Dit jaar is de Algemene Verordening Gegevensbescherming (AVG) vijf jaar van kracht. Een goed moment om stil te staan bij jouw privacy binnen de digitale werkplek. We gingen hierover in gesprek met Roel Knapen (algemeen directeur bij Iris Intranet) en Rick Cuijpers (technisch directeur bij Iris Intranet) om na te gaan hoe organisaties omgaan met privacy en hoe de bescherming van jouw persoonsgegevens in Iris gewaarborgd wordt.
Op welke manier zijn organisaties tegenwoordig bezig met privacy?
Roel: ‘In de eerste plaats zien we dat organisaties nadenken over de efficiëntie en veiligheid van hun informatiestromen. Het is belangrijk om controle te hebben over waar persoonsgegevens zijn opgeslagen en hoe deze worden gedeeld. Er moet nagedacht worden over welke informatie via bijvoorbeeld e-mail, Whatsapp of Iris Intranet gedeeld wordt. Hier moeten keuzes in gemaakt worden. Als organisaties hier niet duidelijk over zijn en geen mogelijkheden scheppen om informatie op een veilige manier te delen wordt het een soort wilde westen. Dan kiezen medewerkers geitenpaadjes die mogelijk kwetsbaar zijn voor een datalek. En dan hebben we ook de uitvoer van dat beleid. Hoe zorgt een organisatie dat medewerkers weten wat ze moeten doen? En hoe wordt het beleid gecontroleerd en bijgestuurd? Het is meer dan ooit belangrijk dat organisaties hier bewust mee bezig zijn. Ook op ICT vlak. Daar hebben organisaties hun ICT’ers voor, het is belangrijk dat zij goed weten wat ze aan het doen zijn.’
Hoe waarborgt triptic de privacy van gebruikers?
Rick: 'Het beginsel van een goede bescherming van persoonsgegevens is de veiligheid van het informatiesysteem en hoe mensen daarmee om gaan. Het begint met de beveiliging van het systeem maar ook in het systeem treffen we maatregelen die de privacy van gebruikers waarborgen.'
Roel: 'Er zijn allerlei beveiligingen in Iris die voorkomen dat iemand binnenkomt die niet binnen zou mogen komen. Maar ook onze dienstverlening en alle procedures eromheen zijn van groot belang om te zorgen dat de ‘burcht’ van de klant, hun eigen Iris platform, veilig blijft.’
En hoe blijft die burcht veilig?
Rick: ‘Iris Intranet wordt ontwikkeld met 'Security en Privacy by Design' als basisprincipe, van hosting tot applicatie. Dit zorgt voor een gedegen basis van de informatiebeveiliging van het systeem. Privacygevoelige gegevens staan achter een primaire authenticatiemethode, het aanmeldmechanisme, waarmee wordt bepaald of een eindgebruiker het systeem in mag. Over het algemeen zal dit mechanisme beheerd worden door de organisatie zelf. We volgen daarmee het informatiebeveiligingsbeleid van de organisatie waar platform ingezet wordt. Uiteraard moeten dit beleid aan minimale eisen, die Iris Intranet daaraan stelt, voldoen. Indien de organisatie ook gebruik wil maken van het gebruikersbeheer en bijhorende login methoden, dan kan dat ook. Ook dit authenticatiemechanisme is beveiligd tegen bijvoorbeeld een 'brute force attack', waarbij een hacker op brute wijze probeert aan te melden met gegevens die verkregen zijn uit voorgaande hackpogingen van systemen. Ook is het mogelijk de beveiliging verder te versterken met Multi Factor Authentication.'
Roel: 'Daarnaast wordt het platform meerdere malen per jaar getest. Wij huren bureaus in die penetratietests uitvoeren op ons platform. Een externe cyberexpert probeert dan onze software binnen te dringen door te zoeken naar zwaktes die ze kunnen misbruiken. Ook wordt het platform zo’n 15 keer per jaar getest door onze opdrachtgevers, ze voeren dan penetratietests uit op hun eigen Iris omgeving. Mocht er tijdens een van de tests iets naar boven komen lossen we dat natuurlijk zo snel mogelijk op bij alle opdrachtgevers.'
Hoe wordt de privacy van de gebruikers in Iris gewaarborgd?
Rick: 'We treffen allerlei maatregelen om ook binnen het Iris platform de privacy van de gebruikers te beschermen, want privacy stopt niet bij de voordeur. Een van de onderdelen is het definiëren van verschillende doelgroepen in het platform. Per doelgroep stemmen we met de privacyofficer van de opdrachtgever af welke informatie zichtbaar is. Zo is het bijvoorbeeld mogelijk ook externen toegang te geven tot het platform, zij kunnen dan wel zien hoe iemand heet maar hebben geen toegang tot andere persoonsgegevens van gebruikers. Andere gebruikers kunnen op hun profiel zien of hun gegevens voor iedereen zichtbaar zijn of slechts voor een bepaalde doelgroep. Een ander onderdeel is het anonimiseren van gebruikers die uit dienst gaan. Door Iris aan te sluiten op de systemen van opdrachtgevers wordt de gebruiker toegang ontzegt uit het platform als ze uit dienst zijn, waarna het proces van anonimiseren begint. De foto van de gebruiker wordt verwijderd, in de volgende stap wordt de naam veranderd in initialen. De inhoud van de ex-gebruiker blijft op Iris zichtbaar, deze data is belangrijk voor kennisdeling. Maar de privacy van de gebruiker die uit dienst is wordt gewaarborgd. Dit proces is geheel geautomatiseerd. Opdrachtgevers hoeven hier geen handmatige handelingen voor uit te voeren.'
En de veiligheid die zich richt op de processen rondom Iris?
Roel: ‘In de eerste plaats is het belangrijk om na te denken over welke informatie via kanalen gecommuniceerd mag worden. Wij hebben intern duidelijke regels over welke informatie via e-mail gestuurd mag worden. Zo zullen gevoelige gegevens niet via e-mail verstuurd worden. Er worden (soms meerdere) andere kanalen gekozen worden.
Een ander goed voorbeeld is onze supportafdeling. Als iemand belt en zegt bij een van onze opdrachtgevers te werken controleren we eerst of we deze persoon wel kennen. Als dat niet het geval is wordt de aanvraag eerst geverifieerd bij een bekend contactpersoon. Zo voorkomen we dat iemand op die manier informatie kan vergaren of toegang krijgt tot het platform van een opdrachtgever.
Maar het belangrijkste is onze ISO 27001 certificering en alle processen die we daarvoor hebben ingericht. Het is een continu proces, waarbij we voortdurend bezig zijn om potentiële kwetsbaarheden en risico’s te ontdekken en deze aan te pakken. Zeker in het steeds veranderende IT-landschap is dat belangrijk: iets wat vandaag veilig is, is dat morgen wellicht niet meer en andersom. We zijn er continu mee bezig. En dat is belangrijk, want al deze veiligheidsmaatregelen samen beschermen de privacy van onze gebruikers.'
Bekijk onze vacature voor Financieel Administratief medewerker!
Bekijk de vacature