In dit artikel bespreekt Kor de no-brainers op het gebied van privacy. Dit zijn de dingen die mensen doen zonder erover na te denken, maar waar wel over nagedacht zou moeten worden.
De grootste no-brainer volgens Kor? ‘Train je mensen. De receptionist wordt bijvoorbeeld heel vaak gebeld door mensen die persoonlijke informatie willen: e-mailadressen, telefoonnummers, namen. Leer mensen wat ze wel en niet mogen doorgeven. De grootste toegangsdeur van een bedrijf is immers een mens. Detecteer de gevoelige deuren: hoe komen mensen het snelst bij de informatie van jouw bedrijf?’
Jouw eigen privacy
Als ondernemer heb je gegevens van je klanten, je personeel, je bedrijf en van jezelf. Het is jouw taak om al deze gegevens te beschermen. Als ondernemer sta je in verschillende registers. Dat betekent dat je naam, adres, telefoonnummer en e-mailadres vaak makkelijker te herleiden zijn dan bij mensen die geen ondernemer zijn. Dit zijn je persoonsgegevens. Als deze persoonsgegevens worden vrijgegeven, zijn ze geld waard. Dit zijn bijvoorbeeld de belletjes die je krijgt van energieleveranciers en internetproviders met de vraag klant bij hun te worden. Maar het zijn ook de advertenties die meer op jou worden toegespitst en de WhatsApp-groepen waar je zomaar in wordt geplaatst. Met jouw persoonsgegevens op straat word je vaker verleid om je ergens voor in te schrijven of ergens op te klikken.
No-brainer: stel jezelf de vraag hoe iemand aan jouw gegevens komt. Geef je jouw gegevens aan iemand die er goed mee omgaat of worden je gegevens verkocht en word je ineens ongewenst benaderd? Controleer aan wie je de informatie geeft en geef deze informatie nooit via de telefoon of e-mail als je niet zeker weet waar het terechtkomt. Zeker als het over bankgegevens gaat. Een tip hiervoor is het tweeogenprincipe: laat altijd door een ander controleren wat er gedeeld wordt. Als er bijvoorbeeld aan de financiële afdeling van jouw bedrijf gevraagd wordt om geld over te maken, moeten daar altijd meerdere ogen naar kijken.
Privacy van je werknemers
Als ondernemer ben je verplicht om de privacy van je werknemers te waarborgen. En dat geldt niet alleen voor digitale privacy. Ook foto’s, cv’s, papieren verslagen van beoordelingsgesprekken, printjes die rondslingeren en telefoonnummers vallen onder jouw verantwoordelijkheid. Wanneer een zakenrelatie langskomt en alleen wordt gelaten in een vergaderzaal waar een telefoonlijst ligt, kan dat al gezien worden als datalek. En wat denk je van een inschrijflijst voordat je een bedrijf binnenkomt? Op die lijst staan alle namen, e-mailadressen en telefoonnummers van mensen die voor jou een bedrijf bezochten. Iedereen die zich moet inschrijven op die lijst, ziet gegevens van anderen.
No-brainer: vraag toestemming aan je werknemers bij alle informatie die je van hen verwerkt. Je moet schriftelijke toestemming hebben als je foto’s, cv’s of telefoonnummers gebruikt of deelt. En laat die gegevens niet zomaar rondslingeren. Kortom: gebruik data van medewerkers niet op meer plekken dan strikt noodzakelijk.
Privacy van klanten en leveranciers
Hoe meer data je verzamelt, hoe groter de kans op een lek. Heb je de e-mailadressen van een klant niet per se nodig? Verwerk ze dan niet. Veel bedrijven werken bijvoorbeeld met CRM-systemen die automatisch een foto zoeken bij de naam van een klant. Met die simpele toevoeging verzamel je gegevens die je niet nodig hebt. Facturen worden bij sommige bedrijven ook nog steeds bijgehouden in klappers, naar een externe boekhouder gestuurd of bijgehouden in spreadsheets die niet in een privédrive staan. Voor je het weet staan je klanten of leveranciers in een register door jouw nalatigheid.
Aan de andere kant krijgen leveranciers vaak meer toegang tot een bedrijf dan ze zouden moeten hebben. Zo kunnen bijvoorbeeld pakketbezorgers vrijuit door een bedrijf rondlopen. Als zij slechte intenties hebben, is een datalek onvermijdelijk.
No-brainer: worden er per ongeluk gegevens van klanten of leveranciers gelekt? Dan ben je verplicht om dit aan te geven bij de Autoriteit Persoonsgegevens en de klanten hiervan op de hoogte te brengen. Elk lek moet geregistreerd worden. Daarom is het ook belangrijk dat als er een systeem gehackt wordt, je een back-up hebt, zodat je na kan gaan welke gegevens op straat liggen. Het is hierin ook belangrijk dat je werknemers op de hoogte zijn van wat er moet gebeuren bij een datalek. Maken zij een fout? Dan is het aan jou als ondernemer de taak om hen het gevoel te geven dat ze het aan kunnen kaarten.
Andere tips en tricks
1. Update je systemen
Als jouw iPhone een update voorstelt, dan is dat bijna altijd vanwege veiligheidsmaatregelen bij Apple. En als die maatregelen te maken hebben met een lek dat zich verspreidt op internet, zijn telefoons die niet geüpdatet zijn weerlozer dan telefoons die de update wel hebben doorgevoerd. Dit geldt ook voor andere systemen die aangesloten zijn op het internet, zoals computers, maar ook steeds vaker deurbellen, lampen en wasmachines.
2. Informeer je werknemers over hoe ze om moeten gaan met gegevens
Mensen zijn de grootste veroorzakers van een lek. Je personeel bewust maken van het belang van privacy is al 99% van de oplossing. Je kan de duurste systemen aanschaffen om gegevens te beschermen, maar als je mensen alsnog data delen, gooi je alleen maar geld weg.
3. Besef wat schaamte doet
Als een werknemer de oorzaak is van een lek, is er waarschijnlijk schaamte om dit aan te geven. Bied medewerkers een veilige omgeving om een lek te delen, geef het belang van het delen en laat weten hoe een datalek wordt opgevolgd binnen het bedrijf. En als jij als ondernemer zelf de veroorzaker bent van privégegevens die op straat liggen, durf je het misschien ook niet te laten weten; uit angst voor imagoschade. Het is belangrijk dat je dit wel durft te doen, want de schade kan nog groter worden wanneer je een datalek niet opvolgt.
4. Stuur een interne phishingmail
Denk je dat je werknemers wel weten wat ze moeten doen? Controleer het met een interne phishingmail en kijk wat er gebeurt. Maak zelf een e-mailadres en een klikbare link aan en stuur de phishingmail rond in het bedrijf. Zo kun je heel eenvoudig meten wie er op gevaarlijke links klikt. Neem het mensen niet kwalijk als ze wel op de link klikken en zie het als een mogelijkheid om de bescherming te optimaliseren.
5. Volg de e-learning van Privacy Zeker en ABN AMRO
Bewustwording is de eerste stap om de privacyzaken en databeveiliging binnen jouw bedrijf op orde te krijgen. Met Privacy Zeker Start helpen we je op weg. Voor klanten van onze partner ABN AMRO is Privacy Zeker Start gratis.