Beveiligingsoverwegingen digitaal vergaderen

Bij de keuze voor een vergadertool dient een risicoafweging te worden gemaakt omtrent de informatieveiligheid.

De aandachtspunten voor informatiebeveiliging en privacy bij videobellen zijn hetzelfde als die voor e-mail, telefonie en chatten opgaan. Het Nationaal cyber security center (NCSC) heeft een factsheet opgesteld met aandachtspunten die ook toepasbaar zijn op applicaties voor videobellen en digitaal samenwerken.

Let op dat er altijd een zekere mate van beveiligings- en privacyrisico is bij het gebruik van dergelijke applicaties. Het beveiligings- en privacyrisico moet u afwegen tegen het doel en de omstandigheden voor gebruik van de applicatie. Gebruik videobellen dan ook nooit voor het uitwisselen van vertrouwelijke informatie.

Overwegingen gebruik applicatie digitaal vergaderen

 

 

    Overwegingen beveiligingstechnische aard

    Controleer of de vergadertool tenminste over de volgende beveiligingskenmerken beschikt:

    • End-to-end encrypting
    • Hashing van wachtwoorden
    • AES 256 bit TLS encryptie bij voorkeur
    • SAML 2.0
    • Unieke vergader id’s om vergaderingen af te schermen
    • Compliant aan AVG/GDPR of EU privacyshield
    • Bij voorkeur: Datacenter in EU, verwerking in EU
    • Gecertificeerd: ISAE 3402 type 2, SOC 2 type 2, ISO 27001
    • Client over HTTPS
    • Lage latency
    • Indien gewenst: on-premise mogelijkheden met eventueel cloud back-up
    • Er wordt een unieke ID gegenereerd die maar voor 1 persoon te gebruiken
    • Controleer de bovenstaande beveiligingseisen.

     

    Overwegingen veilig gebruik en beheer

    • De keuze voor een app is afhankelijk van het doel van de vergadering en welke (persoons)gegevens er worden gedeeld in zo’n vergadering. Ook kunnen organisaties waar u mee gaat vergaderen andere eisen stellen aan de vergaderomgeving.
    • Kies een app die altijd bij alle deelnemers werkt.
    • Zorg ervoor dat de omgang met en inrichting van de tool zoveel mogelijk privacyvriendelijk gebeurt: zet (attention)trackingfuncties uit en neem het gesprek niet op.
    • Wijs iemand in de groep aan die in de gaten houdt of hetgeen besproken wordt ook besproken kan en mag worden (let in het bijzonder op persoonsgegevens).
    • Creëer een intern of besloten adresboek/contactlijst van de organisatie om te gebruiken in de app.
    • Maak medewerkers bewust van de omgeving wanneer u de tool gebruikt. Denk om zaken zoals wie kan meeluisteren, of er (gevoelige) persoonsgegevens in beeld zijn tijdens de videoconference en het afsluiten van de videoconference na afronding van het gesprek.
    • Stel een toegangsbeperkende maatregel (bijv. pincode) in voor het gebruik van de app of kies een app die een random nummer gebruikt voor een uniek gesprek.
    • Gebruik alleen apps waarbij end-to-end encryptie ingeschakeld is.
    • Wordt de app ook mobiel gebruikt, zorg dan bij voorkeur voor een MDM/MAM oplossing voor het beheer van de mobiele devices.
    • Wordt de toepassing ook gebruikt voor klantcontact, zorg dan voor een verificatieprocedure, zodat u kunt vaststellen dat u ook zeker weet dat de ander is wie hij zegt dat hij is.
    • Controleer of de aanbieder van de app voldoet aan de AVG/GDPR en of er privacyvriendelijke instellingen aanwezig zijn, zoals de keuze om persoonsgegevens alleen op te slaan in de EU of een optie om een adresboek van de organisatie niet te uploaden naar de server.
    • Als (een deel van) de opslag of andere verwerking van persoonsgegevens door de aanbieder buiten de EER plaatsvindt, controleer dan of er een adequaatsheidsbesluit is genomen door de Europese Commissie, of (bij Amerikaanse partijen) of er een Privacyshield certificaat is. Verifieer hier het certificaat

    Tip: Tijdens het thuiswerken kunnen huisgenoten delen van het gesprek meekrijgen. Ga daarom vertrouwelijk om met bedrijfsinformatie.