Telewerk vraagt een goede cybersecurity en een aangepast GDPR beleid.
De Covid-19 crisis heeft het telewerken duidelijk op de kaart gezet. In het begin van de crisis werd er snel geschakeld en met vallen en opstaan leerde iedereen met deze nieuwe vorm van samenwerken omgaan. Bij een bevraging stellen we vast dat de medewerkers meer en meer vragende partij zijn om ook na de corona crisis van thuis uit te werken. Dit vraagt een goede organisatie op het vlak van jouw cybersecurity. Maar vergeet ook niet jouw GDPR dossier aan te passen.
Reeds van voor huidige Covid-19 crisis was telewerk groeiende door de aandacht voor het welzijn van de medewerkers en de positieve impact op de mobiliteit en onze leefomgeving. Vanzelfsprekend namen de grote bedrijven het voortouw maar het aandeel KMO-personeelsleden neemt gestaag toe. De verwachtingen zijn dan ook dat telewerk een wezenlijk onderdeel van de post-corona werkomgeving zal blijven vormen. Een goede omkadering is dus noodzakelijk.
Telewerk vraagt een goede cybersecurity en een aangepast GDPR beleid
De eerste stap bestaat uit het opzetten van een beveiligde omgeving tussen jouw IT omgeving en de thuisomgeving van de medewerkers opzetten. Eén mogelijkheid is het opzetten van een VPN omgeving (Virtual Private Network). Deze technologie maakt een versleutelde verbinding tussen jouw apparaten en een VPN server voordat jouw bedrijfsgegevens op het internet gaan. Zo vermijd je dat hackers met jouw bedrijfsgegevens aan de haal gaan, ransomware installeren of dat personen ongeoorloofd binnendringen in jouw IT systeem. Je kan via de VPN dezelfde veiligheidspolicy hanteren die je intern hebt geïnstalleerd en bijgevolg zijn uitzonderingen niet aan de orde. Belangrijk om hierbij te vermelden is dat je als werkgever het gebruik van de VPN afdwingbaar kan maken. En mocht je met Microsoft 365 werken dan kan je de configuratie zo opzetten dat het bedrijfsnetwerk enkel via de VPN toegankelijk is.
Hiermee kom je ook tegemoet aan jouw GDPR verplichting die verlangt dat je de passende technische maatregelen neemt om de persoonsgegevens te beschermen. Een opname van deze bijkomende verwerkingen in het verwerkingsregister zal moeten gebeuren.
Je kan een eigen VPN omgeving opzetten of gebruik maken van een VPN provider. Dit heeft een kost maar hacking, het verlies van gegevens of een GDPR boete zal vele malen groter zijn.
Sommigen zullen terecht opmerken dat de communicatiesnelheid met een VPN trager verloopt maar jouw cybersecurity dient ook in overweging te worden genomen.
Telewerk vraagt een goede cybersecurity en een aangepast GDPR beleid
De pc of laptop die de medewerkers gebruiken mag ook niet uit het oog worden verloren. Een bedrijfsapparaat is natuurlijk de beste oplossing. Hierop kan je zelf alle noodzakelijke beveiligingen plaatsen. Maar soms is het gebruik van het privé-thuistoestel de enige oplossing. De combinatie van een privé computer en het gebruik van de VPN is perfect mogelijk.
In het geval van een privé-toestel is het sterk aangeraden om een screening door jouw IT partner/departement uit te voeren. Je hebt immers geen zicht of de virusscanner up to date is, of er malware aanwezig is, …En je kan toch geen risico lopen dat jouw netwerk via een privé toestel besmet wordt.
Tijdens de controle zullen privé gegevens, persoonsgegevens, voor derde partijen zichtbaar worden. Deze verwerking kadert dus zeker binnen de toepassing van de GDPR. Een passende rechtsgrond (toestemming, contractueel, …) zal moeten bepaald worden, een bijhorende overeenkomst moet worden afgesloten met een NDA waarin bijvoorbeeld de datum en het uur van de screening is opgenomen. Wil je op regelmatige basis controles uitvoeren dan mag je zeker de frequentie niet vergeten. Ook jouw verwerkingsregister vraagt een update.
Laat je de check up door jouw externe IT partner uitvoeren dan zal een uitbreiding van de door de GDPR verplichte verwerkingsovereenkomst zeker aan de orde zijn.
Telewerk vraagt een goede cybersecurity en een aangepast GDPR beleid
Als conclusie kunnen we stellen dat succesvol telewerk een gedegen voorbereiding en een goede omkadering vraagt zowel juridisch (GDPR, arbeidswetgeving,…), IT technisch en operationeel.
Binnen Ubora hebben we de nodige kennis op deze drie domeinen verzameld om je in deze nieuwe vorm van samenwerken goed te ondersteunen.
Contacteer ons en we plannen een (online) afspraak!
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18