GDPR- en CCPA-compliance voor personeel op afstand
Deel dit
Naleving van gegevensbeschermingsvoorschriften, zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en de California Consumer Privacy Act (CCPA), vereist een ander beveiligingsstandpunt voor externe werknemers. Lees verder voor de vijf bewezen best practices van Splashtop voor compliance met een extern personeelsbestand. Lees verder voor Splashtop's vijf bewezen best practices voor compliance wanneer u personeel op afstand heeft.
Werken op afstand gaat niet meer weg. Volgens een recente schatting van Gartner, zal 51 procent van de kenniswerkers begin 2022 hun werk op afstand uitvoeren - en dat aantal ligt nu waarschijnlijk nog hoger gezien de recente omicrongolf over de hele wereld.
Compliance wordt bemoeilijkt wanneer op afstand wordt gewerkt. Overweeg de bevindingen van dit onlangs verschenen artikel in Security Magazine, waarin de resultaten worden besproken van de Apricorn 2021 Global IT Security Survey onder meer dan 400 IT-beveiligingsprofessionals in Noord-Amerika en Europa. Het onderzoek ging over beveiligingspraktijken en het beleid daaromtrent voor werken op afstand in de afgelopen 12 maanden. Verschillende resultaten vatten de risico's goed samen, zoals:
60% van de respondenten zegt dat de door corona veroorzaakte omstandigheden van werken op afstand, hebben geleid tot problemen met de gegevensbeveiliging binnen hun organisatie
38% verklaarde dat de datacontrole zeer moeilijk te beheren was
Ondanks zorgen over datacontrole, gaf bijna 20% toe dat hun apparaten van het werk zijn gebruikt door andere leden van hun gezin
Naleving van gegevensbeschermingsvoorschriften voor thuiswerkers is nog geen aandachtspunt voor IT-teams. Een artikel uit Healthcare IT News uit 2021 wees erop dat slechts 2 van de 10 IT-teams zeiden dat ze adequate tools en middelen hadden geleverd om werknemers die langdurig op afstand werken te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de privacywetten van consumentengegevens te schenden, met name de AVG en de CCPA.
De impact van het niet naleven
Wanneer wordt vastgesteld dat een organisatie mogelijk schade heeft berokkend aan consumenten door hun persoonlijk identificeerbare informatie (PII) niet goed te beschermen, kan dit leiden tot aanzienlijke boetes, verlies van klanten en grote merkschade. De meeste mensen herinneren zich ongetwijfeld spraakmakende zaken als de EU, die Amazon en H&M een boete van respectievelijk 746 miljoen euro en 35 miljoen euro oplegde wegens niet-naleving van de AVG. De EU heeft in slechts 3 jaar tijd maar liefst meer dan 800 boetes uitgedeeld in de Europese Economische Ruimte (EER) en het VK (dat de AVG-regels handhaaft, ook na de Brexit).
Ook kleinere organisaties krijgen boetes. Neem bijvoorbeeld de Zweedse zorgverlener Capio St. Göran. Het leed merkschade en kreeg een AVG-boete van €2,9 miljoen na een audit van een van haar ziekenhuizen. Uit de controle bleek dat het bedrijf geen passende risicobeoordelingen heeft toegepast en geen effectieve toegangscontrole heeft geïmplementeerd. Daardoor hadden te veel medewerkers toegang tot gevoelige persoonsgegevens.
Dezelfde soort handhaving geldt voor organisaties van elke omvang onder de CCPA van Californië. In een TechTarget artikel van september 2021 wordt erop gewezen dat de staat Californië onlangs boetes heeft uitgedeeld aan een autodealer, een supermarktketen, een online datingplatform en een adoptiebureau voor huisdieren - bepaald geen grote bedrijven.
Het komt erop neer dat als u teams op afstand beheert, u een aantal stappen moet nemen om uw beveiligingsbeleid en -praktijken aan te passen om in overeenstemming te blijven met de wetgeving inzake de bescherming van persoonsgegevens.
Gelukkig heeft Splashtop al duizenden organisaties in staat gesteld om op afstand te werken. Hier zijn de 5 bewezen best practices van Splashtop voor compliance wanneer u personeel op afstand heeft.
Wat data compliance betekent onder de AVG en CCPA
Zowel GDPR (AVG) als CCPA vereisen dat bedrijven persoonlijke informatie privé en veilig houden. Bedrijfsprocessen die omgaan met persoonsgegevens moeten worden ontworpen en gebouwd met waarborgen om gegevens te beschermen (bijvoorbeeld door gebruik te maken van pseudonimisering of volledige anonimisering waar nodig). Organisaties die gegevens beheren moeten informatiesystemen ontwerpen met het oog op privacy.
Eveneens vergelijkbaar met GDPR, definieert hoofdstuk 55 van de California Consumer Privacy Act van 2018 (CCPA) persoonlijke informatie als informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs geassocieerd kan worden met, of redelijkerwijs gekoppeld kan worden (direct of indirect) aan een bepaalde consument of huishouden zoals een echte naam, alias, postadres, unieke persoonlijke identificator, online identificator, IP adres, e-mailadres, accountnaam, sofi-nummer, rijbewijsnummer, kenteken, paspoortnummer, of andere soortgelijke identificatoren.
De voorschriften gelden voor de werknemers van elke organisatie die op elke locatie werken, op kantoor of op afstand. Belangrijk is dat het niet uitmaakt waar ter wereld de werknemers werken. De voorschriften gelden wanneer de door de voorschriften beschermde consumenten in de EU-zone, het Verenigd Koninkrijk en/of Californië wonen. (Merk op dat tal van andere landen, zoals Brazilië, Zuid-Afrika, Zuid-Korea, Japan en vele andere landen ook soortgelijke regelingen hebben ingesteld vanaf 2019-2021).
Best Practice #1: Update uw cybersecuritybeleid, zodat het aangepast is voor het huidige werken op afstand
Zoals uit de bovenstaande gegevens blijkt, zijn veel werknemers niet vertrouwd met gegevensbeveiliging en privacykwesties van betrokkenen en zien zij gewoon niet in hoe hun handelingen kunnen leiden tot een datalek waarbij de persoonsgegevens die uw organisatie moet beschermen, worden blootgelegd.
De beste manier om werknemers te informeren is het opstellen en delen van een cyberbeveiligingsbeleid dat werknemers instrueert over hoe ze de gegevens van uw bedrijf veilig kunnen houden. Dit IT-securitybeleid hoeft niet een heel ingewikkeld document te zijn. Het moet uitleggen waarom het in het leven is geroepen en (in niet-technische termen) de specifieke beveiligingsprotocollen bevatten die alle werknemers moeten volgen Het moet ook een mogelijkheid voor contact (e-mail of telefoonnummer) bieden voor werknemers die extra hulp nodig hebben om het te begrijpen.
Best Practice #2: Train medewerkers en zorg dat IT hen kan ondersteunen
Medewerkers zijn vaak de zwakste schakel in cybersecurity. Regelmatige security-training helpt medewerkers op de hoogte te blijven van hoe ze de organisatie kunnen beschermen tegen kwaadwillende aanvallen.
Account- en wachtwoordbeleid:
Wijs alle gebruikers hun eigen logins toe en verleen toegang via sterke wachtwoorden en twestaps / multi-factor authenticatie.
Controle op gegevensbeveiliging:
De controles op gegevensbeveiliging omvatten rolgebaseerde toegang op basis van het least-privilege principe, toegangscontrole, controle/inventarisatie van accounts en registratie. Dit betekent dat alle gebruikers een minimaal niveau van toegang tot de gegevens hebben.
Toegangscontrole:
Toegangscontroles beheren de elektronische toegang tot gegevens en systemen en zijn gebaseerd op bevoegdheidsniveaus, need-to-know parameters en een duidelijke scheiding van taken voor mensen die toegang hebben tot het systeem.
Security Incident Respons:
"Security Incident Respons" procedures stellen een organisatie in staat om gebeurtenissen met betrekking tot Splashtopdiensten en informatiemiddelen te onderzoeken, erop te reageren, te beperken en te melden.
Best Practice #3: Houd gegevens versleuteld tijdens doorgifte en in rust
Overweging 83 van de GDPR (AVG) vereist dat persoonsgegevens worden beschermd - zowel 'in transit' als 'at rest'. U moet ervan uitgaan dat gegevens altijd 'in transit' zijn als iemand er toegang toe heeft, bijvoorbeeld als ze van een webserver naar een apparaat van een gebruiker gaan. "Data at rest" verwijst naar gegevens in opslag, zoals gegevens op de harde schijf van een apparaat of een USB-stick.
De twee sleutels tot het handhaven van gegevensbescherming wanneer uw werknemers op afstand werken zijn encryptie en toegangscontrole.
Encryptie:
Splashtop versleutelt alle gebruikersgegevens 'in transit' en 'at rest', en alle gebruikerssessies worden veilig opgezet met TLS. De inhoud waartoe binnen elke sessie toegang wordt verkregen is altijd versleuteld via 256-bit AES.
Toegangscontrole:
Splashtop heeft toegangscontroles geïmplementeerd om de elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op bevoegdheidsniveaus, need-to-know niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem.
Splashtop vermijdt met opzet het overmatig verzamelen van gegevens - iets wat te veel bedrijven doen zonder een legitieme reden voor zakelijke dienstverlening. We voldoen gemakkelijker aan de regelgeving door GEEN gevoelige gegevens/informatie te verzamelen. We verzamelen, bewaren en verwerken alleen beperkte PII, zoals gebruikersnaam (e-mail), wachtwoord en sessielogs (voor klanten om te bekijken, problemen op te lossen, enz.), en Splashtop verkoopt geen klantinformatie vanwege GDPR- en CCPA-richtlijnen.
Best Practice #4: Behandel geografische gegevens binnen hun eigen stack
Als uw bedrijf gebruikers in een gereguleerde zone bedient, is het het veiligst om een data/technologie-stack te maken die specifiek is voor elke gereguleerde zone. Splashtop maakt gebruik van een in Duitsland gevestigde EU-stack. Dit zorgt ervoor dat gegevensoverdrachten met betrekking tot inwoners van de EU binnen de soevereiniteit van de EU blijven (een strikte regel van de GDPR).
Best Practice #5: Maak gebruik van veilige remote access
Mensen die op afstand werken, gebruiken meestal VPN's en Remote Desktop Protocol (RDP) om toegang te krijgen tot de apps en gegevens die ze nodig hebben om hun werk uit te voeren. Dit heeft ertoe geleid dat cybercriminelen zwakke wachtwoordbeveiliging en VPN-kwetsbaarheden hebben misbruikt om toegang te krijgen tot bedrijfsnetwerken en informatie en gegevens hebben gestolen.
De remote accessoplossing van Splashtop is niet afhankelijk van een VPN. Bovendien volgt het een Zero Trust benadering. Wanneer werknemers op afstand toegang krijgen tot hun kantoorcomputer of werkstation, komen ze binnen via een speciale Splashtop verbinding. Een verbinding die geen deel uitmaakt van het bedrijfsnetwerk. Dit betekent dat ze de gegevens (b.v. Word documenten) alleen op hun remote desktop kunnen bekijken en bewerken, en dat de gegevens nooit buiten het bedrijfsnetwerk reizen. IT-beveiligers hebben met Splashtop ook de keuze om zowel bestandsoverdracht als printfuncties in of uit te schakelen. Deze keuzes worden ten zeerste aanbevolen voor compliance, maar bestaan niet bij een RDP/VPN strategie.
Splashtop remote access biedt nog meer securityfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), eenmalige aanmelding (SSO) en meer. Deze moderne beveiligingsmaatregelen bestaan niet in de VPN-architectuur.
Voorkomen is gemakkelijker dan genezen
Zoals deze best practices laten zien, kunt u vijf voor de hand liggende stappen zetten om u zonder al te veel inspanning aan te passen aan de privacyregels. Nu werken op afstand niet meer weg is te denken, zijn de voordelen van het beschermen van consumentengegevens in een remote werkomgeving veel groter dan de negatieve gevolgen van het 'niet-naleven'.
