3 manieren om je planning te beveiligen

Hoe hou je grip op klantgegevens, persoonsgegevens en toegang tot data?
3 manieren om je planning te beveiligen

Gegevens buit maken, informatielekken en het achterlaten van een bedrijfslaptop in de auto. Iedereen heeft er wel eens over gelezen, kent een voorbeeld of heeft het zelf meegemaakt. De beveiliging van bedrijfs- en persoonsgegevens is voor iedereen actueel. Het verlies van vertrouwelijke gegevens kan grote gevolgen hebben, zeker nu de nieuwe Europese privacywetgeving organisaties nieuwe verplichtingen oplegt.

Een internetaansluiting voor je organisatie hebben is geen keuze. Die heb je tegenwoordig nodig. Wanneer heb jij voor het laatst een internetloze week gehad? In een planning zijn vaak gevoelige bedrijfs- en persoonsgegevens opgenomen. In deze blog kijken we eerst naar drie probleemsituaties op het gebied van dataverlies rond gegevens in een planning. Daarna geven we drie tips om deze situaties te voorkomen.


Probleemsituaties

Datadrama 1 – Vertrouwelijke gegevens liggen op straat

Je hebt een reclamebureau. Jullie werken voor meerdere internationale bedrijven, waaronder twee grote bierbrouwers genaamd Biabia Brewers en Ubiki Group. Voor Biabia Brewers zijn jullie bezig met het opzetten van een campagne voor een nieuwe lijn speciaalbieren, die internationaal uitgezet gaat worden. Om de concurrentie niet in de kaart te spelen is geheimhouding van groot belang.

Op een willekeurige werkdag zijn wat collega’s die werken aan een project voor Ubiki Group op kantoor op zoek naar een USB-stick. Ze vinden er een, plaatsen er wat bestanden op en nemen deze mee voor overleg bij Ubiki Group. Onbedoeld laten deze collega’s de USB-stick achter in de computer van de klant.

Een periode later krijg je een artikel onder je neus geschoven. Twee maanden voordat Biabia Brewers met jullie de nieuwe lijn bier introduceert, komt Ubiki Group met exact dezelfde producten. Biabia Brewers is woest. Zeker nadat uit een onderzoek de conclusie wordt getrokken dat Ubiki Group over interne informatie van Biabia Brewers heeft moeten beschikken, hoogstwaarschijnlijk vanuit jouw reclamebureau. De achtergelaten USB-stick bevatte ook nog een project planning van Biabia Brewers, inclusief alle details.

Datadrama 2 – Persoonsgegevens worden openbaar

Je hebt een bouwbedrijf. De project planning met alle contactgegevens van personeel en klanten maken jullie in Excel. Het bestand wordt wekelijks naar alle collega’s in een e-mailgroep gestuurd. Zo weet iedereen wat de activiteiten zijn voor de komende week.

Een medewerker op kantoor krijgt de opdracht om nieuwe medewerkers toe te voegen aan de e-mailgroep. Aan het begin van de volgende week belt een collega dat hij zijn planning nog niet ontvangen heeft. Na een controle blijkt dat er een typefout is gemaakt. De medewerker heeft in plaats van .nl in het e-mailadres .com gebruikt. De planning is hierdoor naar een bedrijf in India gestuurd. Dit betekent dat alle persoonsgegevens van je medewerkers en contactpersonen nu in handen zijn van onbekenden.

Datadrama 3 – Interne ongeautoriseerde toegang

Je hebt een consultancybureau met tientallen medewerkers. De planning van collega’s doen jullie in Excel. Meerdere mensen hebben toegang tot het bestand, omdat meerdere mensen opdrachten moeten kunnen plannen.

Iedereen met een computer kan bij het Excel-bestand. Het gebeurt wel eens dat een consultant zichzelf even snel inplant of wat uren reserveert. De projectmanagers maken af en toe een kopie, zodat zij een proefplanning voor een groot project kunnen maken.

Omdat medewerkers zelf aanpassingen aan de planning kunnen doen en er meerdere versies zijn, is de kans groot dat de planning niet betrouwbaar is. Zo is het nog wel eens voorgekomen dat consultants op een dag bij de verkeerde klant voor de deur stonden, omdat ze een verkeerde versie van de planning hadden bekeken. Hierdoor zijn hun verspilde uren niet te declareren en wordt er omzet gemist.


Tip 1: Gebruik een professionele tool die werkt met:

het autoriseren van gebruikers

Hiermee kan je bepalen wie wat kan zien en wie wat kan doen. Alleen een medewerker die in het systeem kan inloggen kan bedrijfsgegevens inzien. Wat je kan doen en wat je kan zien in de software is afhankelijk van de toebedeelde gebruikersrechten. Zo kan je bepalen dat er medewerkers zijn die de planning mogen aanpassen en medewerkers zijn die de planning alleen mogen inzien. Medewerkers zien alleen informatie die ze nodig hebben.

veilige verbindingen

Het mobiele werken is van deze tijd. Je collega’s ontvangen hun e-mail op verschillende apparaten. Met hun laptop kunnen ze overal werken. Een versleutelde verbinding is hierdoor onmisbaar. Bij professionele tools is dit de standaard. Zonder een versleutelde verbinding is het namelijk vrij eenvoudig om de communicatie te onderscheppen en al helemaal wanneer een collega gebruik maakt van een wifi-hotspot van bijvoorbeeld de McDonalds langs de snelweg.

sterke wachtwoorden afdwingen

Aan het eind van elk jaar wordt er door verschillende websites lijsten met de meest gebruikte wachtwoorden gepubliceerd. Elk jaar staan hier ‘welkom1234’, ‘wachtwoord’, ‘qwerty’ en ‘123456789’ weer bij. Het is natuurlijk ook een kluif om alle wachtwoorden voor alle websites te onthouden. Wachtwoorden zijn hierdoor vaak eenvoudig en worden hergebruikt. Gelukkig zijn er in degelijke softwarepakketten mogelijkheden om moeilijke wachtwoorden af te dwingen en hergebruik te voorkomen. Vaak is er ook een optie om bijvoorbeeld maandelijks te verplichten een nieuw wachtwoord in te stellen.

Om je bedrijfsinformatie veilig te houden raden we altijd aan om deze opties te gebruiken. Om je collega’s te helpen al die wachtwoorden te onthouden is een wachtwoordmanager op je computer, zoals ‘Apple Sleutelhanger’ of ‘Dashlane’, een aanrader.


Tip 2: Pseudonimiseer vertrouwelijke gegevens

Pseudonimiseren is een handeling waarmee gegevens, bijvoorbeeld een naam, wordt vervangen door een ander. Een pseudoniem is met de juiste informatie altijd weer terug te vertalen naar het origineel. Een grote bierbrouwer staat bijvoorbeeld niet onder de eigen naam in de project planning, maar als Warp Limited. Namen van projecten krijgen een eigen pseudoniem.

Als je niet kan voorkomen dat informatie de wereld in gaat, voorkom dan dat ze iets met de informatie kunnen. Pseudonimiseren is dan een goede optie. Het is een extra privacylaag. Als stukken naar buiten komen, dan is het voor een buitenstaander onduidelijk waar de stukken precies over gaan en wie er allemaal betrokken bij zijn.

Hetzelfde kan je doen met de persoonsgegevens van medewerkers. Werknemers worden in de communicatie met afkortingen genoemd en niet met de volledige naam. Paul Johnson heeft bijvoorbeeld geen paul.johnson@uwbedrijf.nl als e-mailadres, maar alleen pj@uwbedrijf.nl. Je kan hier nog verder in gaan door niet de beginletters van namen te gebruiken, maar alleen cijfers.

Anonimiseren gaat een stap verder dan pseudonimiseren. Waar een pseudoniem met de juiste informatie terug te vertalen is, lukt dat na anonimiseren niet meer. Als ex-medewerker Paul na vertrek bij je bedrijf vergeten wilt worden, is anonimiseren, na de wettelijke bewaarplicht, vanwege de AVG zelfs verplicht. De aanwezig informatie in je systemen mag op geen manier naar Paul te herleiden zijn.


Tip 3: Hou controle over de toegang tot je systemen

Om zeker te zijn dat informatie alleen door de juiste collega’s bekeken of bewerkt kan worden, dien je een autorisatiematrix te maken. Zo bepaal je per persoon of functie wat voor informatie ze mogen zien en mogen bewerken.

Softwarepakketten werken veelal met gebruikersprofielen. Hiermee kan je bepalen welke onderdelen van de software een collega mag gebruiken. Een planner krijgt toegang tot het planbord. Een projectmanager krijgt toegang tot een balkenplanning (Gantt Chart) van zijn project. Een monteur in de buitendienst kan alleen zijn planning inzien en de projectvoortgang doorgeven aan zijn projectmanager. Op die manier zorg je ervoor dat medewerkers alleen dingen kunnen doen en zien die ze nodig hebben. Zo voorkom je dat medewerkers verdrinken in overbodige informatie. Daarmee maak je hun werk ook eenvoudiger en verklein je het risico dat vertrouwelijke gegevens op straat komen te liggen.

Een ander belangrijk punt is dat je zicht houdt op wie toegang heeft tot je systemen. Medewerkers komen en gaan. Als een ex-medewerker na een jaar na vertrek bij de concurrent werkt, is het niet handig dat hij of zij nog bij jou in de systemen kan. Het is belangrijk dat je dit controleert.


Conclusie

Het veilig houden van je persoons- en bedrijfsgegevens is een taak waar je organisatie continu de aandacht bij moet hebben. Een planning bevat vaak gevoelige informatie. Bij bedrijven zijn steeds meer gegevens digitaal opgeslagen. Voor partijen met kwade bedoelingen is er steeds meer te halen. Bedrijven worden hierdoor steeds vaker doelwit. Nieuwe privacywetgeving stelt ook dat je de boel op orde moet hebben.

Wanneer je op zoek gaat naar nieuwe planning software, zijn niet alleen de praktische functies belangrijk. De veiligheidsmaatregelen in de software zijn net zo belangrijk. Tot slot is de gebruiker een factor die niet vergeten mag worden. Hoe hij of zij met de software en de gegevens omgaat, bepaalt mede hoe effectief de veiligheidsmaatregelen zullen zijn. Beleid hierop en instructie aan medewerkers zijn onmisbaar.

Vragen of opmerkingen naar aanleiding van dit artikel? Neem contact op met Timewax.


Founder
Mark de Jong
Mark is directeur Sales & Marketing bij Timewax. Hij heeft een achtergrond als project- en resourcemanager bij o.a. PricewaterhouseCoopers Management Consultants met expertise op het gebied van Professional Service Automation (PSA).