Vanuit CRANIUM Nederland zien wij de ongekende uitdagingen waar we allemaal mee worden geconfronteerd tijdens de pandemie van het Coronavirus (COVID-19).
Je wilt snel informatie delen met collega’s en externen. De manier van werken moeten we aanpassen. Wat betekent veilig thuiswerken? Wat stuur je door en hoe? Cybercriminelen misbruiken COVID-19 voor phishing. Privacy- en security-uitdagingen komen om de hoek kijken.
In dit dossier verzamelen wij vragen en antwoorden rondom het thema Business Continuity Management (BCM). Het belangrijkste is dat jouw organisatie op een veilige manier door blijft gaan. Het thema staat in directe relatie tot privacy, security en datamanagement.
Het overzicht wordt regelmatig bijgewerkt.
Hoe werk ik met mijn organisatie veilig vanuit huis?
Zorg voor de juiste richtlijnen, faciliteiten en een hoog bewustzijnsniveau om veilig thuiswerken te kunnen waarborgen, denk hierbij bijvoorbeeld aan:
– Gebruik van beveiligde apps ter ondersteuning van het thuiswerken, bijvoorbeeld voor videoconferencing. De Autoriteit Persoonsgegevens heeft onlangs een keuzehulp privacy voor videobel-apps uitgegeven. In dit overzicht kunt u zien welke videobel-apps veilig zijn om te gebruiken. Daarnaast hebben wij voor Rendement een analyse gedaan op het gebied van privacy en security van dertien tools.
– VPN-verbinding
– Beveiligde Wifi
– Voldoende (netwerk)capaciteit
– Installatie van meest recente updates van hardware en software
– Voldoende cyberbewustzijn, bijvoorbeeld over phishing
– Als thuiswerken bij jouw organisatie alleen toegestaan is in incidentele situaties: stel een thuiswerkovereenkomst op
– Maak verantwoord gebruik van zakelijke mail
– Up-to-date organisatierichtlijnen voor thuiswerken. Zie voor meer informatie:
-
-
- Onze blog over het gebruik van zakelijke e-mail
- Nationaal Cyber Security Centrum: ‘Voorzorgsmaatregelen thuiswerken’
- National Cyber Security Centrum: ‘Factsheet: Uw thuiswerkfaciliteiten zijn nu onmisbaar’
- Autoriteit Persoonsgegevens: ‘Veilig thuiswerken tijdens de coronacrisis’
- European Union Agency for Cybersecurity (ENISA): ‘Tips for cybersecurity when working from home’
-
Mag mijn organisatie meer (bijzondere) persoonsgegevens verwerken gedurende deze pandemie?
In principe niet, maar er kunnen uitzonderingen gemaakt worden in het kader van de volksgezondheid. Gezondheidsgegevens vallen onder ‘bijzondere persoonsgegevens’ en moeten daarom zo min mogelijk verwerkt worden. Houd bij verwerking in ieder geval rekening met de centrale AVG-principes, namelijk: dataminimalisatie, proportionaliteit, doelbeperking, integriteit en vertrouwelijkheid.
Momenteel wordt er in de zorg in Nederland een uitzondering gemaakt: hier mag tijdens de pandemie op coronaverschijnselen gecontroleerd worden. Alle werkgevers zijn verplicht de richtlijnen van het RIVM te volgen. Je mag een werknemer wel vragen om naar een arts te gaan, zichzelf te controleren of naar huis sturen als deze griepklachten heeft.
Zie voor meer informatie: onze blog ‘Uniforme privacyrichtlijnen in de strijd tegen Coronacrisis, ‘Mijn zieke werknemer’ (Autoriteit Persoonsgegevens), ‘Temparaturen tijdens Corona’ (Autoriteit Persoonsgegevens), ‘Actuele informatie over het nieuwe coronavirus (COVID-19)’ (RIVM), het statement van de European Data Protection Board: ‘Processing of personal data in the context of the COVID-19 outbreak’ en de brief over het monitoren van telefoongegevens.
Mijn bedrijf zit in meerdere landen, wat zijn de richtlijnen van andere landen rondom data privacy?
Ben je in meerdere landen actief? Dan zijn er verschillende richtlijnen van toepassing in het kader van data privacy en COVID-19, bekijk in het overzicht van de Global Privacy Assemby (GPA), wat voor jouw organisatie van toepassing is.
Waar moet mijn organisatie op letten op het gebied van cybercrime tijdens COVID-19?
Cybercriminelen maken nu misbruik van de massale aandacht voor COVID-19. Om hiertegen op te treden, heeft de European Union Agency for Cybersecurity (ENISA) een ‘COVID-19 Joint Statement’ uitgebracht.
De volgende aanvalstechnieken zijn veelgebruikt tijdens de coronacrisis, zorg dat je ze kent en dat jouw organisatie erop is voorbereid met het juiste bewustzijnsniveau:
- Phishing
Phishing bestaat er in vele soorten en maten, het meest bekend zijn e-mails met verdachte verzoeken, links en bijlagen. Maar vandaag-de-dag kan elk informatiemedium misbruikt worden voor phishing-aanvallen, denk bijvoorbeeld aan Tikkie-fraude, webwinkels die persoonsgegevens stelen bij aankopen en advertenties voor malafide apps als bescherming tegen corona.
- Telefonische fraude
Ook telefonisch kunnen veel gegevens afhandig worden gemaakt, of kun je worden overgehaald om te betalen, Interpol rapporteert over cybercriminelen die zich voordoen als ziekenhuispersoneel en verzoeken doen voor betaling van behandelingen. Op deze manier wordt er misbruik gemaakt van de huidige situatie, waarin weinig face-to-face contact mogelijk is met familieleden of vrienden.
Bron: Interpol: ‘Warns of financial fraud linked to COVID-19’
Hoe start ik met een bedrijfscontinuïteitsplan?
- – Wijs een centraal crisisteam aan
- – Bepaal het risicoprofiel van de organisatie
- – Identificeer bedrijfskritische processen
- – Stel vast welke zorgmaatregelen de organisatie kan treffen
- – Verdeel de verantwoordelijkheden van het continuïteitsmanagement en communiceer over maatregelen naar alle betrokkenen
Meer informatie? Lees het uitgebreide ‘werkgeversadvies’ van Human Capital Care. Als input voor een bedrijfscontinuïteitsplan kun je een Business Impact Analysis uitvoeren. Vanuit de Baseline Informatiebeveiliging Overheid (BIO), wordt een handreiking gedaan voor het opstellen van een BCM-aanpak
Mag ik coronadossiers uitzonderen van vernietiging vanwege de historische waarde?
Dat mag voor rijksorganisaties onder bepaalde voorwaarden, mits vastgelegd als ‘hotspot’. Een ‘hotspot’ moet aan tenminste één van de volgende criteria voldoen:
- – Er is sprake van een (schokkende) gebeurtenis of reeks van gebeurtenissen die voor veel maatschappelijke beroering zorgt en waarvoor uitzonderlijk veel aandacht bestaat in de media
- – Er is sprake van een gebeurtenis of kwestie die belangrijke principiële tegenstellingen tussen burgers aan het licht brengt, het debat over de kwestie maakt veel emoties los
- – Er is sprake van een gebeurtenis of kwestie die aanleiding is voor een intensief publiek debat over het functioneren van de Nederlandse overheid
- – Er is sprake van een politieke kwestie waardoor de positie van de minister of het Kabinet ernstig is bedreigd
In de overweging moet altijd het belang van de betrokkene worden meegewogen, zeker als het gaat over medische gegevens.
Meer weten? Bekijk de richtlijnen van het Nationaal Archief
Heb jij vragen over het opzetten van Business Continuity Management (BCM) binnen de organisatie? Wij hebben voorbeelden van plannen en maatregelen voor verschillende sectoren. Neem per mail contact met ons op via: nl-info@cranium.eu.