Ga direct naar inhoud
12. Hybride werken_2880x1800
Public sector

Hybride werken is here to stay: aandachtspunten voor de privacybewuste professional

Wat te doen om hybride werken en privacy hand in hand te laten gaan?

Highlights

  • Werken vanaf elke locatie, eng of een mogelijkheid?
  • Tips om hybride werken mogelijk te maken in het veiligheidsdomein.
  • Risico’s en oplossingen in kaart gebracht.
  • De kracht van open communicatie: maak medewerkers een onderdeel van de oplossing.

Hybride werken is een gegeven sinds corona, maar levert het enkel voordelen op of vraagt het om een andere manier van beveiliging? Zeker in het veiligheidsdomein waar gewerkt wordt met kritieke data is het goed om kritisch te kijken naar de juiste balans.

In de trein, op de fiets, in een café, thuis, op kantoor, tegenwoordig werken we overal. Het is een opmerkelijke verandering van de manier van werken van de laatste jaren. Enerzijds levert dat ons een hoop flexibiliteit op. Anderzijds brengt dit nieuwe privacy en informatiebeveiligingskwesties met zich mee, wat aanleiding geeft om te kijken naar middelen voor nog betere bescherming van de business. Met de mens als zwakste schakel in dit proces ligt een praktische aanpak voor de hand.

Van noodzaak naar blijvende trend

In de afgelopen jaren hebben we een opmerkelijke verschuiving gezien in de manier waarop we werken. Het traditionele kantoorleven, waarbij we dagelijks op dezelfde locatie aanwezig zijn, maakte plaats voor een meer flexibele en dynamische benadering van werk: hybride werken. We werken nu niet meer alleen op kantoor, maar ook bijvoorbeeld in de trein, thuis, of andere locaties zoals het café om de hoek. Denk ook aan flexibel werken over de grenzen.

Wat begon als een noodzakelijke reactie op de wereldwijde pandemie, is uitgegroeid tot een blijvende trend die stevig verankerd is in de moderne zakelijke cultuur. Dat is ook niet zo gek. Hybride werken kan immers leiden tot een betere work-life balance, minder reistijd, een grotere focus op resultaten en een verbeterde productiviteit. Echter, dergelijke voordelen brengen ook nadelen met zich mee. Zo ontstaan er in het veiligheidsdomein grotere risico’s dan in andere sectoren. Naast devices die medewerkers dragen die ongewenst data kunnen delen (denk aan het delen van locaties waar iemand zich bevindt), zijn er nu meer factoren om rekening mee te houden. Zoals uit welke geografische gebieden medewerkers werken (en welke data zij verwerken) en wat mogelijke vijandelijke factoren zijn om rekening mee te houden. De risico inschatting kan wijzigen ten opzichte van het traditionele werken op kantoor aangezien rekening gehouden dient te worden met eventuele reisbewegingen, onbetrouwbare netwerken en het potentieel verlies of het tijdelijk uit zicht verliezen van devices.

Hybride in al zijn facetten

In een wereld waar informatie een van de meest waardevolle activa is geworden, moeten organisaties zorgvuldig omgaan met de privacy van hun werknemers en klanten. Het waarborgen van privacy bewuste werkomgevingen is van cruciaal belang om het vertrouwen te behouden en te voldoen aan de wettelijke vereisten.

Bij hybride werken in het bijzonder komen er meer zaken kijken dan je in eerste instantie zult verwachten. Denk aan (het gebrek aan) security op persoonlijke netwerken. Ook de werknemer die op een openbaar wifi netwerk inlogt vormt een risico die niet makkelijk bij de werkgever in kaart te brengen is. Je moet bijvoorbeeldook nadenken over het gebruik van USB devices, headsets en al dan niet gebruik van een privacy screen. Ook het vernietigen van documenten vraagt om aandacht bij hybride werken. Niet alles kan in de oud papier container van de medewerker zelf. Denk ook aan bewustzijn van medewerkers of isolatie van de omgeving en wanneer (en op welke wijze) sommige gegevens wel of niet te delen zijn. In de zomermaanden vergaderen in de tuin is heerlijk, maar gevoelige informatie delen over bijvoorbeeld een inval die plaats gaat vinden is daarvoor niet de geschikte locatie.

De mens als zwakte schakel

Waar het afweren van cyberaanvallen op één locatie al uitdagend is, vormt hybride werken dus tal van extra risico’s. Daarbij is de menselijke factor het kernelement. Technisch kunnen systemen sterk in elkaar zitten, maar uiteindelijk is het de werknemer zelf die met deze systemen aan de slag gaat. Als een medewerker besluit om gevoelige data te vermelden in de trein, doet dat alle technische maatregelen teniet. Of denk aan de werknemer die gevoelige klantinformatie niet alleen uitgeprint, maar ook in een doorzichtige map vervoerd. De werknemer die besluit het klantrapport te laten samenvatten door ChatGPT of te laten te vertalen door Google Translate, vormen relatief nieuwe uitdagingen op dit gebied.

De informatiebeveiligingsexpert van nu heeft daarom meer dan ooit de cruciale verantwoordelijkheid om ervoor te zorgen dat de data-infrastructuur robuust en veilig blijft. Met de mens als zwakte schakel bij het hybride werken ligt actieve betrokkenheid van werknemers voor de hand. Dit vraagt niet alleen een andere aanpak vanuit de werknemer, maar ook een andere aanpak vanuit de werkgever als sturende factor in het geheel en meer bewustzijn dan tot op heden noodzakelijk was.

De kracht van open communicatie

Werknemersbetrokkenheid wordt bereikt door middel van open communicatie rond privacy risico’s en beveiligingskwesties, ook wanneer het gaat om hybride werken. Het is daarin belangrijk om te benadrukken dat fouten maken menselijk is en verbeterpunten welkom zijn. Communiceer daarom openlijk over lopende kwesties binnen de organisatie en moedig teamleden aan om vragen te stellen en zorgen te uiten. Laat medewerkers ook actief meedenken over mogelijke risico’s die zij zelf signaleren met hybride werken.

Traning en awarenessessies kunnen hierbij helpen, maar denk ook eens aan open feedbacksessies en rondetafel gesprekken. Hierin kunnen werknemers hun mening geven over de bestaande privacy- en beveiligingsmaatregelen en suggesties doen voor verbetering. Op die manier blijft men ook actief op de hoogte van welke struikelblokken er binnen een organisatie zijn. Deelnemers kunnen in een feedbacksessie bepaalde situaties delen waar ze tegenaan zijn gelopen, zodat de organisatie hiervan kan leren.

Een terugbliksessie organiseren, waarin wordt gekeken naar lessons learned, kan ook helpen om een open cultuur te creëren. Dan zien werknemers immers dat bepaalde problemen en vragen ook daadwerkelijk worden aangepakt en worden geïmplementeerd in de praktijk. Het inplannen van een privacy Q&A moment in de Teams-agenda (zonder verplichte aanwezigheid) is ook een laagdrempelige manier om privacy meer mee te laten draaien in de organisatie.

Dienstverlening als focus

Wanneer werknemers zich vrijer voelen om eigen fouten te delen en bedenkingen op te werpen, zullen zij ook eerder het privacy of informatiebeveiliging hulploket weten te vinden. Denk aan de situatie dat werknemers problemen ondervinden bij het inloggen via een VPN, waardoor zij mogelijk naar onveilige alternatieve manieren gaan zoeken om toch hun werk te kunnen doen. Of het uitblijven van een reactie van de privacy afdeling, terwijl de werknemer sterk over de privacy implicaties twijfelt en besluit om iets toch te doen. Als zich dit voordoet moet dienstverlening naar de werknemer de focus zijn. Hoe kunnen zij hun werk zo goed mogelijk voortzetten, zonder dat zij het idee hebben dat privacy hieraan in de weg staat? Een praktische aanpak, waarin mogelijke fouten niet bestraft worden, verlaagd de drempel om de volgende keer nog eens voor advies langs te lopen.

Stimuleer samenwerking

Privacy en informatiebeveiliging hoeft niet (volledig) van bovenaf te worden bepaald. Het belangrijkste is immers dat de beleidsrichtlijnen en procedures aansluiten bij het werk dat moet worden verricht. Creëer daarom een speciale werkgroep met vertegenwoordigers uit verschillende teams en afdelingen, waaronder informatiebeveiligingsexperts, IT-personeel en werknemers die regelmatig met gevoelige gegevens werken. Betrek daarin ook juist diegene zonder privacy of IT-achtergrond. Zo breng je verschillende perspectieven uit een organisatie samen, wat weer voor nieuwe inzichten zorgt. Deze werkgroep kan regelmatig bijeenkomen om privacy- en beveiligingskwesties te bespreken, beleidslijnen te ontwikkelen en best practices te delen.

Houd het actueel en concreet

Hybride werken is here to stay, maar de concrete uitwerking ervan veranderd voortdurend. Het eerder aangehaald gebruik van ChatGPT is zo’n voorbeeld. Als organisatie is het belangrijk om direct te reageren met praktische tools bij deze nieuwe ontwikkelingen. Dat werknemers het gaan gebruiken is immers evident. Ook is het belangrijk om je te verdiepen in threat intelligence. Welke aanvallen komen op ons af, wat is de prognose en hoe kunnen wij als organisatie hierop voorbereiden? Betrek dit niet alleen in je processen, maar communiceer het ook naar de mensen.

Het veiligheidsdomein

Bovenstaande is uiteraard ook van toepassing op het veiligheidsdomein, misschien nog wel meer aangezien het veiligheidsdomein unieke vereisten en uitdagingen heeft ten opzichte van andere sectoren. Wanneer we de transitie naar hybride werken bekijken binnen dit domein, worden risico’s en oplossingen vaak versterkt door de kritieke aard van de informatie en taken die worden uitgevoerd.

Risico’s:

In het veiligheidsdomein wordt met hele gevoelige informatie gewerkt. Denk daarbij aan persoonlijke gegevens, maar ook aan strategische plannen, operationele details en inlichtingeninformatie. Ongewenste toegang tot deze data of het lekken van deze gegevens kan ernstige gevolgen hebben voor de nationale veiligheid en het welzijn van individuen. Daarnaast kunnen organisaties in dit domein eerder doelwitten zijn voor aanvallen of spionage. Hetgeen een grotere kans van slagen heeft als medewerkers diverse werkplekken gebruiken. Denk ook aan de complexiteit met betrekking tot (keten) samenwerking in dit domein. Zeker met diverse locaties, diverse devices en diverse beveiligingsmethodes kan dat resulteren in een verhoogd risico.

Oplossingen

  • Extra beveiligde communicatie: Overweeg het gebruik van beveiligde communicatiekanalen, zoals versleutelde messaging-apps of speciale communicatienetwerken die specifiek zijn ontworpen voor veiligheidsdiensten.
  • Strikte toegangscontroles: Implementeer meervoudige authenticatiemethoden en regelmatige controles van toegangslogs om te waarborgen dat alleen geautoriseerde personen toegang hebben tot gevoelige informatie.
  • Training en bewustwording: Gezien de gevoeligheid van het domein is het essentieel dat alle medewerkers voortdurend worden getraind in de nieuwste beveiligingsprotocollen, inclusief de risico’s van hybride werken.
  • Noodplannen: Ontwikkel en oefen regelmatig noodplannen voor verschillende scenario’s, zoals een groot datalek of een cyberaanval, om ervoor te zorgen dat de organisatie snel en efficiënt kan reageren.
  • Samenwerkingsprotocollen: Stel duidelijke protocollen op voor inter-agency samenwerking, vooral wanneer het gaat om het delen van gevoelige informatie op afstand.

Binnen het openbare orde en veiligheidsdomein is het essentieel om de balans te vinden tussen flexibiliteit en veiligheid. Terwijl hybride werken bepaalde voordelen kan bieden, moet de nadruk vooral liggen op het waarborgen van de integriteit en veiligheid van de informatie en de operaties van de organisatie.

Conclusie

Hybride werken is er en zal er ook blijven. Ondanks de uitdagingen zijn er genoeg situaties waarin hybride werken, met de juiste veiligheidsmaatregelen, mogelijk is. Het belangrijkste is om bewust te zijn van de mogelijke risico’s, bewustzijn te realiseren bij medewerkers en te classificeren welke data in aanmerking komt voor hybride werken. Op deze wijze kan ook het veiligheidsdomein genieten van de voordelen die hybride werken te bieden heeft.

Maak kennis met onze experts

Natasja Pieterman

Hoofd cyber service line NL
Natasja is hoofd Cyber Serviceline in Nederland. Zij is een gedreven privacy en Cybersecurity professional en is daarnaast al jarenlang trainer voor de Academy op het gebied van Awareness, Privacy, Risk Management en Cybersecurity.

Emmaly van Ettikhoven

Privacy consultant
Emmaly is werkzaam als privacy consultant. Emmaly adviseert organisaties bij strategische en operationele vraagstukken omtrent privacywetgeving.