dat je jouw laptop lockt. Toch? Helaas, ook thuis is het van groot belang dat je je aan dezelfde 'online hygiëne' houdt als op je werk en onderweg. Niet omdat je je huisgenoten niet vertrouwt, maar wel omdat er bewust of onbewust snel iets mis kan gaan.
Hoe verleidelijk is het om je kinderen even je zakelijke laptop te geven zodat ze Netflix kunnen kijken? Maar tegelijk kunnen ze ook bij je bestanden. Hoe makkelijk is het om zakelijke bestanden te synchroniseren met je privé laptop? Maar plots kan nu iedereen met toegang tot je privé laptop bij gevoelige data. Of die privé desktop die al een tijd geen updates meer heeft gehad, maar wel constant synchroniseert met je zakelijke cloud? En zo zijn er vele redenen te verzinnen om ook thuis een aantal eenvoudige regels in acht te nemen.
Wat denk jij dat de vier belangrijkste handelingen zijn die je rondom 'Veilig werken op je werk' kunt doen?
1. Update al je apparaten!
Dit is echt REGEL NUMMER 1. De eenvoudigste manier om hackers en andere kwaadwillenden het leven zuur te maken is om te zorgen dat al je apparaten altijd draaien op het meest recente besturingssysteem en dat al je programma's up to date zijn. Hackers maken vaak gebruik van oude beveiligingslekken die met updates alweer gedicht zijn.
Update je niet, dan blijf je zo dus kwetsbaar. En dat is vooral gevaarlijk als je bijvoorbeeld een zakelijke cloud-dienst synchroniseert naar een privé apparaat met verouderde software er op. Op die manier kunnen kwaadwillenden mogelijk toegang krijgen tot jouw apparaat. Doordat deze synchroniseert met een zakelijke dienst kan zo ook toegang tot deze zakelijke dienst verkregen worden.
2. Versleep geen bestanden van zakelijk naar privé
Het kan verleidelijk zijn om snel even een paar zakelijke bestanden van je zakelijke naar je privé laptop te verslepen, zodat je er lokaal makkelijk mee kan werken. Maar hierdoor zorg je ervoor dat deze zakelijke bestanden op je privé apparatuur blijven staan en zo mogelijk verkeerd gebruikt worden. Wil je op je privé apparatuur werken met zakelijke bestanden, laat deze dan altijd in de desbetreffende cloud-diensten staan en werk alleen binnen die dienst met de bestanden.
3. Leen je zakelijke apparatuur nooit uit
Nee, ook niet voor dat ene leuke spelletje op je telefoon. Of om je huisgenoten toch die Netflix-film te laten kijken omdat hun eigen laptop leeg is. Omdat de andere personen op die manier toegang hebben tot alle bestanden, conversaties en programma's op je laptop, telefoon of tablet is er altijd een risico dat er bewust of onbewust iets mis gaat.
4. Lock altijd je scherm
Ook thuis. Wat voor bijvoorbeeld kinderen een grapje lijkt (even een leuke app bij papa of mama installeren) kan voor jou grote gevolgen hebben. Zorg dat zowel je zakelijke als je privé apparatuur altijd gelockt is op het moment dat je zelf niet bij je apparatuur in de buurt bent.
Challenge & verdere hulp
Aan de slag!
Je bent nu bekend met de belangrijkste acties die je zelf kunt doen om te zorgen dat je overal en altijd veilig en betrouwbaar werkt. Tijd om te testen hoe goed je dit in de praktijk kunt brengen!
Op deze pagina vind je twee ludieke en leerzame 'challenges' die je samen met collega's aan kunt gaan. Ze laten je rondom bepaalde onderdelen van veilig en betrouwbaar werken zelf ervaren hoe goed je dit al doet.
Succes!
Challenge #1: Locken van je computerscherm
Doel: leren om het scherm van je computer altijd te locken indien je niet bij je computer aanwezig bent.
Deelnemers: deze challenge kent geen maximaal aantal deelnemers.
Uitvoering: In deze challenge gaan jullie aan de slag om binnen 1 week te ontdekken hoe vaak bepaalde collega's hun computerscherm niet locken indien zij niet bij hun computer aanwezig zijn. Doorloop om deze challenge uit te voeren onderstaande stappen:
Laat een ludiek e-mailadres (bijvoorbeeld taart@[jouwschool.nl]) aanmaken.
Communiceer de spelregels aan alle deelnemende collega's:
We gaan één week kijken hoe vaak collega's hun scherm wel of niet locken
Indien je een computerscherm van een collega ziet dat niet gelockt is, terwijl de collega niet bij de computer aanwezig is, open dan de mailbox van deze collega en stuur vanuit die mailbox een e-mail met als onderwerp 'Taart!' naar de collega zelf met het e-mailadres taart@[jouwschool.nl] in de CC.
Op deze manier ziet zowel de collega zelf als de beheerder van het e-mailadres taart@[jouwschool.nl] het steeds indien er een e-mail met het onderwerp 'Taart' is verstuurd. Doordat de collega ook zelf een e-mail binnenkrijgt wordt deze zich zo ook direct bewust van het eigen gedrag t.a.v. het locken van het computerscherm.
Aan het einde van de week drukt de beheerder van het e-mailadres taart@[jouwschool.nl] het totale aantal binnen gekomen e-mails af en is direct de ranking te zien welke collega het meeste en welke collega het minste het scherm gelockt heeft.
De collega vanuit wiens e-mailbox de meeste e-mails zijn verstuurd trakteert de overige collega's op taart.
Spreek een startdatum af en laat de challenge beginnen!
Challenge #2: Wachtwoorden ontfutselen
Doel: bewustwording van het gemak waarmee mensen mogelijk zowel online als offline privacy-gevoelige gegevens als wachtwoorden blootgeven.
Deelnemers: deze challenge kent geen maximaal aantal deelnemers.
Uitvoering: In deze challenge gaan jullie aan de slag om binnen één week te ontdekken hoe snel collega's een van hun wachtwoorden prijsgeven. Doorloop om deze challenge uit te voeren onderstaande stappen:
Zorg dat je deze challenge alleen maar met interne collega's uitvoert die sowieso bij de systemen kunnen die onderdeel van deze challenge uitmaken.
Spreek vooraf de systemen af waarvan jullie elkaars wachtwoord gaan proberen te ontfutselen en communiceer deze duidelijk naar elkaar.
Communiceer de spelregels aan alle deelnemende collega's:
We gaan één week lang proberen om elkaars wachtwoord van een van de vooraf gecommuniceerde systemen te ontfutselen.
Je mag elkaars wachtwoord proberen te ontfutselen op verschillende manieren, behalve door daadwerkelijk via software op een van de deelnemende computers in te breken.
Heb je een wachtwoord ontfutseld, maak dan als bewijs één screenshot van de betreffende applicatie waarin duidelijk te zien is dat je met het account van je collega bent ingelogd. Stuur dit screenshot met een bijbehorende toelichting naar [...@...]. Heb je voordat de challenge begint al de beschikking over een wachtwoord van een collega dan mag je die ook inbrengen. Maar ook dan geldt dat je direct de collega moet inlichten en het wachtwoord moet laten wijzigen.
Log daarna direct uit, licht de collega in vraag deze het wachtwoord per direct te wijzigen.
Verzamel aan het einde van de week de resultaten uit de aangewezen e-mailbox. De persoon die de meeste wachtwoorden heeft weten te ontfutselen wint een vooraf vastgestelde prijs.
Onderstaand vind je rondom het principe 'Werk altijd en overal veilig en betrouwbaar' alle quick wins nog even handig op een rijtje:
Software up-to-date: zorg dat alle software van je privé apparatuur altijd up-to-date is. Bij de meeste besturingssystemen en toepassingen kun je kiezen voor het installeren van automatische updates.
Webcamcover: een webcamcover voor je webcams kun je gratis afhalen bij [contactgegevens toevoegen].
Privacyfolie: privacyfolie voor je laptopscherm kun je gratis afhalen bij [contactgegevens toevoegen].
Encryptie-software: we werken op onze school met de encryptie-software [naam software toevoegen]. Je kunt deze software gratis downloaden en installeren via [locatie software toevoegen]. Instructies voor de installatie vind je op [locatie instructie toevoegen].
Sterke wachtwoorden: zorg bij iedere toepassing die je gebruikt voor lange wachtwoorden met veel verschillende tekens in het wachtwoord. Je kunt hiervoor gebruik maken van een wachtwoordmanager; we werken op onze school met de software [naam software toevoegen]. Je kunt deze software gratis downloaden en installeren via [locatie software toevoegen]. Instructies voor de installatie vind je op [locatie instructie toevoegen].
VPN-software: we werken op onze school met de VPN-software [naam software toevoegen]. Je kunt deze software gratis downloaden en installeren via [locatie software toevoegen]. Instructies voor de installatie vind je op [locatie instructie toevoegen].
Verdere vragen? heb je nog andere vragen rondom het veilig en betrouwbaar werken, zowel op onze locaties als thuis? Kijk dan ook eens op de website laatjeniethackmaken.nl of neem dan contact op met [contactgegevens toevoegen].
Principe #4 - Laat alleen de juiste mensen bij de juiste gegevens
Samenvatting
Deze module gaat over datalekken. Een verzamelterm voor alle situaties waarin toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens gebeurt zonder dat dit de bedoeling is. Of zonder dat dit wettelijk is toegestaan. Datalekken komen in allerlei vormen en maten voor. Van het per ongeluk rondsturen van e-mailadressen in de CC van collega's naar een externe leverancier, het onder de printer laten liggen van een reorganisatieplan met namen van collega's, tot de klassieker: het verliezen van een USB-stick met daarop allerlei persoonsgegevens uit de organisatie.
Werk je met persoonsgegevens, dan dien je jezelf altijd enkele vragen te stellen. Voor welk doel verzamel ik eigenlijk persoonsgegevens en mag ik die wel verzamelen (met andere woorden, is er een grondslag voor)? En als ik dan persoonsgegevens verzamel, wat is de minimale set aan gegevens die ik nodig heb voor mijn doelstelling? Weten de betrokkenen dat ik hun gegevens verzamel en met welk doel ik dit doe? Op de pagina #4: Welke risico's zijn er en hoe verklein je ze? zijn deze vragen verder uitgewerkt.
Ook bij het delen van persoonsgegevens met anderen dien je enkele basisprincipes te hanteren. In welk type gegevensdrager staan de persoonsgegevens en mag je op basis van de classificatie van de informatie de gegevens wel met anderen delen? Welke autorisatie heb jij zelf binnen de organisatie en hebben de mensen met wie je de informatie deelt wel hetzelfde toegangsniveau ('autorisatie') tot deze gegevens? Vooral in het werken binnen cloud-toepassingen dien je extra alert te zijn dat de manier waarop je informatie deelt past bij het toegangsniveau dat de personen met wie je deelt hebben.
Het veilig werken met persoonsgegevens dient een tweede natuur te zijn. Naast de algemene digitale hygiëne zoals eerder in deze cursus besproken gaat het hierbij ook om het bewustzijn dat je zakelijke apparatuur nooit uitleent, ook niet in de privé sfeer. Maar ook om sociale aspecten als hiërarchische relaties: kan de persoon aan wie jij toegang tot zijn of haar persoonsgegevens vraagt uit vrije wil beslissen om wel of niet toestemming te geven? En kan die persoon de toestemming zonder druk op een later moment ook weer intrekken?
Je ziet het. De omgang met persoonsgegevens is een boeiend en veelomvattend onderwerp. In dit hoofdstuk leer je hoe je een zo veilig mogelijke omgang met persoonsgegevens kunt garanderen en daarmee de kans op een datalek zoveel als mogelijk kunt vermijden. En mocht het toch een keer misgaan, reageer dan direct en meld ieder datalek direct bij [contactgegevens toevoegen]. Zij bepalen vervolgens wat mogelijke vervolgacties zijn, die beslissing mag en moet jij zelf niet nemen.
Iedere module beginnen we zoals gewoonlijk eerst met een korte quiz waarmee je jouw voorkennis kunt testen. Veel succes met de vierde module!
Wat weet je al?
Toets: Wat weet je al?
0%
Laat alleen de juiste mensen bij de juiste gegevens. Ook weer zo'n logisch principe, maar toch zit er meer achter dan je denkt... Want hoe weet je wie de 'juiste' mensen zijn? En wat als het toch een keer verkeerd gaat?
In deze korte quiz kun je jouw voorkennis op dit gebied checken en krijg je meteen een beeld van de onderwerpen die we in deze module behandelen.
De onderstaande antwoorden moet je zelf nakijken; vergelijk jouw antwoorden met de goede
antwoorden, en geef aan in welke mate jouw antwoorden correct zijn.
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom datalekken en manieren waarop je datalekken zoveel als mogelijk kunt voorkomen.
Samenvatting
"Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens", zo omschrijft de Autoriteit Persoonsgegevens het. Een datalek kan dus het verlies van een USB-stick met persoonsgegevens zijn, maar ook het per ongeluk versturen van een serie e-mailadressen van collega's naar een externe leverancier.
Door bij het verzamelen en delen van persoonsgegevens steeds kritisch na te denken welke persoonsgegevens je strikt noodzakelijk nodig hebt voor het doel dat je nastreeft, deze weer op te ruimen als ze niet meer nodig zijn voor dat doel, de betrokkenen transparant over de verwerking te informeren en alle eerder besproken beveiligingsmaatregelen te treffen verklein je het risico op datalekken zoveel als mogelijk. Ook is het hierbij van belang om goed op de hoogte te zijn van de gedragsregels met betrekking tot de classificatie van informatie: welke handelingen mag je met welk type informatie uitvoeren?
En gaat het per ongeluk toch een keer mis, dan dien je de [afdeling invoegen] hiervan direct op de hoogte te stellen.
Mission Impossible?
De 'Non-Official Cover List', ook wel bekend als de 'NOC-list', was de lijst met alle namen van geheime CIA operaties en de personen die daaraan deelnamen. Deze lijst vormde de basis van de film 'Mission Impossible', die Tom Cruise tot extreme handelingen bewoog om hem buit te maken...
Het stelen van de NOC-list zou voor de CIA het grootste datalek in hun bestaan betekenen. Alle operaties en alle infiltranten zouden daarmee in één keer bij de buitenwereld bekend raken. Gelukkig beschikken de meeste onderwijsinstellingen niet over dit soort top-secret materiaal, maar ook bij een onderwijsinstelling zijn er genoeg persoonsgegevens die je liever niet met onbevoegden wilt delen...
En eerlijk gezegd hoeft een datalek ook helemaal niet zo serieus te zijn om al vervelende gevolgen voor de betrokkenen te hebben. Het bewust of onbewust delen van gegevens zoals salarisschalen, medische gegevens of zelfs e-mailadressen is al een datalek. En een ongeluk zit in een klein hoekje, kijk maar eens naar dit voorbeeld:
Een medewerker op Personeelszaken laat per ongeluk het computerscherm open staan om even naar het toilet te gaan. Een collega loopt net langs, kijkt kort op het scherm en ziet daar een lijst met namen van collega's die in de volgende reorganisatie waarschijnlijk hun baan verliezen. Of een leidinggevende die per ongeluk een niet-beveiligd bestand met daarin een overzicht van alle beoordelingen van de teamleden naar het gehele team stuurt, in plaats van naar de HR-afdeling.
Zo snel en zo eenvoudig kan het gaan. Vaak zit er geen kwade opzet achter, maar een menselijke onhandigheid die grote gevolgen voor de betrokkenen kan hebben. Het principe 'Laat alleen de juiste mensen bij de juiste gegevens' klinkt dan ook heel logisch, maar vergt (vooral in de omgang met persoonsgegevens) een werkwijze die privacy en security bij iedere handeling voorop heeft staan. Gelukkig kun je de risico's op een datalek sterk verminderen door jezelf enkele eenvoudige routines aan te leren.
Lees onderstaand eerst goed wat de verschillende begrippen inhouden. Op de volgende pagina ontdek je de belangrijkste do's en don'ts rondom het voorkomen van datalekken.
Privacy vuistregels
Wat is het?
De Algemene Verordening Gegevensbescherming (AVG) gaat over persoonsgegevens. De eerste vraag is dan ook altijd: bij welke handeling(en) in mijn werkzaamheden verwerk ik persoonsgegevens? Alleen bij die handelingen is de AVG van toepassing. Bekijk eerst onderstaande algemene video over de AVG en lees daarna de belangrijkste punten voor een juiste omgang met de AVG binnen jouw werk.
De AVG is gebaseerd op zes principes, ook wel de vuistregels genoemd. Deze vuistregels zijn voor medewerkers belangrijk op het moment dat je met persoonsgegevens gaat werken. Door deze vuistregels consequent te hanteren verlaag je het risico op fouten in de omgang met persoonsgegevens.
Onderstaand zie je de zes vuistregels met steeds een bijbehorende vraag. Is tijdens je omgang met persoonsgegevens het antwoord op een van deze vragen 'nee', dan zul je een aanpassing in de manier waarop je persoonsgegevens verzamelt of deelt moeten doen. Bijvoorbeeld de betrokkenen beter informeren ('Transparantie'), de persoonsgegevens vernietigen ('Bewaartermijn') of bijvoorbeeld een 'nickname' in plaats van een echte naam te vragen in een bepaalde app ('Dataminimalisatie').
Datalek
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens valt binnen de categorie datalek. De Algemene Verordening Gegevensbescherming heeft alleen betrekking op nog in leven zijnde personen. Wordt er bijvoorbeeld een archiefmap van de faculteit Archeologie met voor- en achternamen van overleden soldaten uit 1918 gestolen dan is er geen sprake van een datalek.
Een gestolen laptop of ander zakelijk apparaat hoeft ook niet direct een datalek te betekenen. Indien je met de laptop altijd en overal in de cloud hebt gewerkt en er geen bestanden lokaal staan is het feit dat je laptop gestolen is erg vervelend, maar het is geen datalek. Dat is natuurlijk anders in het geval van bijvoorbeeld een niet-encrypted USB-stick met medische dossiers of een papieren versie van het smoelenboek dat in onbevoegde handen belandt.
Wanneer is iets dan wel een datalek? In principe is dat niet aan jou om te bepalen. Dat klinkt vervelend, maar die verantwoordelijkheid ligt binnen onze organisatie bij [contactgegevens invoegen]. Het is dus zaak om iedere keer als er iets mis gaat rondom persoonsgegevens dit direct hier te melden. Doe je dat niet en de fout wordt later alsnog bekend, dan zijn de gevolgen daarvan voor de betrokkenen veelal groter dan in het geval er direct melding van was gedaan. Daarbij kan het zijn dat jouw organisatie het incident moet melden bij de Autoriteit Persoonsgegevens. Indien dit het geval is, moet dit zo snel mogelijk na het incident gebeuren; te laat melden kan jouw organisatie een forse boete opleveren. Meldt incidenten daarom direct bij [contactgegevens invoegen], ook als je niet zeker weet of het een datalek is, en niet pas uren of dagen later.
Wat zijn dan voorbeelden van mogelijke datalekken?
Het naar de verkeerde ontvanger e-mailen van documenten of tekst waar persoonsgegevens in staan.
Het naar de verkeerde ontvanger e-mailen van e-mailadressen van collega's in de CC (een e-mailadres is ook een persoonsgegeven indien dit e-mailadres direct tot een specifiek persoon is te herleiden).
Het onbedoeld en ongewild kwijtraken van toegang tot persoonsgegevens.
Ransomware op je computer waardoor hackers zich toegang tot je bestanden kunnen verschaffen.
Verkeerd ingestelde autorisatie op een samenwerkingsomgeving waarop ook persoonsgegevens staan.
Gebruik maken van de inlogaccount van je manager waardoor je toegang hebt tot HR gegevens van mede collega’s waar je niet bij hoort te kunnen.
Persoonsgegevens met een externe partij delen zonder dat je daar goede (conform AVG) afspraken over het gemaakt.
Printjes met persoonsgegevens in de printer of prullenbak laten liggen.
Classificatie en authorisatie
Classificatie is het toekennen van één of meerdere labels aan informatie (bijvoorbeeld informatie in een digitaal of papieren document, vertrouwelijke gesprekken, etc.), zodat je als medewerker weet op welke manier je met die informatie om mag/moet gaan. Bijvoorbeeld waar je een document mag publiceren, hoe groot het risico is indien een vertrouwelijk gesprek door een onbevoegde wordt beluisterd of een whiteboard met vertrouwelijke informatie dat door onbevoegden wordt bekeken. Door je bewust te zijn van de classificatie van informatie verklein je het risico op verkeerde verspreiding van de inhoud en daarmee op mogelijke datalekken. Lees hier [download-locatie toevoegen] welke classificaties we hanteren en welke omgangsvormen bij iedere classificatie horen.
Autorisatie bepaalt welke medewerker toegang tot welke informatie heeft. Iedere medewerker dient alleen toegang tot de informatie te hebben die voor de specifieke functie relevant is. Ga je bijvoorbeeld een bepaalde map in de cloud met collega's delen, let dan goed op dat alleen personen die geautoriseerd zijn tot de inhoud van die map toegang krijgen. Vraag je altijd af: wie kan erbij als ik bestanden in een bepaalde map zet? Is een slotje op de map voor extra beveiliging nodig? En wie zet ik allemaal in de CC als ik een gevoelig document rondstuur (en hen daarmee dus toegang tot dat document geef)?
Welke risico's zijn er en hoe verklein je ze?
Leestijd
11 minuten
Wat leer je?
In dit onderdeel leer je hoe je kunt zorgen dat alleen de juiste mensen bij de juiste gegevens kunnen. Zowel in situaties waarin jij gegevens van anderen nodig hebt, in situaties waarin iemand anders gegevens van jou nodig heeft en hoe je veilig met data van jouw organisatie om dient te gaan.
Samenvatting
Zodra je (persoons)gegevens van een ander gebruikt voor jouw werk, moet je zorgen dat je daar een goede grondslag, ofwel een geldige reden voor hebt, dat je niet meer gegevens gebruikt dan je strikt noodzakelijk voor jouw doeleinden nodig hebt en dat de betrokkenen weten dat hun gegevens voor die doeleinden gebruikt worden. Ga je (persoons)gegevens van anderen delen, zorg dan dat wat en met wie je deelt past bij het oorspronkelijke doel waarmee de gegevens verzameld zijn, dat de betrokkenen weten met wie hun gegevens gedeeld worden en dat je ze alleen met de juiste personen deelt.
Om veilig met gegevens te kunnen werken is het belangrijk dat je op de hoogte bent van de classificaties van informatie en per type classificatie de spelregels kent die voor jouw functie van belang zijn. Let daarbij op dat een veilige omgang met gegevens niet alleen op digitale documenten slaat, maar ook betrekking heeft op bijvoorbeeld een volgeschreven whiteboard, een kast in een kantoor of documenten die in een prullenbak liggen. En mocht je per ongeluk toch een datalek veroorzaken, dan is het van groot belang om dit direct bij [naam/contactgegevens persoon/afdeling invoegen] te melden.
Datalekken
Het delen van gegevens met mensen die daar geen toegang toe zouden moeten hebben is een datalek. De potentiële impact van een datalek op alle betrokkenen is gigantisch, kijk maar eens naar de discussie over een mogelijke app om het Corona-virus op te sporen:
Datalekken die binnen onze onderwijsinstelling voorkomen hebben op minder mensen impact dan een datalek in bijvoorbeeld een 'Corona-app', maar hoeven daarom niet minder ernstig voor de direct betrokkenen te zijn. Gelukkig kun je op vrij eenvoudige wijze ervoor zorgen dat je de kans op een datalek binnen je eigen werkzaamheden minimaliseert, en daarmee een zo veilig mogelijke omgang met jouw eigen gegevens en de gegevens van andere garandeert.
Kun jij per scenario bedenken wat de belangrijkste handelingen zijn waarmee je een datalek kunt voorkomen?
Ik wil persoonsgegevens verzamelen. Waar moet ik op letten?
Iedereen heeft gedurende zijn of haar werkzaamheden wel eens persoonsgegevens van een ander nodig. Bijvoorbeeld omdat je als onderzoeker video-opnames van personen moet maken, omdat je als vertrouwenspersoon een kort verslag van een gesprek met een medewerker maakt of simpelweg omdat je een verjaardagskalender voor jouw afdeling op wilt hangen.
Het verzamelen van persoonsgegevens mag zeker niet zomaar. Ook niet als het verzamelen in het kader van formele werkzaamheden plaatsvindt. Het verzamelen van onderzoeksgegevens die (deels) uit persoonsgegevens bestaan moet aan dezelfde beginselen voldoen als het smoelenboek dat een docent jaarlijks van studenten maakt. Die beginselen zijn niet ingewikkeld, maar wel van groot belang indien je persoonsgegevens van anderen wilt gebruiken.
Wat denk jij dat de zes belangrijkste beginselen zijn indien je persoonsgegevens van een ander wilt gebruiken?
De basis is dat je voor het verzamelen van persoonsgegevens:
1. Grondslag
Een grondslag hebt. Heb je een geldige reden? De wet kent 6 grondslagen, bijvoorbeeld de overeenkomst, zoals je contract, een wettelijke grondslag om gegevens te verwerken (zoals de gegevens die je aan de Belastingdienst dient door te geven) of toestemming. Bij ‘toestemming’ als grondslag moet je er goed op letten dat de toestemming vrijelijk en goed geïnformeerd gegeven wordt en dat de persoon de toestemming ook altijd weer moet kunnen intrekken. Daarnaast moet je altijd kunnen aantonen dat je toestemming hebt gehad voor het verzamelen van persoonsgegevens. Toestemming heb je dus niet voor altijd, iemand kan de toestemming ook weer intrekken.
2. Dataminimalisatie
Niet meer gegevens verzamelt dan je nodig hebt om je doel te bereiken. Ieder doel zou een gerechtvaardigd doel kunnen zijn, maar je moet kunnen verantwoorden waarom je de gegevens opvraagt. Bijvoorbeeld als een student naar het buitenland gaat dat je dan ook de gegevens van ouders opvraagt om een achtervang te hebben voor noodsituaties. Maar bij een open dag mag je bijvoorbeeld niet willekeurig allerlei persoonsgegevens van potentiële studenten opvragen; dat is geen gerechtvaardigd doel.
3. Doelbinding
De persoonsgegevens alleen voor dat doel gebruikt waarvoor ze verzameld zijn. Bijvoorbeeld in het geval studenten binnen de eigen instelling als student-assistent aan het werk gaan. Je mag dan de gegevens uit de studentenadministratie hier niet voor gebruiken. De student moet opnieuw de eigen gegevens bij de personeelsadministratie aanleveren. Een ander voorbeeld zijn e-mailadressen van stagebedrijven: deze mag je niet zomaar gebruiken om hen op te hoogte te stellen van allerlei evenementen, congressen, etc.
4. Beveiliging
Dat je altijd zorgt voor een passende bescherming/beveiliging, zoals toegangsbeperking, encryptie, 2FA, etc., met als doel om datalekken zoveel als mogelijk te voorkomen.
5. Transparantie
Dat je de betrokkenen (de personen van wie je de persoonsgegevens verwerkt) vooraf altijd vertelt waarvoor je de gegevens nodig hebt, met wie je deze gaat delen en hoelang ze gaat bewaren. Dat zal niet in iedere situatie heel formeel gaan (zoals bij het opnemen van collega's op een verjaardagskalender of het toevoegen van personen in een WhatsApp groep), maar wees je er bewust van dat het jouw verantwoordelijkheid is om de betrokkenen op de hoogte te stellen hoe je met hun gegevens om gaat. Ook bij wijzigingen in het gebruik van hun persoonsgegevens die je hen altijd op de hoogte te stellen (en mogelijk opnieuw om toestemming te vragen als het doel wijzigt).
6. Bewaartermijn
én dat je de persoonsgegevens daadwerkelijk laat archiveren of verwijdert als je ze niet meer nodig hebt. Als er geen legitieme bewaartermijn is moet je ze direct weggooien na het bereiken van je doel.
Ik wil gegevens delen. Waar moet ik op letten?
Nadat je persoonsgegevens verzameld hebt die passen bij jouw doelstelling wil je ze gaan delen. Bijvoorbeeld door ze op de verjaardagskalender te zetten, door ze te publiceren in een onderzoeksrapport, door ze te gebruiken binnen die nieuwe app voor studenten of door de gevraagde medische dossiers naar de bedrijfsarts te sturen. Maar wat zijn daarbij de regels? Op welke manier mag je gegevens eigenlijk delen?
Het lijkt zo logisch: even dat WhatsApp groepje aanmaken, dat bestandje naar die externe partij te sturen zodat ze snel verder kunnen met jullie project. Maar het delen van persoonsgegevens is niet niks. In ons digitale tijdperk kan een verkeerde actie grote gevolgen hebben. Dat betekent niet dat we minder data met elkaar moeten delen, maar wel dat we ons goed bewust moeten zijn van de risico's als het fout gaat.
Wat denk jij dat de drie belangrijkste aandachtspunten zijn bij het delen van persoonsgegevens met anderen?
1. Past het bij het oorspronkelijke doel waarvoor de persoonsgegevens verzameld zijn?
Ga je persoonsgegevens delen met anderen, vraag je dan af of het doel van de verspreiding van de persoonsgegevens (nog) past bij het oorspronkelijke doel waarmee de gegevens ooit verzameld zijn. Wellicht is die lijst met e-mailadressen van studenten oorspronkelijk niet vastgelegd om te uploaden in die nieuwe leuke app. Of is het smoelenboek niet bedoeld om vragen voor die vrijdagmiddag-pubquiz mee te bedenken. Dit geldt ook voor documenten die je met externen wilt delen; als het document met de persoonsgegevens in beginsel niet is bedoeld om met externen te delen mag je dit ook niet zomaar doen.
2. Stel mensen op de hoogte
Wil je persoonsgegevens gaan delen met anderen (intern of extern), zorg dan dat de betrokkenen waarvan je de gegevens gaat delen op de hoogte zijn waarom, waar, met wie en voor hoe lang je deze gegevens gaat delen.
3. Deel alleen met de juiste personen
Klinkt heel logisch, maar dit gaat vaak per ongeluk toch fout. Dat ene mailtje naar de verkeerde externe ontvanger, het verkeerde postadres, dat vergeten printje met persoonsgegevens onder de printer of je laptop die je met dat Excel-bestand van HR toch even open laat staan tijdens je toiletbezoek. Werk je met persoonsgegevens, wees dat extra alert op een veilige omgang met die data. En gaat het toch een keer mis, meldt dit dan altijd bij [contactgegevens invoegen].
Ik wil veilig met gegevens omgaan
Iedere organisatie kent gradaties in de vertrouwelijkheid van informatie. Bepaalde informatie staat publiekelijk op de website, andere informatie is alleen via intranet bereikbaar en weer andere informatie is alleen beschikbaar voor de Raad van Bestuur; ieder type informatie heeft dus een specifieke 'classificatie'. Afhankelijk van je functie heb je toegang tot bepaalde informatie en het is daarbij belangrijk dat je weet wat de spelregels zijn voor ieder type 'classificatie'.
Met wie mag je bepaalde informatie delen? Wat zijn de vereisten voor het delen van die informatie? En wat zijn de mogelijke risico's als je bepaalde informatie met niet-bevoegde personen deelt? Deze vragen hebben niet alleen betrekking op digitale documenten, maar op eigenlijk alle informatie binnen onze organisatie. Ook een vol whiteboard na een vergadering, de inhoud van je prullenbak en die openstaande kast met archiefmappen in je kantoor vallen hieronder.
Wat denk jij dat de vier belangrijkste aandachtspunten zijn om een veilige omgang met informatie te waarborgen?
1. Ken je autorisatie en weet de spelregels voor alle classificaties
Iedere medewerker heeft toegang tot bepaalde informatie binnen de organisatie. Een HR-medewerker kan personeelsdossiers inzien, een controller weet hoe de financiën ervoor staan en een docent kent de studievoortgang van de studenten. We kennen binnen onze organisatie verschillende typen informatie: publieke informatie, interne informatie, gevoelige informatie en geheime informatie [hier zelf de classificaties invoegen]. De regels voor de omgang met ieder type informatie zijn beschreven in het protocol [titel en locatie document met classificatie-regels invoegen]. Lees dit protocol goed door, zodat je weet hoe je een veilige omgang met alle informatie waar jij binnen je functie toegang toe hebt kunt garanderen.
2. Bescherm de toegang tot informatie
Door het hanteren van een goede 'hygiëne' in de omgang met alle informatie binnen onze onderwijsinstelling voorkom je de meeste risico's op datalekken. In de verschillende modules binnen deze cursus zijn de basisbeginselen daarvoor al besproken: zorg altijd voor up-to-date software, encrypt je harde schijven, synchroniseer je zakelijke cloud niet op je privé apparatuur en maak geen gebruik van openbare wifi-netwerken, tenzij je van een VPN-verbinding gebruik maakt. Dit geldt ook voor analoge informatie, zoals whiteboards en flip-overs, open kasten en bureaulades, niet gelockte laptops, etc.
3. Leen je zakelijke apparatuur niet uit
Vooral niet in je thuissituatie. Het lijkt zo makkelijk, even je zakelijke laptop aan je huisgenoten geven om die leuke Netflix-film te kijken. Maar precies op dat moment komt er een notificatie van je werk binnen, er wordt op geklikt en plots zit je huisgenoot midden in een e-mailconversatie. Kinderen die even dat nieuwe spelletje op je zakelijke telefoon downloaden, met alle risico's op het binnenhalen van ransomware. Of de pubers bij je in huis, die voor de grap een 'grappige' sms op je telefoon terugsturen naar je leidinggevende met alle gevolgen van dien. Hanteer voor zakelijke apparatuur het eenvoudige principe: nooit uitlenen.
4. Melden, melden, melden!
En zeker, het kan bij iedereen een keertje fout gaan. Onbewust en ongewild stuur je informatie door naar de verkeerde persoon, klik je toch op dat verdachte linkje of vergeet je jouw laptop in de trein. Samen kunnen we naar de beste oplossing kijken, maar dan moet wel duidelijk zijn wat er precies gebeurd is. Maak van ieder vermoeden van een datalek melding bij [contactgegevens invoegen]. Liever een keer teveel melding gedaan dan te weinig, privacy en security blijft nou eenmaal mensenwerk.
Challenge & verdere hulp
Aan de slag!
Je weet nu hoe je ervoor kunt zorgen dat alleen de juiste mensen bij de juiste gegevens kunnen. Tijd om te testen hoe goed je dit in de praktijk kunt brengen!
Op deze pagina vind je een ludieke en leerzame 'challenge' die je samen met collega's aan kunt gaan. Met deze challenge krijgen jullie inzicht in de mate waarop jullie binnen jullie team/afdeling mogelijk toch af en toe, bewust of onbewust, data lekken.
Door dit voor elkaar inzichtelijk te maken creëer je een goed startpunt voor een gesprek, wat bij kan dragen aan een vergroot bewustzijn rondom privacy en security.
Succes!
Challenge: Wie is de grootste datalekker?
In deze challenge komt eigenlijk alle informatie uit deze hele cursus samen. Door actief op zoek te gaan naar datalekken bij collega's, zowel in prullenbakken, op gedeelde schijven, in kasten en op niet gelockte schermen, maak je elkaar bewust hoe snel een datalek kan ontstaan.
Doel: bewustwording van de mate waarin jij en collega's binnen je team/afdeling 'data lekken' en het samen bedenken van maatregelen om dit tegen te gaan.
Deelnemers: het is aan te raden deze challenge alleen te doen met een beperkt team van medewerkers, aangezien alle teamleden mogelijk persoonlijke informatie over elkaar te zien krijgen. Er moet voldoende vertrouwen binnen een team zijn om deze challenge met elkaar aan te kunnen gaan.
Uitvoering: In deze challenge gaan jullie aan de slag om te proberen in één week als team elkaar zoveel mogelijk te betrappen op het onbeheerd achterlaten van persoonsgegevens, zonder elkaars apparatuur aan te raken of gebruik te maken van illegale software om gegevens bij elkaar te ontfutselen. De verzamelde data slaat iedere deelnemer in een beveiligd document op: dit document vormt het startpunt voor de afsluitende discussie over de te nemen maatregelen.
Bonus-uitvoering: je kunt deze challenge ook uitbreiden met gegevensdragers die geen persoonsgegevens bevatten!
Doorloop om deze challenge uit te voeren onderstaande stappen:
Stel het team samen dat deze challenge gaat uitvoeren en hou er rekening mee dat deelnemers na één week mogelijk persoonlijke informatie over elkaar te zien krijgen.
Communiceer de spelregels aan alle deelnemende collega's:
We gaan één week lang proberen om zoveel mogelijk persoonlijke of anderszins gevoelige informatie te verzamelen die de overige deelnemers 'lekken'.
Doe je werk zoveel mogelijk zoals je dat ook normaal doet, maar probeer deze week extra op alle in deze cursus benoemde veiligheidsmaatregelen te letten.
Je kunt op verschillende manieren proberen om datalekken bij andere deelnemers te ontdekken. Bijvoorbeeld door:
* in elkaars prullenbakken te kijken;
* op rondslingerende documenten op elkaars bureau te kijken (zonder deze documenten aan te raken);
* op een niet gelockt computerscherm te kijken (zonder de computer aan te raken);
* al pratend te proberen de ander gevoelige informatie te ontlokken;
* op een gedeelde schijf te onderzoeken welke bestanden en mappen mogelijk niet goed afgeschermd zijn;
* in een openstaande of niet afgesloten kast of bureau van een andere deelnemer te spieken;
* een gesprek van een andere deelnemer in het openbaar vervoer af te luisteren;
* etc.
Heb je gevoelige informatie gevonden, sla die dan op in een Word-document dat je met een wachtwoord beveiligd. Weet je niet hoe dat moet? Bekijk dan dit stappenplan: [stappenplan Word-documenten beveiligen toevoegen].
Hou je acties veilig, raak geen spullen van collega's aan en maak direct melding bij elkaar indien je een ernstig datalek ontdekt. Het gaat om de bewustwording, niet om elkaar aan de schandpaal te nagelen of voor joker te zetten.
Aan het einde van de week verzamelt de spelleider de documenten van de deelnemers en toont deze tijdens de nabespreking via een beamer.
De challenge eindigt met een evaluatie-gesprek, waarin de deelnemers de gevonden informatie met elkaar delen en waar mogelijk tot afspraken komen om zowel online als offline gevoelige informatie voorzichtiger te behandelen.
Vernietig aan het einde van de challenge alle bestanden waarin de gevoelige informatie door de deelnemers is verzameld.
Onderstaand vind je rondom het principe 'Laat alleen de juiste mensen bij de juiste gegevens' alle quick wins nog even handig op een rijtje:
Dataminimalisatie: Ga je persoonsgegevens verzamelen? Vraag jezelf dan altijd kritisch af of je ook met minder gegevens je doel kunt bereiken.
Classificatie: Verdiep je in de verschillende classificaties die er voor alle documentatie binnen onze onderwijsinstelling zijn en de omgangsregels die bij iedere classificatie horen.
Datalekken: Wees je bewust dat het niet aan jou is om te bepalen hoe ernstig een datalek is en of er actie nodig is. Meld ieder datalek direct aan [contactgegevens invoegen]: zij handelen jouw melding verder af.
Uitlenen van zakelijke apparatuur: een simpele regel. Niet doen!
Verdere vragen? Heb je nog andere vragen rondom datalekken en de manier waarop je actie moet ondernemen als het je overkomt? Neem dan contact op met [contactgegevens toevoegen].
Principe #5 - Help elkaar op weg naar het juiste gedrag
Wat weet je al?
Toets: Wat weet je al?
0%
Het laatste principe bestaat uit minder pagina's dan de overige principes, maar het is tegelijkertijd misschien wel het moeilijkste principe. Want hoe zorg je samen voor een veilige werkomgeving waar je elkaar durft te helpen, elkaar durft aan te spreken en elkaar scherp houdt als het om privacy en security gaat?
In dit hoofdstuk start je direct met de quiz. Ook zijn er geen specifieke begrippen om uit te leggen. Na deze quiz duik je dus meteen de belangrijkste do's en don'ts in rondom dit principe. We eindigen dit hoofdstuk wel weer met een leuke challenge om het principe in de praktijk te kunnen brengen.
De onderstaande antwoorden moet je zelf nakijken; vergelijk jouw antwoorden met de goede
antwoorden, en geef aan in welke mate jouw antwoorden correct zijn.
Wat leer je?
In dit onderdeel kijken we hoe collega's elkaar kunnen helpen om samen het juiste gedrag rondom privacy en security te vertonen. Je leert waarom elkaar aanspreken op gedrag van belang is en wanneer je elkaar kunt aanspreken.
Samenvatting
Misschien is dit laatste principe ook meteen wel de moeilijkste. Elkaar helpen om het juiste gedrag te vertonen rondom privacy en security betekent natuurlijk dat je zelf het goede voorbeeld geeft. En niet alleen op kantoor, maar juist ook onderweg en bij het gebruik van privé apparatuur thuis. Want meestal is ons gedrag helemaal geen bewuste poging om iemands privacy te grabbel te gooien, maar kan dat toch het resultaat zijn. Bijvoorbeeld door teveel persoonlijke informatie van anderen te vragen of mensen ongevraagd te connecten op allerlei social media, zoals in Whatsapp-groepen.
Durf elkaar dus te wijzen op niet gelockte computerschermen, openstaande kastdeuren en ruimtes, verzoeken om meer informatie dan nodig is, ongevraagde connecties en te luide zakelijke telefoongesprekken in een volle trein. Want als we ervoor zorgen dat we elkaar helpen om het juiste gedrag aan te leren zorgen we samen voor een betrouwbare en prettige omgeving om in te leren, werken en leven. En dat is niet alleen voor jou een fijn gevoel, maar ook voor iedereen die nu en in de toekomst bij onze onderwijsinstelling betrokken is.
Altijd bereikbaar
Altijd, overal en vanaf ieder apparaat kunnen we inmiddels verder werken. Op elk moment tijdens de dag zijn we in staat om bestanden naar elkaar te versturen, documenten aan te passen en gesprekken met elkaar te voeren. Het valt bijna op zodra iemand niet met een scherm in z'n hand zit...
De keerzijde hiervan is dat we ons steeds meer bewust moeten zijn van de potentiële risico's die deze verbondenheid met zich meebrengt. En omdat de technologische ontwikkelingen zo ontzettend snel gaan, is het des te belangrijker om samen deze uitdagingen aan te gaan. Door met elkaar over privacy en security te blijven praten, door elkaar te durven aanspreken en door zelf ook open te staan voor suggesties tot verbetering van je gedrag.
Kun jij bedenken wat de belangrijkste aandachtspunten zijn als het gaat om elkaar helpen op weg naar het juiste gedrag?
Vraag niet meer dan nodig
Het lijkt zo makkelijk: even die collega een mailtje sturen met het verzoek dat ene lijstje of bestandje door te sturen. Je bent elkaars collega's, dus waarom zou die collega jouw verzoek weigeren? Maar juist daar gaat het vaak mis; in een zakelijke setting dien je extra voorzichtig te zijn met persoonsgegevens en andere gevoelige data. Gelukkig zijn er enkele eenvoudige beginselen om hier goed mee om te gaan.
Wat denk jij dat deze drie belangrijkste beginselen zijn?
1. Waar zijn de gegevens voor nodig?
Krijg je een vraag van een collega voor bepaalde gevoelige gegevens, dan kun je deze collega prima vragen om aan te geven waar deze gegevens voor nodig zijn. Wellicht dat je namelijk samen tot de conclusie komt dat de collega ook met minder gegevens verder kan. Draag allebei zorg voor 'dataminimalisatie' door jezelf steeds de vraag te stellen of het ook 'met minder kan'. Help elkaar, denk met elkaar mee en probeer waar mogelijk de hoeveelheid gevoelige data die zowel intern als extern verstuurd wordt zoveel als mogelijk te verminderen.
2. Weet wat je mag vragen
Zet elkaar niet onder druk door gegevens op te vragen die de ander eigenlijk niet zomaar af wil geven. Bijvoorbeeld een junior collega vragen om een WhatsApp groep aan te maken en daar bepaalde collega's aan toe te voegen: voor die collega kan het in dat geval lastig zijn om 'nee' te zeggen. Hou rekening met hiërarchische relaties en zorg dat collega's en studenten vrij zijn om wel of geen toestemming te geven voor het gebruik van hun persoonsgegevens.
3. Leg geen schaduwbestanden aan
Vraag geen gegevens op bij anderen die al keurig in bijvoorbeeld een systeem, document of lijst staan. Doe je dat wel, dan start je een schaduwbestand waardoor de gegevens nu plots ook op jouw apparatuur staan. En daarmee weer verder verspreid, gehackt of besmet kunnen worden. Een bijkomend risico is dat je vergeet om deze bestanden indien je ze niet meer nodig hebt niet verwijderd en dat de data geen updates krijgt, waardoor deze mogelijk niet meer up-to-date is. Bijvoorbeeld lijsten met studenten die al uitgeschreven zijn en bij een docent nog in een klassenlijstje voorkomen of de zeer pijnlijke situaties waarbij berichten verstuurd worden naar mensen die al overleden zijn.
Geef het goede voorbeeld
Soms moet je het niet moeilijker maken dan nodig: goed voorbeeld doet volgen. En dit is extra van belang bij privacy en security, aangezien nog niet iedere medewerker en student zich volledig bewust zijn van het belang van een goede omgang hiermee. Er zijn rolmodellen nodig die collega's en studenten laten zien wat het gewenste gedrag is en wat de voordelen voor jezelf, je collega's en de organisatie zijn als je de principes uit deze cursus naleeft.
Wat denk jij dat de drie belangrijkste locaties zijn om het goede voorbeeld te geven?
1. Op je werkplek / je kantoor
Kijk iedere keer als je wegloopt bij je bureau of je alles veilig achterlaat. Is je scherm gelockt? Liggen er geen gevoelige documenten op je bureau? Zijn de kastdeuren dicht en liggen er geen post-its met gevoelige informatie in je prullenbak? Maak er een gewoonte van om je eigen werkplek iedere keer goed achter te laten, zodat je daarmee je collega's het juiste voorbeeld geeft. En verlaat je als laatste de ruimte, doe dan altijd de deur op slot.
2. Onderweg en thuis
Vaak gaat het onbewust; even in de trein dat zakelijke telefoontje opnemen, thuis even je zakelijke telefoon uitlenen aan je kinderen of toch snel nog even je cloud-dienst synchroniseren met je privé apparatuur. Allemaal begrijpelijke acties, maar allemaal met risico's op datalekken. Wees je dus ook onderweg en thuis bij iedere omgang met gevoelige gegevens bewust van de risico's en mogelijke consequenties.
Noem nooit namen aan de telefoon als 'vreemden' je kunnen horen, leen je zakelijke apparatuur aan NIEMAND uit en houd een strikte scheiding tussen je zakelijke en je privé bestanden. En dat je altijd moet zorgen voor up-to-date software en geen gebruik van openbare wifi mag maken hoeven we hier vast niet nogmaals te herhalen...
3. Digitale hygiëne
Het is vrijwel nooit kwade opzet, maar in de groeiende hoeveelheid mapjes en bestanden op onze zakelijke apparatuur gaat wel eens iets mis. Een collega deelt de verkeerde map met je, en plots kun je bij gegevens die niet voor jou bestemd zijn. Of je merkt dat je niet meer bij bepaalde data kan, omdat een collega deze per ongeluk gewist heeft.
Bij iedere actie die je in de digitale wereld doet is het slim om altijd eerst te dubbelchecken of wat je gaat doen ook daadwerkelijk de bedoeling is. En zie je dat het bij een collega mis is gegaan, wijs die collega daar dan op vriendelijke wijze even op. Grote kans dat jouw collega zich niet eens realiseert dat er iets niet helemaal goed gegaan is, totdat jij de collega daar op wijst...
Wees je bewust van de mogelijke consequenties
Want hoe vervelend ook, een misstap op het gebied van privacy en security kan grote gevolgen hebben voor alle betrokkenen. Maar liever draaien we het om: juist door je bewust te zijn van de schade die kan ontstaan, versterk je jouw motivatie om zelf de juiste dingen te doen en ook je collega's hierbij te helpen. Zo werken we vanuit een positieve insteek aan een gezamenlijk doel: een organisatie waar een goede en bewuste omgang met privacy en security diep in het DNA van alle medewerkers en studenten zit.
Wat denk je dat de belangrijkste winst is voor organisaties waarin iedereen een goede omgang met privacy en security naleeft?
1. Controle
Door de principes uit deze cursus goed na te leven zorgen we ervoor dat we 'in control' zijn over alle gevoelige data binnen onze onderwijsinstelling. We weten dan waar welke data staat, dat alle data veilig is, dat de data klopt en dat alleen de juiste mensen toegang tot bepaalde data hebben. Dit zorgt voor een sterk verlaagd risico op een datalek.
2. Betrouwbaarheid en professionaliteit
Een goede omgang met privacy en security heeft zowel intern als extern een positief effect. Intern zullen medewerkers ervaren dat privacy en security een vast onderdeel zijn van ieder proces, wat een versterkt gevoel van veiligheid en betrouwbaarheid kan geven. Dit draagt weer bij aan een groter plezier in het werk. En voor bijvoorbeeld studenten, leveranciers, etc. zorgt een goede omgang met privacy en security voor hechtere relaties en een professionele uitstraling.
Challenge & verdere hulp
Aan de slag!
Je weet nu hoe je elkaar kunt helpen om het juiste gedrag rondom privacy en security aan te leren. Tijd om te testen hoe goed je dit in de praktijk kunt brengen!
Op deze pagina vind je een ludieke en leerzame 'challenge' die je samen met collega's aan kunt gaan. Met deze challenge gaan jullie zelf bepalen welke privacy en security doelen jullie aan het einde van de week samen behaald willen hebben.
Door samen concrete doelen te formuleren, hierover te praten en ze aansluitend ook te proberen te halen dragen jullie gezamenlijk bij aan een vergroot bewustzijn rondom privacy en security.
Succes!
Challenge: Onze missie!
Doel: door samenwerking de doelstellingen van jullie team realiseren en daarmee het bewustzijn rondom privacy en security vergroten.
Deelnemers: het is aan te raden deze challenge alleen te doen met een beperkt team van medewerkers, aangezien alle teamleden mogelijk persoonlijke informatie over elkaar te zien krijgen. Er moet voldoende vertrouwen binnen een team zijn om deze challenge met elkaar aan te kunnen gaan.
Uitvoering: In deze challenge ontwikkelen jullie je eigen doelstellingen, afhankelijk van het onderwerp waar jullie de focus op willen leggen. Belangrijk hierbij is dat het doelstellingen zijn die je samen als team kunt realiseren en die aan het einde van bijvoorbeeld een week goed te controleren zijn.
Bijvoorbeeld dat niemand gevoelige informatie in de prullenbak heeft liggen, dat niemand een computerscherm niet-gelockt heeft achtergelaten of juist een combinatie van verschillende doelstellingen.
Doorloop, om deze challenge uit te voeren, onderstaande stappen:
Stel het team samen dat deze challenge gaat uitvoeren en houd er rekening mee dat deelnemers na één week mogelijk persoonlijke informatie over elkaar te zien krijgen.
Communiceer de spelregels aan alle deelnemende collega's:
We gaan één week lang proberen om [vul hier je eigen doelstelling(en) in]
Doe je werk zoveel mogelijk zoals je dat ook normaal doet, maar probeer deze week extra op alle zaken rondom de gekozen doelstellingen te letten.
We gaan deze challenge samen aan. Als we met z'n allen de doelstelling(en) aan het einde van de week bereikt hebben dan [vul eventueel een beloning in voor het hele team].
Help elkaar dus waar mogelijk, spreek elkaar (vriendelijk) aan op misstappen en leg uit waarom je die persoon hierop aanspreekt.
Houd je acties veilig, raak geen spullen van collega's aan en maak direct melding bij elkaar indien je een ernstig datalek ontdekt. Het gaat om de bewustwording, niet om elkaar aan de schandpaal te nagelen of voor joker te zetten.
Aan het einde controleert de spelleider samen met de spelers of de doelstelling(en) gerealiseerd zijn.
De challenge eindigt met een evaluatie-gesprek, waarin de deelnemers de doelstelling(en) met elkaar bespreken en waar mogelijk tot afspraken komen om zowel online als offline gevoelige informatie voorzichtiger te behandelen.
Vier de overwinning indien de doelstelling(en) behaald is!
Verdere vragen? Heb je nog andere vragen rondom het elkaar helpen om tot het juiste gedrag te komen? Neem dan contact op met [contactgegevens toevoegen].
Het arrangement Digitaal brevet 'Medewerker' is gemaakt met
Wikiwijs van
Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt,
maakt en deelt.
Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding 4.0 Internationale licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding vrij bent om:
het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
voor alle doeleinden, inclusief commerciële doeleinden.
Doel: middels het inzicht in de (buiten het reguliere aanbod) gebruikte toepassingen binnen een team/afdeling in overleg bepalen welke toepassingen wenselijk en/of strikt noodzakelijk zijn.
Stel, je krijgt een officiële e-mail van je bank, waarin ze je keurig vragen even op een link te klikken en ter controle je rekeningnummer en je wachtwoord in te vullen. Tuurlijk doe je dat, waarom niet? Maar even later blijkt dat kwaadwillenden je volledige pas en rekening hebben overgenomen.
Doel: bewustwording van de mate waarin gevoelige data zoals onder andere persoonsgegevens eenvoudig door anderen gevonden kan worden..png)
.png)
Doel: leren om het scherm van je computer altijd te locken indien je niet bij je computer aanwezig bent.
Doel: bewustwording van het gemak waarmee mensen mogelijk zowel online als offline privacy-gevoelige gegevens als wachtwoorden blootgeven..png)
Doel: bewustwording van de mate waarin jij en collega's binnen je team/afdeling 'data lekken' en het samen bedenken van maatregelen om dit tegen te gaan.
Doel: door samenwerking de doelstellingen van jullie team realiseren en daarmee het bewustzijn rondom privacy en security vergroten.
