Voor de deadline van de EU General Data Protection Regulation (GDPR) moeten niet alleen klantgegevens dienovereenkomstig worden behandeld, maar moet ook de interne communicatie worden afgestemd op de nieuwe richtlijnen.
Op 25 mei wordt de GDPR bindend voor elk Europees bedrijf. “Het is echter niet voldoende om alleen de communicatie met klanten of de website te beveiligen. Ook de interne bedrijfscommunicatie moet in overeenstemming zijn met de GDPR,” waarschuwt Christian Heutger, IT-beveiligingsexpert en managing director van PSW Group.
In het bijzonder bij interne bedrijfscommunicatie worden op verschillende manieren persoonsgegevens verzameld, bijvoorbeeld via intranet, sociale media, apps en clouddiensten. Talrijke instrumenten en IT-systemen komen IP-adressen tegen, verlenen toegang tot documenten, waar en wanneer werknemers zich ophouden zijn zichtbaar. “Dit wordt problematisch met de EU GDPR. Voor de beveiliging en bescherming van gegevens zijn het juist de interfaces van deze toepassingen en apparaten die een van de meest voorkomende zwakke punten zijn,” vervolgt Heutger. “Daarom moet elke werknemer die zich met interne communicatie bezighoudt, zich bezighouden met het thema gegevensbescherming en gegevensbeveiliging. Er moet op zijn minst een basisbegrip worden gecreëerd om veranderingen in de interne communicatie begrijpelijk en dus toepasbaar te maken voor iedere werknemer.”
Probleemstelling mobiel werken
In de digitale werkwereld zijn werknemers vaak mobiel. Sommigen hebben niet eens een vast PC-werkstation – maar moeten worden opgenomen in de interne communicatie. Daartoe wordt vaak gebruik gemaakt van diensten als Google Drive, Dropbox of andere Amerikaanse aanbieders om vertrouwelijke documenten gezamenlijk te bewerken. Klanten hebben ook toegang tot bepaalde documenten. En heel wat bedrijven vertrouwen op apps voor werknemers: bedrijfsapplicaties kunnen overal en altijd als apps worden geraadpleegd.
Dergelijke apps zijn uitgerust met een aantal functies om alle interne bedrijfscommunicatie te bundelen. “In de meeste gevallen kan de communicatie van de verschillende sociale mediakanalen worden bekeken. Bovendien worden externe systemen vaak geïntegreerd. Via groepschats en privéberichten kunnen mensen met elkaar communiceren. Om het in een notendop te zeggen: Dit soort apps verzamelt veel persoonlijke en gevoelige informatie. Daarom is het van essentieel belang om eventuele interne apps voor werknemers te controleren op hun EU-DSGVO-conformiteit,” waarschuwt de CEO.
Messenger services worden ook steeds vaker gebruikt, niet alleen voor privé- maar ook voor zakelijke communicatie. Diensten als WhatsApp zijn echter niet bijzonder privacy-vriendelijk: pas onlangs werd bekend dat Facebook WhatsApp-berichten kan lezen ondanks end-to-end encryptie. “Het probleem met dergelijke oplossingen is de gegevensoverdracht tussen de respectieve provider en het eindtoestel. Sommige boodschappers, waaronder WhatsApp, vergelijken automatisch het adresboek met de gegevens op de server. Telefoonnummers en IP-adressen zijn echter persoonsgegevens”, legt Heutger uit en adviseert het gebruik van alternatieve diensten: “Threema Work is bijvoorbeeld een van de weinige commerciële oplossingen die een gegevensbeschermingsconform gebruik in bedrijven mogelijk maken. Met Threema, bijvoorbeeld, kunnen individuele contacten worden uitgesloten van het matchen van gegevens. Alle communicatie is end-to-end versleuteld en chats en media die op de smartphone zijn opgeslagen, zijn ook versleuteld.”
Bedrijven moeten ook nagaan welke technologieën momenteel worden gebruikt voor interne communicatie. Wie intern e-mails verzendt zonder encryptie, moet dit veranderen, bijvoorbeeld met een gateway-oplossing. “Om de eerste stap te zetten naar een holistische beveiligingscultuur, wordt consistente end-to-end encryptie aanbevolen. Alleen de respectieve communicatiepartners kunnen het bericht dan ontsleutelen en e-mails en bijlagen zijn veilig voor ongevraagde lezers en manipulatie,” adviseert de deskundige.
Weakspot werknemers
Daarnaast maken werknemers herhaaldelijk verschillende fouten met betrekking tot gegevensbescherming, zoals shadow IT, gemakkelijk te kraken wachtwoorden of gevoelige informatie in hun privé-mailbox. “Een DSGVO-conforme interne communicatie kan niet worden opgezet zonder opleiding, seminars en de vaststelling van de naleving. Mensen veranderen hun gewoonten echter niet van de ene dag op de andere. Daarom is het onontbeerlijk de werknemers intensief te begeleiden bij de overgang naar het nieuwe tijdperk van gegevensbescherming. Mijn advies is om werknemers bij de hand te nemen, ze intensief te trainen en ze de kans te geven zich aan te passen aan de nieuwe voorwaarden die de EU GDPR aan iedereen zal opleggen”, is Heutgers laatste tip.