FAQ

We zouden in deze situatie adviseren om de DPIA die reeds gedaan is op de bestaande verwerking erbij te pakken en versneld (met enkele betrokken medewerkers) in korte tijd de veranderende omstandigheden in kaart te brengen en een risico-analyse op hoofdlijnen te maken. Dit hoeft niet meer dan een uur te duren. Met deze initiële analyse kun je van start (mits hier geen hoge risico's uitkomen), we adviseren om deze over een a twee maanden weer te bekijken zodra hier weer capaciteit voor is.

Hiervoor verwijzen we graag naar de overzichten van beeldbeltoepassingen inclusief stappenplan om een keuze te maken tussen deze oplossingen op onze website. Het (tijdelijk) faciliteren van medewerkers om op afstand te kunnen samenwerken buiten de Citrix-omgeving om is mogelijk, maar neemt wel wat inrichtingskeuzes met zich mee. Hierbij is het belangrijk om te beoordelen met wat voor gegevens er gewerkt wordt (persoonsgegevens ja / nee, classificatie van gegevens) en de beveiligingsvereisten van de apparatuur hier op aan te passen. Hiernaast is het goed om wel een oog op de lange termijn te houden, ben je op de achtergrond al bezig met een overgang naar G-suite, wellicht is het dan geen goed moment op Office 365 uit te rollen. Tenslotte is het belangrijk nog eens extra aandacht te besteden aan de bewustwording van medewerkers in deze tijden, denk hierbij aan aandacht voor phishing, veilig omgaan met informatie en gedragsregels bij het thuiswerken.

Ja. M&I/Partners heeft specifieke overzichten gemaakt voor beeldbeltoepassingen in de zorg en beeldbeltoepassingen voor de overheid. De beslisboom in deze overzichten helpen u bij het maken van de keuze voor een beeldbelapplicatie afhankelijk van het doel. Het is belangrijk hierbij waar mogelijk aandacht te hebben voor de configuratiemogelijkheden binnen applicaties om aan wet- en regelgeving en intern beleid te voldoen.

Dit is afhankelijk van het interne beleid binnen uw organisatie. Het is af te raden WhatsApp te gebruiken als er persoonsgegevens of bedrijfsgevoelige gegevens uitgewisseld worden.

Voor het verwerken van bijzondere persoonsgegevens zijn aanvullende waarborgen nodig vanuit de AVG. De bescherming van gegevens die middels WhatsApp gedeeld worden zijn niet voldoende. We adviseren WhatsApp hier niet voor te gebruiken. Bellen is vaak het beste, meest laagdrempelige alternatief.

Beoordeel of de leverancier voldoet aan de basisvereisten voor veilig beeldbellen (zie stroomschema’s onder vraag 1). Daarnaast is het belangrijkhet beeldbelproces op korte termijn in kaart te brengen, de mogelijke risico's hieruit te analyseren en maatregelen te treffen om deze risico's naar een acceptabel niveau te verlagen. Mogelijke maatregelen zitten in het toepassen van de juiste configuratie op de geselecteerde beeldbel-toepassing.

Naast het verstrekken van de juiste middelen is het ook belangrijk uw medewerkers regelmatig te informeren over de risico's die bij thuiswerken komen kijken. Denk hierbij aan bewustwording over phishingmails, veilig internetten en clean desk (of nu clean kitchen table).

Gebruik van onbeveiligde apparatuur om bedrijfsgegevens en/of persoonsgegevens te verwerken.

Gebruik van onveilige applicaties door medewerkers om creatief de uitdagingen van het thuis(samen)werken te overbruggen.

Verhoogde hoeveelheid cybercrime, denk aan phishingmails.

Werken in een 'onveilige' (thuis)omgeving (rondslingeren van informatie waar kinderen, huisgenoten of bezoekers bij kunnen).

Continuïteit van werkprocessen.

Er zijn legio alternatieven beschikbaar. De vraag is waarom er geen WhatsApp gebruikt mag worden want dat bepaalt de mogelijkheid voor alternatieven. Voor een overzicht van de beschikbare applicaties als alternatief voor beeldbellentoepassingen verwijzen we je naar de eerste vraag.

Zorg dat er voldoende technische beveiligingsmaatregelen zijn genomen met de inrichting van de e-mailomgeving. Hiermee kan een deel van de onveilige e-mails buiten de deur gehouden worden.

Bewustwording is uiteindelijk het meest effectieve middel. Maak mensen bewust hoe ze phishing kunnen herkennen en wat te doen als ze een phishingmail krijgen.

Op langere termijn kan er ook gekeken worden naar beschikbare tooling voor het beoordelen van het gedrag van medewerkers t.a.v. phishing.

Net als bij phishing, met name richten op bewustwording.

Inrichten (op korte termijn lastiger) van adequate monitoring en logging op uw netwerk, inrichten van adequaat patch- en release management, aansluiten op landelijke informatieuitwisseling (van o.a. NCSC).

U kunt de vereiste werkzaamheden ook uitbesteden en aansluiten bij een Security Operating Centre (SOC). Dan beschermen en monitoren zijn uw infrastructuur.

Gebruik hiervoor de tools die beschikbaar zijn en voldoen aan (inter)nationale richtlijnen en normen (zoals ISO27001, NEN7510, BIO, etc.).

Zorg dat er voor het werken met bedrijfsgegevens door medewerkers gebruik gemaakt wordt van apparaten die door uw organisatie beheerd worden en voldoen aan uw interne informatiebeveiligingsbeleid.

Beoordeel de risico's van de (nieuwe) werksituatie en formuleer (beoogde) maatregelen om deze risico's te verminderen.

Beschrijving en onderbouwing van de beleidskeuzes, met name wanneer hier op onderdelen risico’s genomen worden.

Afweging van de risico's van deze beleidskeuzes en genomen maatregelen.

Bepaal welke processen het meest kritisch zijn en richt je aandacht hier als eerste op.

Analyseer wat nodig is om dit proces te laten draaien (informatie, functionaliteiten, techniek, personen) en richt je op korte termijn op het organiseren van deze basis randvoorwaarden.

Analyseer de risico's die je neemt met deze initiële inrichting. Besteed de midden-lange termijn aan het mitigeren van deze maatregelen.

Zorg dat er voor alle kritische processen in de organisatie 'uitwijk' georganiseerd is (technisch, functioneel en operationeel).