IB&P top
-
Ik wil per direct een nieuwe verwerking starten, het lijkt op iets dat ik al doe maar nu specifiek gericht op de situatie rondom COVID-19 en de verwerking is net anders. Moet ik nu eerst een hele DPIA doen?
We zouden in deze situatie adviseren om de DPIA die reeds gedaan is op de bestaande verwerking erbij te pakken en versneld (met enkele betrokken medewerkers) in korte tijd de veranderende omstandigheden in kaart te brengen en een risico-analyse op hoofdlijnen te maken. Dit hoeft niet meer dan een uur te duren. Met deze initiële analyse kun je van start (mits hier geen hoge risico's uitkomen), we adviseren om deze over een a twee maanden weer te bekijken zodra hier weer capaciteit voor is.
-
De hoeveelheid medewerkers die thuiswerken zorgen ervoor dat we steeds vragen krijgen welke tools ze wel en niet kunnen gebruiken. Daarnaast is onze Citrix-omgeving niet ingericht om moderne vergader-tools te faciliteren.
Hiervoor verwijzen we graag naar de overzichten van beeldbeltoepassingen inclusief stappenplan om een keuze te maken tussen deze oplossingen op onze website. Het (tijdelijk) faciliteren van medewerkers om op afstand te kunnen samenwerken buiten de Citrix-omgeving om is mogelijk, maar neemt wel wat inrichtingskeuzes met zich mee. Hierbij is het belangrijk om te beoordelen met wat voor gegevens er gewerkt wordt (persoonsgegevens ja / nee, classificatie van gegevens) en de beveiligingsvereisten van de apparatuur hier op aan te passen. Hiernaast is het goed om wel een oog op de lange termijn te houden, ben je op de achtergrond al bezig met een overgang naar G-suite, wellicht is het dan geen goed moment op Office 365 uit te rollen. Tenslotte is het belangrijk nog eens extra aandacht te besteden aan de bewustwording van medewerkers in deze tijden, denk hierbij aan aandacht voor phishing, veilig omgaan met informatie en gedragsregels bij het thuiswerken.
-
Mag ik beeldbellen met patiënten/cliënten/burgers? En welke applicatie kan ik hier dan voor gebruiken?
Ja. M&I/Partners heeft specifieke overzichten gemaakt voor beeldbeltoepassingen in de zorg en beeldbeltoepassingen voor de overheid. De beslisboom in deze overzichten helpen u bij het maken van de keuze voor een beeldbelapplicatie afhankelijk van het doel. Het is belangrijk hierbij waar mogelijk aandacht te hebben voor de configuratiemogelijkheden binnen applicaties om aan wet- en regelgeving en intern beleid te voldoen.
-
Mag ik WhatsApp gebruiken in een zakelijke context?
Dit is afhankelijk van het interne beleid binnen uw organisatie. Het is af te raden WhatsApp te gebruiken als er persoonsgegevens of bedrijfsgevoelige gegevens uitgewisseld worden.
-
Mag ik WhatsApp gebruiken om met mijn patiënten/cliënten/burgers te communiceren?
Voor het verwerken van bijzondere persoonsgegevens zijn aanvullende waarborgen nodig vanuit de AVG. De bescherming van gegevens die middels WhatsApp gedeeld worden zijn niet voldoende. We adviseren WhatsApp hier niet voor te gebruiken. Bellen is vaak het beste, meest laagdrempelige alternatief.
-
Aan welke zaken moet ik denken als ik een beeldbeltoepassing snel wil implementeren?
Beoordeel of de leverancier voldoet aan de basisvereisten voor veilig beeldbellen (zie stroomschema’s onder vraag 1). Daarnaast is het belangrijkhet beeldbelproces op korte termijn in kaart te brengen, de mogelijke risico's hieruit te analyseren en maatregelen te treffen om deze risico's naar een acceptabel niveau te verlagen. Mogelijke maatregelen zitten in het toepassen van de juiste configuratie op de geselecteerde beeldbel-toepassing.
-
Hoe faciliteer ik mijn medewerkers in het veilig thuiswerken?
Naast het verstrekken van de juiste middelen is het ook belangrijk uw medewerkers regelmatig te informeren over de risico's die bij thuiswerken komen kijken. Denk hierbij aan bewustwording over phishingmails, veilig internetten en clean desk (of nu clean kitchen table).
-
Wat zijn risico’s waar ik rekening mee moet houden in deze tijd?
Gebruik van onbeveiligde apparatuur om bedrijfsgegevens en/of persoonsgegevens te verwerken.
Gebruik van onveilige applicaties door medewerkers om creatief de uitdagingen van het thuis(samen)werken te overbruggen.
Verhoogde hoeveelheid cybercrime, denk aan phishingmails.
Werken in een 'onveilige' (thuis)omgeving (rondslingeren van informatie waar kinderen, huisgenoten of bezoekers bij kunnen).
Continuïteit van werkprocessen.
-
We mogen van onze werkgever geen WhatsApp gebruiken, zijn er alternatieven?
Er zijn legio alternatieven beschikbaar. De vraag is waarom er geen WhatsApp gebruikt mag worden want dat bepaalt de mogelijkheid voor alternatieven. Voor een overzicht van de beschikbare applicaties als alternatief voor beeldbellentoepassingen verwijzen we je naar de eerste vraag.
-
Het aantal phishingmails is flink toegenomen sinds de corona crisis. Wat kunnen we er tegen doen?
Zorg dat er voldoende technische beveiligingsmaatregelen zijn genomen met de inrichting van de e-mailomgeving. Hiermee kan een deel van de onveilige e-mails buiten de deur gehouden worden.
Bewustwording is uiteindelijk het meest effectieve middel. Maak mensen bewust hoe ze phishing kunnen herkennen en wat te doen als ze een phishingmail krijgen.
Op langere termijn kan er ook gekeken worden naar beschikbare tooling voor het beoordelen van het gedrag van medewerkers t.a.v. phishing.
-
Wat kunnen we doen om ons weerbaarder te maken tegen cybercrime?
Net als bij phishing, met name richten op bewustwording.
Inrichten (op korte termijn lastiger) van adequate monitoring en logging op uw netwerk, inrichten van adequaat patch- en release management, aansluiten op landelijke informatieuitwisseling (van o.a. NCSC).
U kunt de vereiste werkzaamheden ook uitbesteden en aansluiten bij een Security Operating Centre (SOC). Dan beschermen en monitoren zijn uw infrastructuur.
IB&P overig
-
Hoe zorg ik ervoor dat (nieuwe) medewerkers snel aan het werk zijn en de juiste wet- en regelgeving in acht nemen?
Gebruik hiervoor de tools die beschikbaar zijn en voldoen aan (inter)nationale richtlijnen en normen (zoals ISO27001, NEN7510, BIO, etc.).
Zorg dat er voor het werken met bedrijfsgegevens door medewerkers gebruik gemaakt wordt van apparaten die door uw organisatie beheerd worden en voldoen aan uw interne informatiebeveiligingsbeleid.
Beoordeel de risico's van de (nieuwe) werksituatie en formuleer (beoogde) maatregelen om deze risico's te verminderen.
-
Wat moet ik op orde brengen wanneer ik tijdelijk anders om ga met autorisaties en beveiligingsmaatregelen?
Beschrijving en onderbouwing van de beleidskeuzes, met name wanneer hier op onderdelen risico’s genomen worden.
Afweging van de risico's van deze beleidskeuzes en genomen maatregelen.
-
Wat kunnen we op korte termijn ondernemen om de meest kritische processen in de huidige (corona)situatie (o.a. thuiswerken) door te laten gaan? En wat op lange termijn?
Bepaal welke processen het meest kritisch zijn en richt je aandacht hier als eerste op.
Analyseer wat nodig is om dit proces te laten draaien (informatie, functionaliteiten, techniek, personen) en richt je op korte termijn op het organiseren van deze basis randvoorwaarden.
Analyseer de risico's die je neemt met deze initiële inrichting. Besteed de midden-lange termijn aan het mitigeren van deze maatregelen.
Zorg dat er voor alle kritische processen in de organisatie 'uitwijk' georganiseerd is (technisch, functioneel en operationeel).