Doorgaan naar de hoofdinhoud
+31 (0) 20 888 5115Gratis proefperiode
Secure remote desktop options including GDPR compliant solutions
VeiligheidOp afstand werken

GDPR- en CCPA-compliance voor personeel op afstand

8 minuten leestijd
Ga aan de slag met een gratis proefperiode
Gratis proefperiode
Abonneren
NieuwsbriefRSS feed
Deel dit

Naleving van gegevensbeschermingsvoorschriften, zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en de California Consumer Privacy Act (CCPA), vereist een ander beveiligingsstandpunt voor externe werknemers. Lees verder voor de vijf bewezen best practices van Splashtop voor compliance met een extern personeelsbestand. Lees verder voor Splashtop's vijf bewezen best practices voor compliance wanneer u personeel op afstand heeft.

Werken op afstand gaat niet meer weg. Volgens een recente schatting van Gartner, zal 51 procent van de kenniswerkers begin 2022 hun werk op afstand uitvoeren - en dat aantal ligt nu waarschijnlijk nog hoger gezien de recente omicrongolf over de hele wereld.

Compliance wordt bemoeilijkt wanneer op afstand wordt gewerkt. Overweeg de bevindingen van dit onlangs verschenen artikel in Security Magazine, waarin de resultaten worden besproken van de Apricorn 2021 Global IT Security Survey onder meer dan 400 IT-beveiligingsprofessionals in Noord-Amerika en Europa. Het onderzoek ging over beveiligingspraktijken en het beleid daaromtrent voor werken op afstand in de afgelopen 12 maanden. Verschillende resultaten vatten de risico's goed samen, zoals:

  • 60% van de respondenten zegt dat de door corona veroorzaakte omstandigheden van werken op afstand, hebben geleid tot problemen met de gegevensbeveiliging binnen hun organisatie

  • 38% verklaarde dat de datacontrole zeer moeilijk te beheren was

  • Ondanks zorgen over datacontrole, gaf bijna 20% toe dat hun apparaten van het werk zijn gebruikt door andere leden van hun gezin

Naleving van gegevensbeschermingsvoorschriften voor thuiswerkers is nog geen aandachtspunt voor IT-teams. Een artikel uit Healthcare IT News uit 2021 wees erop dat slechts 2 van de 10 IT-teams zeiden dat ze adequate tools en middelen hadden geleverd om werknemers die langdurig op afstand werken te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de privacywetten van consumentengegevens te schenden, met name de AVG en de CCPA.

De impact van het niet naleven

Wanneer wordt vastgesteld dat een organisatie mogelijk schade heeft berokkend aan consumenten door hun persoonlijk identificeerbare informatie (PII) niet goed te beschermen, kan dit leiden tot aanzienlijke boetes, verlies van klanten en grote merkschade. De meeste mensen herinneren zich ongetwijfeld spraakmakende zaken als de EU, die Amazon en H&M een boete van respectievelijk 746 miljoen euro en 35 miljoen euro oplegde wegens niet-naleving van de AVG. De EU heeft in slechts 3 jaar tijd maar liefst meer dan 800 boetes uitgedeeld in de Europese Economische Ruimte (EER) en het VK (dat de AVG-regels handhaaft, ook na de Brexit).

Ook kleinere organisaties krijgen boetes. Neem bijvoorbeeld de Zweedse zorgverlener Capio St. Göran. Het leed merkschade en kreeg een AVG-boete van €2,9 miljoen na een audit van een van haar ziekenhuizen. Uit de controle bleek dat het bedrijf geen passende risicobeoordelingen heeft toegepast en geen effectieve toegangscontrole heeft geïmplementeerd. Daardoor hadden te veel medewerkers toegang tot gevoelige persoonsgegevens.

Dezelfde soort handhaving geldt voor organisaties van elke omvang onder de CCPA van Californië. In een TechTarget artikel van september 2021 wordt erop gewezen dat de staat Californië onlangs boetes heeft uitgedeeld aan een autodealer, een supermarktketen, een online datingplatform en een adoptiebureau voor huisdieren - bepaald geen grote bedrijven.

Het komt erop neer dat als u teams op afstand beheert, u een aantal stappen moet nemen om uw beveiligingsbeleid en -praktijken aan te passen om in overeenstemming te blijven met de wetgeving inzake de bescherming van persoonsgegevens.

Gelukkig heeft Splashtop al duizenden organisaties in staat gesteld om op afstand te werken. Hier zijn de 5 bewezen best practices van Splashtop voor compliance wanneer u personeel op afstand heeft.

Wat data compliance betekent onder de AVG en CCPA

Zowel GDPR (AVG) als CCPA vereisen dat bedrijven persoonlijke informatie privé en veilig houden. Bedrijfsprocessen die omgaan met persoonsgegevens moeten worden ontworpen en gebouwd met waarborgen om gegevens te beschermen (bijvoorbeeld door gebruik te maken van pseudonimisering of volledige anonimisering waar nodig). Organisaties die gegevens beheren moeten informatiesystemen ontwerpen met het oog op privacy.

Eveneens vergelijkbaar met GDPR, definieert hoofdstuk 55 van de California Consumer Privacy Act van 2018 (CCPA) persoonlijke informatie als informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs geassocieerd kan worden met, of redelijkerwijs gekoppeld kan worden (direct of indirect) aan een bepaalde consument of huishouden zoals een echte naam, alias, postadres, unieke persoonlijke identificator, online identificator, IP adres, e-mailadres, accountnaam, sofi-nummer, rijbewijsnummer, kenteken, paspoortnummer, of andere soortgelijke identificatoren.

De voorschriften gelden voor de werknemers van elke organisatie die op elke locatie werken, op kantoor of op afstand. Belangrijk is dat het niet uitmaakt waar ter wereld de werknemers werken. De voorschriften gelden wanneer de door de voorschriften beschermde consumenten in de EU-zone, het Verenigd Koninkrijk en/of Californië wonen. (Merk op dat tal van andere landen, zoals Brazilië, Zuid-Afrika, Zuid-Korea, Japan en vele andere landen ook soortgelijke regelingen hebben ingesteld vanaf 2019-2021).

Best Practice #1: Update uw cybersecuritybeleid, zodat het aangepast is voor het huidige werken op afstand

Zoals uit de bovenstaande gegevens blijkt, zijn veel werknemers niet vertrouwd met gegevensbeveiliging en privacykwesties van betrokkenen en zien zij gewoon niet in hoe hun handelingen kunnen leiden tot een datalek waarbij de persoonsgegevens die uw organisatie moet beschermen, worden blootgelegd.

De beste manier om werknemers te informeren is het opstellen en delen van een cyberbeveiligingsbeleid dat werknemers instrueert over hoe ze de gegevens van uw bedrijf veilig kunnen houden. Dit IT-securitybeleid hoeft niet een heel ingewikkeld document te zijn. Het moet uitleggen waarom het in het leven is geroepen en (in niet-technische termen) de specifieke beveiligingsprotocollen bevatten die alle werknemers moeten volgen Het moet ook een mogelijkheid voor contact (e-mail of telefoonnummer) bieden voor werknemers die extra hulp nodig hebben om het te begrijpen.

Best Practice #2: Train medewerkers en zorg dat IT hen kan ondersteunen

Medewerkers zijn vaak de zwakste schakel in cybersecurity. Regelmatige security-training helpt medewerkers op de hoogte te blijven van hoe ze de organisatie kunnen beschermen tegen kwaadwillende aanvallen.

  • Account- en wachtwoordbeleid:

    Wijs alle gebruikers hun eigen logins toe en verleen toegang via sterke wachtwoorden en twestaps / multi-factor authenticatie.

  • Controle op gegevensbeveiliging:

    De controles op gegevensbeveiliging omvatten rolgebaseerde toegang op basis van het least-privilege principe, toegangscontrole, controle/inventarisatie van accounts en registratie. Dit betekent dat alle gebruikers een minimaal niveau van toegang tot de gegevens hebben.

  • Toegangscontrole:

    Toegangscontroles beheren de elektronische toegang tot gegevens en systemen en zijn gebaseerd op bevoegdheidsniveaus, need-to-know parameters en een duidelijke scheiding van taken voor mensen die toegang hebben tot het systeem.

  • Security Incident Respons:

    "Security Incident Respons" procedures stellen een organisatie in staat om gebeurtenissen met betrekking tot Splashtopdiensten en informatiemiddelen te onderzoeken, erop te reageren, te beperken en te melden.

Best Practice #3: Houd gegevens versleuteld tijdens doorgifte en in rust

Overweging 83 van de GDPR (AVG) vereist dat persoonsgegevens worden beschermd - zowel 'in transit' als 'at rest'. U moet ervan uitgaan dat gegevens altijd 'in transit' zijn als iemand er toegang toe heeft, bijvoorbeeld als ze van een webserver naar een apparaat van een gebruiker gaan. "Data at rest" verwijst naar gegevens in opslag, zoals gegevens op de harde schijf van een apparaat of een USB-stick.

De twee sleutels tot het handhaven van gegevensbescherming wanneer uw werknemers op afstand werken zijn encryptie en toegangscontrole.

  • Encryptie:

    Splashtop versleutelt alle gebruikersgegevens 'in transit' en 'at rest', en alle gebruikerssessies worden veilig opgezet met TLS. De inhoud waartoe binnen elke sessie toegang wordt verkregen is altijd versleuteld via 256-bit AES.

  • Toegangscontrole:

    Splashtop heeft toegangscontroles geïmplementeerd om de elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op bevoegdheidsniveaus, need-to-know niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem.

Splashtop vermijdt met opzet het overmatig verzamelen van gegevens - iets wat te veel bedrijven doen zonder een legitieme reden voor zakelijke dienstverlening. We voldoen gemakkelijker aan de regelgeving door GEEN gevoelige gegevens/informatie te verzamelen. We verzamelen, bewaren en verwerken alleen beperkte PII, zoals gebruikersnaam (e-mail), wachtwoord en sessielogs (voor klanten om te bekijken, problemen op te lossen, enz.), en Splashtop verkoopt geen klantinformatie vanwege GDPR- en CCPA-richtlijnen.

Best Practice #4: Behandel geografische gegevens binnen hun eigen stack

Als uw bedrijf gebruikers in een gereguleerde zone bedient, is het het veiligst om een data/technologie-stack te maken die specifiek is voor elke gereguleerde zone. Splashtop maakt gebruik van een in Duitsland gevestigde EU-stack. Dit zorgt ervoor dat gegevensoverdrachten met betrekking tot inwoners van de EU binnen de soevereiniteit van de EU blijven (een strikte regel van de GDPR).

Best Practice #5: Maak gebruik van veilige remote access

Mensen die op afstand werken, gebruiken meestal VPN's en Remote Desktop Protocol (RDP) om toegang te krijgen tot de apps en gegevens die ze nodig hebben om hun werk uit te voeren. Dit heeft ertoe geleid dat cybercriminelen zwakke wachtwoordbeveiliging en VPN-kwetsbaarheden hebben misbruikt om toegang te krijgen tot bedrijfsnetwerken en informatie en gegevens hebben gestolen.

De remote accessoplossing van Splashtop is niet afhankelijk van een VPN. Bovendien volgt het een Zero Trust benadering. Wanneer werknemers op afstand toegang krijgen tot hun kantoorcomputer of werkstation, komen ze binnen via een speciale Splashtop verbinding. Een verbinding die geen deel uitmaakt van het bedrijfsnetwerk. Dit betekent dat ze de gegevens (b.v. Word documenten) alleen op hun remote desktop kunnen bekijken en bewerken, en dat de gegevens nooit buiten het bedrijfsnetwerk reizen. IT-beveiligers hebben met Splashtop ook de keuze om zowel bestandsoverdracht als printfuncties in of uit te schakelen. Deze keuzes worden ten zeerste aanbevolen voor compliance, maar bestaan niet bij een RDP/VPN strategie.

Splashtop remote access biedt nog meer securityfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), eenmalige aanmelding (SSO) en meer. Deze moderne beveiligingsmaatregelen bestaan niet in de VPN-architectuur.

Voorkomen is gemakkelijker dan genezen

Zoals deze best practices laten zien, kunt u vijf voor de hand liggende stappen zetten om u zonder al te veel inspanning aan te passen aan de privacyregels. Nu werken op afstand niet meer weg is te denken, zijn de voordelen van het beschermen van consumentengegevens in een remote werkomgeving veel groter dan de negatieve gevolgen van het 'niet-naleven'.

Als u wilt weten hoe uw organisatie snel veilige en beveiligde remote access kan krijgen in overeenstemming met CCPA, AVG en andere privacyregelgeving voor consumenten, gaat u naar onze Compliance-pagina.

Splashtop compliance

Gerelateerde inhoud

Inzichten voor externe toegang

Cross-platform Remote Desktop: voordelen, gebruiksscenario's en meer

Meer informatie
Veiligheid

Best practices voor IT-beveiliging om uw bedrijf te beschermen

IT & Help Desk ondersteuning op afstand

Remote maintenance-software onder de knie krijgen in 2024: een uitgebreide gids

Inzichten voor externe toegang

Hoe beveiligde toegang op afstand instellen & Ondersteuning op afstand

Bekijk alle blogs
Ontvang het laatste Splashtop-nieuws
AICPA SOC icon
  • Compliance
  • Privacybeleid
  • Gebruiksvoorwaarden
Copyright ©2024 Splashtop Inc. Alle rechten voorbehouden. Alle getoonde prijzen zijn exclusief eventuele belastingen.