AVG- en CCPA-naleving beheren voor een extern personeelsbestand

Naleving van gegevensbeschermingsvoorschriften, zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en de California Consumer Privacy Act (CCPA), vereist een ander beveiligingsstandpunt voor externe werknemers. Lees verder voor de vijf bewezen best practices van Splashtop voor compliance met een extern personeelsbestand.

Werken op afstand gaat niet weg. Uit een schatting van Gartner bleek onlangs dat aan het begin van 2022 51 procent van de kenniswerkers hun werk op afstand doet - en met de recente toename van de omikron-variant over de hele wereld is dat aantal alleen maar gestegen.

Compliance wordt bemoeilijkt wanneer op afstand wordt gewerkt. Overweeg de bevindingen van dit onlangs verschenen artikel in Security Magazine, waarin de resultaten worden besproken van de Apricorn 2021 Global IT Security Survey onder meer dan 400 IT-beveiligingsprofessionals in Noord-Amerika en Europa. Het onderzoek ging over beveiligingspraktijken en het beleid daaromtrent voor werken op afstand in de afgelopen 12 maanden. Verschillende resultaten vatten de risico's goed samen, zoals:

  • 60% van de respondenten zegt dat de door corona veroorzaakte omstandigheden van werken op afstand, hebben geleid tot problemen met de gegevensbeveiliging binnen hun organisatie
  • 38% verklaarde dat datacontrole zeer moeilijk te beheren was
  • Ondanks zorgen over datacontrole, gaf bijna 20% toe dat hun apparaten van het werk zijn gebruikt door andere leden van hun gezin

Naleving van gegevensbeschermingsvoorschriften voor thuiswerkers is nog geen aandachtspunt voor IT-teams. Een artikel uit Healthcare IT News uit 2021 wees erop dat slechts 2 van de 10 IT-teams zeiden dat ze adequate tools en middelen hadden geleverd om werknemers die langdurig op afstand werken te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de privacywetten van consumentengegevens te schenden, met name de AVG en de CCPA.

De impact van het niet naleven

Wanneer wordt vastgesteld dat een organisatie mogelijk schade heeft berokkend aan consumenten door hun persoonlijk identificeerbare informatie (PII) niet goed te beschermen, kan dit leiden tot aanzienlijke boetes, verlies van klanten en grote merkschade. De meeste mensen herinneren zich ongetwijfeld spraakmakende zaken als de EU, die Amazon en H&M een boete van respectievelijk 746 miljoen euro en 35 miljoen euro oplegde wegens niet-naleving van de AVG. De EU heeft in slechts 3 jaar tijd maar liefst meer dan 800 boetes uitgedeeld in de Europese Economische Ruimte (EER) en het VK (dat de AVG-regels handhaaft, ook na de Brexit).

Ook kleinere organisaties krijgen boetes. Neem bijvoorbeeld de Zweedse zorgverlener Capio St. Göran. Het leed merkschade en kreeg een AVG-boete van €2,9 miljoen na een audit van een van haar ziekenhuizen. Uit de controle bleek dat het bedrijf geen passende risicobeoordelingen heeft toegepast en geen effectieve toegangscontrole heeft geïmplementeerd. Daardoor hadden te veel medewerkers toegang tot gevoelige persoonsgegevens.

Hetzelfde type handhaving is van toepassing op organisaties van elke grootte onder de CCPA van Californië. In een TechTarget-artikel uit september 2021 wordt erop gewezen dat de staat Californië onlangs boetes heeft uitgedeeld aan een autodealer, een supermarktketen, een online datingplatform en een adoptiebureau voor huisdieren - bepaald geen grote bedrijven.

Het komt erop neer dat als u teams op afstand beheert, u een aantal stappen moet nemen om uw beveiligingsbeleid en -praktijken aan te passen om in overeenstemming te blijven met de wetgeving inzake de bescherming van persoonsgegevens.

Gelukkig heeft Splashtop duizenden organisaties in staat gesteld om op afstand te werken. Hier zijn de 5 bewezen best practices van Splashtop voor compliance en het hebben van een extern personeelsbestand.

Wat data compliance betekent onder de AVG en CCPA

Zowel de AVG als de CCPA vereisen dat bedrijven persoonlijke informatie privé en veilig houden. Bedrijfsprocessen die persoonsgegevens verwerken, moeten worden ontworpen en gebouwd met waarborgen om gegevens te beschermen (bijv. door pseudonimisering of volledige anonimisering te gebruiken, indien van toepassing). Organisaties die gegevens beheren, moeten informatiesystemen ontwerpen met privacy in het achterhoofd.

Ook vergelijkbaar met de AVG, definieert hoofdstuk 55 van de California Consumer Privacy Act van 2018 (CCPA) persoonlijke informatie als informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs kan worden geassocieerd met, of redelijkerwijs kan worden gekoppeld (direct of indirect) aan een bepaalde consument of huishouden, zoals een echte naam, een alias, postadres, unieke persoonlijke identificatiecode, online identificatiecode, IP-adres, e-mailadres, accountnaam, burgerservicenummer, rijbewijsnummer, kentekennummer, paspoortnummer of andere vergelijkbare identificatiegegevens.

De voorschriften zijn van toepassing op de werknemers van elke organisatie die op elke locatie werken, op kantoor of op afstand. Belangrijk is dat het niet uitmaakt waar ter wereld werknemers werken. De regelgeving is van toepassing wanneer de consumenten die door de regelgeving worden beschermd, in de EU-zone, het VK en/of Californië wonen. (Merk op dat tal van andere landen, zoals Brazilië, Zuid-Afrika, Zuid-Korea, Japan en vele anderen, tussen 2019 en 2020 ook soortgelijke regelgeving hebben ingevoerd).

Best Practice #1: Update uw cybersecuritybeleid, zodat het aangepast is voor het huidige werken op afstand

Zoals uit de bovenstaande gegevens blijkt, zijn veel werknemers niet vertrouwd met gegevensbeveiliging en privacykwesties van betrokkenen en zien zij gewoon niet in hoe hun handelingen kunnen leiden tot een datalek waarbij de persoonsgegevens die uw organisatie moet beschermen, worden blootgelegd.

De beste manier om werknemers te informeren is door een cybersecuritybeleid op te stellen, dat werknemers instrueert over hoe ze de gegevens van uw bedrijf veilig kunnen houden. Dit IT-securitybeleid hoeft niet een heel ingewikkeld document te zijn. Het moet uitleggen waarom het in het leven is geroepen en (in niet-technische termen) de specifieke beveiligingsprotocollen bevatten die alle werknemers moeten volgen. Het moet ook een mogelijkheid voor contact (e-mail of telefoonnummer) bieden voor werknemers die extra hulp nodig hebben om het te begrijpen.

Best Practice #2: Train medewerkers en zorg ervoor dat IT hen kan ondersteunen

Medewerkers zijn vaak de zwakste schakel in cybersecurity. Regelmatige security-training helpt medewerkers op de hoogte te blijven van hoe ze de organisatie kunnen beschermen tegen kwaadwillende aanvallen.

  • Account- en wachtwoordbeleid: wijs alle gebruikers hun eigen logins toe en verleen toegang via sterke wachtwoorden en tweefactor-/multifactorauthenticatie.
  • Data security controle: Data security controles omvatten op rollen gebaseerde toegang op basis van het principe van de minste bevoegdheden, toegangsbewaking, accountbeoordeling/-inventarisatie en logregistratie. Dit betekent dat alle gebruikers een minimaal niveau van gegevenstoegang hebben.
  • Toegangscontrole: Toegangscontroles zorgen voor elektronische toegang tot gegevens en systemen en zijn gebaseerd op autoriteitsniveaus, 'need-to-know'-parameters en een duidelijke scheiding van de taken voor mensen die toegang hebben tot het systeem.
  • Security Incident Response: "Security Incident Response"-procedures stellen een organisatie in staat om gebeurtenissen met betrekking tot Splashtop-services en informatiemiddelen te onderzoeken, erop te reageren, ze te beperken en ze te melden.

Best Practice #3: Houd gegevens versleuteld tijdens doorgifte en in rust

Volgens overweging 83 van de AVG moeten persoonsgegevens worden beschermd, zowel tijdens de doorgifte als in rust. Gegevens zijn in doorgifte telkens wanneer iemand er toegang toe krijgt, bijvoorbeeld wanneer ze van een webserver naar een apparaat van een gebruiker gaan. Met "gegevens in rust" worden gegevens in opslag bedoeld, zoals gegevens op de harde schijf van een apparaat of op een USB-stick.

De twee sleutels tot gegevensbescherming wanneer uw medewerkers op afstand werken, zijn versleuteling en toegangscontrole.

  • Versleuteling: Splashtop versleutelt alle gebruikersgegevens tijdens de doorgifte en in rust, en alle gebruikerssessies worden veilig tot stand gebracht met TLS. De inhoud die binnen elke sessie wordt geopend, is altijd versleuteld via 256-bits AES.
  • Toegangscontrole: Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autoriteitsniveaus, 'need-to-know'-niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem.

Splashtop vermijdt met opzet het overmatig verzamelen van gegevens - iets wat te veel bedrijven doen zonder een legitieme reden voor zakelijke dienstverlening. We voldoen gemakkelijker aan regelgeving door GEEN gevoelige gegevens/informatie te verzamelen. We verzamelen, bewaren en verwerken alleen beperkte PII, zoals gebruikersnaam (e-mail), wachtwoord en sessielogs (die klanten kunnen bekijken, problemen oplossen, enz.), en Splashtop verkoopt geen klantinformatie volgens de AVG- en CCPA-richtlijnen.

Best Practice #4: Behandel geografische data binnen de eigen stack

Als uw bedrijf gebruikers bedient in een gereguleerde zone, is de veiligste stap om een data-/technologiestack te creëren die specifiek is voor elke gereguleerde zone. Splashtop maakt gebruik van een EU-stack in Duitsland. Dit zorgt ervoor dat gegevensoverdrachten met betrekking tot EU-ingezetenen binnen de EU-soevereiniteit blijven (een strikte regel van de AVG).

Best Practice #5: Maak gebruik van veilige remote access

Mensen die op afstand werken, gebruiken meestal VPN's en Remote Desktop Protocol (RDP) om toegang te krijgen tot de apps en gegevens die ze nodig hebben om hun werk uit te voeren. Dit heeft ertoe geleid dat cybercriminelen zwakke wachtwoordbeveiliging en VPN-kwetsbaarheden hebben misbruikt om toegang te krijgen tot bedrijfsnetwerken en informatie en gegevens hebben gestolen.

De oplossing voor remote access van Splashtop is niet afhankelijk van een VPN. Bovendien volgt het een Zero Trust-aanpak. Wanneer medewerkers op afstand toegang krijgen tot hun kantoorcomputer of werkplek, komen ze binnen via een speciale Splashtop-verbinding. Een verbinding die geen deel uitmaakt van het bedrijfsnetwerk. Dit betekent dat ze alleen de gegevens (bv Word-documenten) op hun externe computer kunnen bekijken en ermee kunnen werken en dat die gegevens nooit buiten het bedrijfsnetwerk komen. IT-securitymanagers hebben met Splashtop ook de keuze om zowel de bestandsoverdracht als de afdrukfuncties in of uit te schakelen. Deze keuzes worden sterk aanbevolen voor compliance, maar zijn niet mogelijk bij RDP of VPN.

Splashtop remote access biedt nog meer securityfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), eenmalige aanmelding (SSO) en meer. Deze moderne beveiligingsmaatregelen bestaan niet in de VPN-architectuur.

Voorkomen is gemakkelijker dan genezen

Zoals deze best practices laten zien, kunt u zonder al te veel moeite vijf verstandige stappen nemen om u aan te passen aan de regelgeving voor gegevensbescherming. Nu werken op afstand een blijvertje is, wegen de voordelen van de bescherming van consumentengegevens in uw omgeving van werken op afstand veel zwaarder dan de negatieve gevolgen van niet-naleving.

Als u wilt weten hoe uw organisatie snel veilige en beveiligde remote access kan krijgen in overeenstemming met CCPA, AVG en andere privacyregelgeving voor consumenten, gaat u naar onze Compliance-pagina.


gerelateerde inhoud

Gratis proefbanner op de onderkant van het blog