Tip 64

Ga ‘binnen’ veilig om met persoons­gegevens

Dit is een toptip
informatieveiligheid

Waarborg privacy door veilig om te gaan met persoonsgegevens. Deze tip gaat over hoe je dat doet binnen de kantoormuren. Eigenlijk verschilt dat niet veel met hoe je met je eigen gegevens moet omgaan. Belangrijk is dat je je bewust bent van de risico’s en bewust handelt, zodat gegevens niet in verkeerde handen kunnen vallen.  Er zijn veel bruikbare tips & tricks lijstjes in omloop (zie links), laat je daardoor inspireren. We zetten de belangrijkste tips op een rij:

Voorkom misbruik en diefstal

  • laat je laptop, smartphone of usb-stick nooit onbeheerd achter.
  • vergrendel je scherm als je je werkplek verlaat
  • houd wachtwoorden voor jezelf (niet delen, niet achterlaten)
  • verzend geen vertrouwelijke informatie via email (ook niet naar eigen privéadres)
  • gebruik geen Dropbox of Wetransfer en alle vormen van cloud voor vertrouwelijke documenten
  • bespreek geen vertrouwelijke zaken via WhatsApp
  • maak onderscheid tussen zakelijk en privégebruik van social media en netwerk
  • installeer een toegangscode op je smartphone en laptop
  • plak de camera van je laptop af
  • verifieer met wie je te maken hebt (durf te twijfelen)
  • laat geen kopie van ID opsturen

Ga vertrouwelijk om met informatie

  • ken het geldende informatiebeleid en de procedures
  • lek geen informatie, bewust of onbewust (via telefoon, briefjes, e-mail, prints, aantekeningen)
  • houd je aan geheimhoudingsplicht, spreek anderen daar op aan
  • geef telefonisch geen gevoelige gegevens door

Wees alert op verdachte internetsites of berichten

  • check websites voordat je inlogt
  • klik niet op verdachte links, pop-ups en banners
  • laat alleen iemand van de ICT-helpdesk software installeren
  • zorg voor up to date virusscanner en firewall

Meld incidenten

  • meld phishingmails, virussen etc bij de helpdesk
  • meld diefstal of verlies van vertrouwelijke informatie

Stel gegevens veilig

  • maak back-ups

Wees spaarzaam met gebruik persoonsgegevens

  • meld in correspondentie alleen die gegevens die echt nodig zijn
  • vraag niet onnodig naar kopieën van ID’s

Voorbeelden

Informatieveiligheid en privacy

Interne cursussen, periodieke berichten op het interne web en aansprekende cartoons. Het Waterschap Hunze en AA’s doet er van alles aan om de informatieveiligheid en privacy op orde te hebben en aan de man te brengen. Het zet zoden aan de dijk: de medewerkers zijn zich er steeds meer van bewust en erkennen het belang van informatieveiligheid en privacy.

Meer informatie: Artikel IBestuur online

Bij conversie: beter drie keer gecheckt dan één keer te weinig

Ik denk dat bij elke conversie speelt dat je het meest gespitst bent op de belangrijkste gegevens. Dat die goed geconverteerd worden. Maar er zijn ook velden waar je in eerste instantie minder aandacht voor hebt die later toch cruciaal blijken. Het gaat al snel om hele grote groepen of heel gevoelige informatie als je dat verkeerd gekoppeld hebt. Wij hebben dat gemerkt toen we de conversie deden van twee verschillende systemen naar één nieuw systeem. Dat ging aan de ene kant prima en we veronderstelden dat de andere kant op dezelfde manier zou verwerken.  Dat was niet zo.  Daar kom je pas achter als je het gaat gebruiken. Dat was echt pijnlijk, omdat we daarbij gegevens van de ene groep zijn gaan verwarren met die van een andere groep.  Dus mijn tip: beter drie keer gecheckt dan één keer te weinig.

Bert van Ginkel

Bert van Ginkel

Hoofd Bedrijfsvoering, Schadefonds Geweldsmisdrijven Meer tips van Bert

Verzend geen persoonlijke gegevens via onbeveiligde email

Voor het beschermen van privacy, van persoonsgegevens van de ambtenaar zelf en ook eventueel van burgers, zijn allerlei tips. Met name in de hoek van beveiliging. Dat begint bij dingen als wachtwoordbeveiliging: hoe ga ik om met mijn eigen wachtwoorden? Heel belangrijk in de context van overheid. Vaak zie je – en dat moet toch echt niet kunnen – dat hele Excel lijsten met toch gevoelige gegevens van burgers  over het internet gaan. Per onbeveiligde email zoals Gmail en Hotmail worden verstuurd. Lijsten met bijvoorbeeld gezondheidsgegevens van mensen,  of lijsten met potentieel criminele jongeren. Daar moet je echt heel erg mee oppassen.

Bart Schermer

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Vraag niet onnodig om kopieën van identiteitsbewijzen

Bij het Centraal Meldpunt Identiteitsfraude en-fouten krijgen we van slachtoffers meldingen van identiteitsfraude. In veel gevallen gebeurt dat doordat mensen een kopie van hun identiteitsdocumenten ergens hebben ‘moeten’ achterlaten of verstrekt hebben. En die is dan een heel eigen leven gaan leiden. Er wordt te pas en te onpas gevraagd om kopieën van identiteitsdocumenten, terwijl dat helemaal niet mag en ook niet nodig is. Vaak gaat het er alleen maar om dat een persoon laat zien wie hij is. Via DigiD, of dat je de persoon ziet met zijn ID-document. En dan maak je er een notitie van dat je dat hebt gezien en noteer je eventueel gegevens als het nummer van het document. Het is helemaal niet nodig om daar een kopie van te bewaren.

Helen van der Sluys (foto: Paul Voorham)

Helen van der Sluys

Coördinator Centraal Meldpunt Identiteitsfraude en –fouten, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties Meer tips van Helen

Bewust gebruik van publieksvoorzieningen

We maken bewust gebruik van publieksvoorzieningen op het gebied van beveiliging. We hebben geen eigen portaal met gebruikersnaam en wachtwoord, maar gebruiken wat de overheid aanbiedt, via Logius met DigiD. Ik denk dat de wenselijkheid van gebruik hiervan bij de meesten wel bekend is, maar dat het nog niet door iedereen wordt toegepast. In de nabije toekomst zal dit via de Wet digitale overheid (voorheen GDI: Generieke Digitale Infrastructuur) worden geregeld, dan is er geen eigen keuze meer.

Bert van Ginkel

Bert van Ginkel

Hoofd Bedrijfsvoering, Schadefonds Geweldsmisdrijven Meer tips van Bert

Wees bewust van risico’s, zoals je dat ook bent bij je eigen gegevens

Als het gaat om je eigen gegevens ben je je hopelijk heel erg bewust van de risico’s. Je beveiligt je mobiele telefoon en je kiest voor passend beveiligingsniveau, dat de  optimale balans biedt tussen gebruiksvriendelijkheid en veiligheid. Tegenwoordig is dat voor de meeste mensen op de telefoon een 6-cijferige code, en allang niet meer 4-cijferig. Terecht. Als het gaat om je bankgegevens is iedereen zich ervan bewust dat je voorzichtig moet zijn met de pincode, want de consequenties kunnen dramatisch zijn.  Diezelfde voorzichtigheid moet je ook – of eigenlijk: juist – betrachten als het gaat om gegevens van anderen.

Gerrit-Jan Zwenne

Gerrit-Jan Zwenne

Partner Brinkhof, Professor Leiden University Meer tips van Gerrit-Jan

Hanteer de gestelde veiligheidseisen

Privacy is voor overheidsorganisaties altijd een hot issue. Landelijk zijn er regels en voorzieningen om je privacy te waarborgen, met name rondom gegevens van burgers. De beste tip is misschien wel: hanteer de veiligheidseisen die de overheid stelt omtrent persoonsgegevens. Dat geldt uiteraard voor de interne organisatie, maar ook naar de buitenwereld toe.

Robert Hauwert

Robert Hauwert

Projectleider Informatiemanagement Hoogheemraadschap Hollands Noorderkwartier Meer tips van Robert

Laaghangend fruit: wat je niet gebruikt, kan je ook niet kwijtraken

Bedenk of het noodzakelijk is de gegevens te delen op de manier zoals je voornemens bent het te doen. Bijvoorbeeld als je een brief stuurt naar de ouders van  een kind met een vraag over dat kind, dan hoef je in die brief het BSN van dat kind niet te vermelden. Deze ouders kennen hun kind echt wel bij voornaam. Zet dat BSN er dus niet in. Mocht die brief een keer ergens verkeerd belanden, door een datalek of welke fout dan ook, dan blijft de schade beperkt. Dus als je een mail of brief stuurt, gebruik daarin dan alleen die gegevens die echt noodzakelijk zijn.

Mark Hulsman

Mark Hulsman

Privacyfunctionaris bij een gemeente Meer tips van Mark

Praktische beveiligingstips

Hoe een ambtenaar om moet gaan met gegevens, dat is eigenlijk hetzelfde voor een  medewerker bij een bedrijf of iedere burger. Je moet niet zo maar alles op Twitter zetten of op Facebook. Ga goed om met je wachtwoorden. Maak back-ups. Dat zijn meer standaard praktische beveiligingstips.

Bart Schermer

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Pas op!

Deel inloggegevens niet

Deel inloggegevens niet met collega’s. We zien regelmatig dat collega’s gemakkelijk inloggegevens delen. Bijvoorbeeld als er een externe collega op bezoek komt, als mensen op vakantie gaan. Maar ook dat er gebruikersnamen en wachtwoorden op post-its op het inlogscherm worden geplakt of worden gedeeld per mail.

Kijk voor meer informatie over veilig werken achter je scherm op de website van iBewustzijn.

Phishing

Reageer alert op phishingmails op je werkadres Indien je een phishingmail op je werk mailaders krijgt, meld dit dan even aan de servicedesk, want dan blokkeren zij de afzender. Meld het ook bij de organisatie of persoon wiens naam wordt misbruikt, want dan kan zij die link ook laten blokkeren.

Plak je camera op je laptop af

Wist je dat, indien je laptop wordt gehackt, hackers ook toegang hebben tot de camerafunctie van je laptop? Ze kunnen dan letterlijk met je meekijken. Plak daarom de camera van je laptop af met een pleister of sticker als je deze niet gebruikt.

Campagnemateriaal gemeente Culemborg

De gemeente Culemborg heeft verschillende campagnematerialen ontwikkeld om het iBewustzijn van medewerkers te vergroten. “Burgers en bedrijven moeten erop vertrouwen dat wij vertrouwelijk met hun gegevens omgaan. Het is de taak van de medewerker om ervoor te zorgen dat de informatie afdoende wordt beschermd en er verantwoord mee omgaat”.
Bron: iBewustzijn

Gouden regels Informatiebeveiliging

De provincie Flevoland heeft 10 Gouden regels voor Informatiebeveiliging opgesteld. Waaronder bijvoorbeeld geheimhoudingsplicht en gedragscode.
Bron: iBewustzijn

DOMI game gemeente Gennep

De gemeente Gennep heeft een presentatie en game ontwikkeld met het thema: Dus Opletten Met Informatie. De game is een speurtocht waarin medewerkers 10 lekken opsporen. Doel is om te komen van onbewust risico’s lopen naar je bewust zijn van de risico’s!
Bron: iBewustzijn

Verifieer met wie je te maken hebt: durf te twijfelen

Het is heel belangrijk voor overheden dat ze verifiëren met wie ze te maken hebben. Aan de balie bijvoorbeeld, dan gaat het erom te achterhalen: is de persoon wie hij zegt dat hij is. Dat kan door het document goed te bekijken of het echt is. Door het tegen het licht te houden, door gebruik van lampen en dat soort zaken. Maar kijk ook heel goed naar de persoon. Hoort dat document ook bij hem of haar? Vertrouw niet alleen op de scanapparatuur die zegt: het document is goed, dus is het goed. Het vergt ook intuïtie. Durf te twijfelen. Er wordt ook wel vaak gedacht: het is belangrijk goede dienstverlening te leveren en dan past het niet veiligheid daarboven te plaatsen. Maar het is juist een goede dienstverlening als je weet met wie je te maken hebt. Je mag best twijfelen of anderen om advies vragen.

Helen van der Sluys (foto: Paul Voorham)

Helen van der Sluys

Coördinator Centraal Meldpunt Identiteitsfraude en –fouten, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties Meer tips van Helen

Gebruik geen gevoelige gegevens of persoonsgegevens tijdens telefonisch contact

Digitale voorzieningen hebben er vaak de functionaliteiten voor, met DigiD, audits en dergelijke, waardoor de bescherming van persoonsgegevens wel goed gaat. De kwetsbaarheid zit met name in de mensfactor. Medewerkers kunnen nog weleens wat minder strak zijn in naleven van regels. Juist in het afhandelen van persoonsgegevens en omdat ze dienstverlening hoog in het vaandel hebben. Maar: als ik als burger bel naar een klantcontactcentrum van een overheidsinstantie, wees je er dan als overheid bewust van dat ik nooit kan bewijzen wie ik zeg te zijn. Gebruik dan ook geen persoonsgegevens of gevoelige gegevens in een telefoongesprek. Verwijs naar de digitale route of de balie. Ik heb een keer een onderzoek gezien waarin twee componenten gemeld werden over een persoon: de voornaam en de werkgever. Binnen een kwartier hadden ze alle informatie rondom deze persoon gevonden. Dat had alles te maken met een stukje ‘vertrouwen winnen’ tijdens het telefonisch contact met de medewerker van die instantie. Alle informatie werd zo aangedragen. Dan ligt identiteitsfraude op de loer!

Robert Hauwert

Robert Hauwert

Projectleider Informatiemanagement Hoogheemraadschap Hollands Noorderkwartier Meer tips van Robert

Onderzoek

Alert Online heeft onderzoek gedaan naar de stand van zaken van cybersecurity awareness en skills in Nederland. Daarin is ook een groep ambtenaren meegenomen. Hoe doen zij het in vergelijking met overige groepen werkenden als het gaat over omgaan met persoonsgegevens?

Best goed! Onder ambtenaren geeft een fors hoger percentage (45%) aan dat de organisatie gebruik maakt van beveiligde opslag van persoonsgegevens en dat er beleid is over de wijze waarop persoonsgegevens verstuurd en gebruikt mogen worden. Bij de overige groepen werkenden is dat ongeveer 30%.

Maar…: hoe zit het met die overige 55%, de meerderheid dus?

Bron: Cybersecurity awareness en skills in Nederland (2016)

Conclusie

Hoewel de overheid zaken rond omgaan met persoonsgegevens beter heeft geregeld dan bedrijven is er toch nog volop werk aan de winkel.