Niki op 09 January 2018

Een interview over de AVG met de Information Security Officer van Plek: Mark Verschuuren

Hoog tijd voor weer een kijkje achter de schermen bij Plek. Vandaag interviewen we, met het oog op de aankomende nieuwe privacywetgeving AVG, onze Information Security Officer Mark Verschuuren. Binnen deze rol is Mark ook verantwoordelijk voor de bescherming van persoonsgegevens die Plek verwerkt, en is hij dus ook onze Data Privacy Officer (DPO).

MARK2

Er wordt veel over de AVG geschreven. Dus wat het is en wat de implicaties zijn voor hoe organisaties met klantgegevens omgaan, dat weet je waarschijnlijk al. Maar hoe zit dat met interne communicatie? Waar moet een organisatie op letten op het gebied van hoe collega's samenwerken, met elkaar maar ook met externe partijen? Mark vertelt hoe we bij Plek zorgen dat ons communicatieplatform helemaal AVG-proof is, en adviseert hoe jij de interne communicatie in jouw organisatie ook klaarstoomt.

Even kennismaken. Wie is Mark?

“Ik ben van huis uit projectmanager. Eerst in de mobiele marketing en interactieve multimedia, daarna Plek's zusterbedrijf ILUMY digital innovation. Nu houd ik me bij Plek als Head of Operations vooral bezig met processen, van release cycles tot gestandaardiseerde implementaties. Heel belangrijk daarbij is natuurlijk het waarborgen van informatieveiligheid en privacy. Daarom ben ik ook Information Security Officer van Plek.”

Kun je uitleggen wat jouw rol als Information Security Officer inhoudt?

“Als Information Security Officer werk ik nauw samen met onze klanten. Vooral grotere klanten, zoals KPMG en het Ministerie van Binnenlandse Zaken, hebben uitgebreide veiligheids- en privacyeisen waaraan Plek moet voldoen. Voor klanten van alle groottes geldt uiteraard wet- en regelgeving, waaronder vanaf 25 mei de AVG.

Ik draag zorg voor een jaarlijkse Data Protection Impact Assessment (DPIA) en train onze eigen werknemers regelmatig in het omgaan met en beveiligen van data. Verder zorg ik dat de certificeringen van onszelf en onze hostingpartner altijd up-to-date zijn (momenteel ISO27001, NEN7510 en ISAE3402). Ik bewaak onze Information Security Policy, onze toegangsmatrix waarin staat wie toegang heeft tot wat, en onze incidentenlog (van sleutels kwijt tot downtime).

Plek heeft een documentatieplicht, en ik breng als DPO daarom jaarlijks de gegevensverwerkingen in de organisatie in kaart en zorg ervoor dat we verwerkersovereenkomsten afsluiten met leveranciers en afnemers. Informatie over inzage, verwijdering of overdracht van persoonsgegevens die Plek bijhoudt lees je ons privacybeleid.”

matthew-henry-87142wide

Hoe balanceert Plek gebruiksvriendelijkheid met veiligheid en gegevensbescherming?

“Bij iedere stap die we doen overwegen we vanuit verschillende perspectieven wat het beste is. Mensen van verschillende disciplines hebben natuurlijk verschillende expertises en aanbevelingen voor Plek. Als DPO wil ik dat Plek zowel 'privacy by design' als 'privacy by default' is. Dat houdt in dat we bij het ontwerpen van nieuwe functies zorgen voor minimale verzameling en optimale bescherming van gegevens, en privacy-instellingen voor elke gebruiker standaard op het hoogste niveau staan. Maar natuurlijk willen we Plek ook simpel houden, zonder poespas. Het doel van bijvoorbeeld een User Experience Designer is het neerzetten van een soepele ervaring voor de gebruiker. Een UX Designer wil dus niet overal knopjes, opties en andere privacy-gerelateerde zaken toevoegen die de ervaring moeilijker laten aanvoelen.

Soms hebben we stevige discussies, maar uiteindelijk is een combinatie van optimale veiligheid en gebruiksvriendelijkheid het best. Denk bijvoorbeeld aan twee-factor-authenticatie op Plek. Het is een extra actie die de gebruiker moet uitvoeren, maar door goed na te denken over hoe we dit zo natuurlijk mogelijk kunnen laten aanvoelen, voegen we extra beveiliging toe zonder in te leveren op de gebruikerservaring. Zo wordt 1 + 1 dus 3!”

Wat betekent de AVG voor interne communicatie, en voor een sociaal platform zoals Plek?

“Onder de AVG mag je persoonsgegevens van medewerkers niet zonder toestemming delen met mensen zonder dat daar een noodzaak voor is. Nu moet je natuurlijk om samen te kunnen werken elkaars naam weten, en in contact met elkaar kunnen komen via e-mail of telefoon. Maar bijvoorbeeld een simpel gegeven als een geboortedatum is voor samenwerking overbodig. Op Plek kiest elke klant zelf wat er wel of niet getoond wordt, maar onder de AVG moeten we ervoor zorgen dat een medewerker zelf in de hand heeft wat hij/zij deelt.

Vooral omdat veel van onze klanten ook met externe partijen samenwerken op Plek, denken wij voortdurend na over wat welke gebruiker op Plek ziet, welke privacy-instellingen nodig zijn, en hoe wij onze klanten kunnen helpen aan alle gestelde eisen te voldoen. Op Plek kun je duidelijk zien wanneer je met een externe gebruiker te maken hebt, en kunnen externe gebruikers alleen maar de informatie op Plek inzien waarvoor ze de juiste rechten hebben. We adviseren onze klanten ook over hoe zorgvuldig met gegevens om te gaan: welke gegevens mogen zij standaard delen met alle gebruikers op hun Plek, en voor welke gegevens moeten ze hun medewerkers zelf die keuze laten maken? Door hierover in gesprek te blijven met klanten, zorgen wij voor 'privacy by default'.

Verder betekent de AVG dat de noodzaak voor het gebruik van een platform als Plek, met goede beveiliging en veilige hosting in Nederland, steeds groter wordt. We merken namelijk dat medewerkers bij gebrek aan een goed organisatiebreed alternatief voor interne communicatie vaak WhatsApp gebruiken. Anderhalf jaar geleden schreef onze directeur Rik Mulder het al: WhatsApp moet je gewoon echt niet zakelijk gebruiken. Een van de redenen die hij noemde is de gebrekkige controle op wie in welke groepen zit en wat er gedeeld wordt. Als werknemers zelf WhatsAppgroepjes aanmaken kan daar eenvoudig per ongeluk een verkeerde persoon tussen belanden, zelfs van buiten de organisatie. Ook is niet duidelijk wie met zijn werk- of privételefoonnummer in de groep zit. Data belandt eenvoudig op plekken waar het niet hoort (op servers buiten Europa) en waar je er als organisatie geen grip op hebt. Natuurlijk gebruiken medewerkers vaak een persoonlijke computer of telefoon voor zakelijke doeleinden, maar onder de AVG moet je ook voor een goed BYOD-beleid ('bring your own device') zorgen.”

byod

Hoe zorg je dat werknemers gebruik kunnen maken van hun eigen telefoon of computer (BYOD) onder de AVG?

“Allereerst is het belangrijk dat je werknemers traint op het gebied van apparaat- en databeveiliging, ongeacht of ze werk- of privé-apparaten gebruiken. Een organisastiebreed bewustzijn van de risico's is een goede eerste stap in het voorkomen van incidenten.

Daarnaast raad ik een audit aan: welke geautoriseerde en niet-geautoriseerde apparaten hebben toegang tot persoonlijke gegevens? Als werkgever kun je computers en telefoons die eigendom zijn van de organisatie in ieder geval voorzien van een up-to-date besturingssysteem, virusscanner, firewall, en een verplichte VPN-verbinding om toegang te krijgen tot het bedrijfsnetwerk. Daarnaast kun je software installeren die werknemers verplicht regelmatig hun wachtwoord te wijzigen. Dit soort eisen kun je werknemers, zo lang ze redelijk zijn, ook opleggen voor privé-apparaten. Verder is het niet meer dan logisch dat de inhoud van zakelijke apparaten wordt gewist na verlies of diefstal. Bij BYOD-apparaten gaat er dan echter ook privédata verloren, dus het wissen op afstand zou dan eigenlijk alleen mogen met toestemming van de medewerker. Maak hier dus vooraf goede afspraken over zodat je de discussie niet pas voert als het kwaad al is geschied: je moet per direct klaar zijn voor wissen op afstand met een druk op de knop.

Wij werken ondertussen aan een manier om de Plek app van afstand te blokkeren voor gebruikers die hun apparaat kwijt zijn. Zelfs als het toestel dan niet gewist kan worden, kunnen we de data die wij verwerken beschermen. Daarnaast denken we aan het implementeren van inloggen met een extra beveiliging zoals banken dat ook doen, bijvoorbeeld met je vingerafdruk. Dit soort maatregelen zijn geen noodzaak onder de AVG maar wij zijn graag 'future-proof', en zetten hiermee graag de kers op de (superveilige) taart die Plek nu al is!”

Kun je samenvatten waar Plek momenteel mee bezig is om voorbereid te zijn op de AVG?

“Ons product en ons bedrijf zijn al helemaal voorbereid. Maar die kers op de taart, en de slagroom, zijn natuurlijk goede extraatjes! Daarom blijven wij constant werken aan de gebruiksvriendelijkheid en veiligheid van Plek. Privacy by design en privacy by default blijven hoog op de agenda. Zowel bij de verbeteringen die ik hiervoor noemde (de privacy-instellingen voor elke gebruiker standaard op het hoogste niveau zetten, het blokkeren van de Plek app op afstand bij verlies of diefstal, en het toevoegen van een extra beveiligingsmaatregel zoals toegang met je vingerafdruk) als bij alle andere mooie extraatjes die we in de toekomst op Plek zullen implementeren.”

samuel-zeller-360588wide

Wat is jouw toekomstvisie voor Plek?

“Wij maken organisaties toegankelijker voor samenwerking met de buitenwereld, door goede beveiliging. We hebben nu al de meest complete en veilige intranet-app van alle aanbieders in Nederland. We overwegen het vastleggen van alle security-logs in een blockchain, zodat we de integriteit daarvan kunnen garanderen voor onze opdrachtgevers.

Ook wil ik graag dat Plek ISO-gecertificeerd wordt. Plek wordt al veilig gehost: onze hostingpartner heeft de benodigde ISO-certificering. Maar als wij zelf ook ISO-gecertificeerd worden, kunnen we sneller en eenvoudiger aan klanten aantonen dat we voldoen aan de door hen gestelde beveiligingseisen en versimpelen we het implementatieproces. Zo kunnen we Plek dus ook sneller implementeren. Straks is Plek het veiligste en grootste communicatieplatform dat er is!”

Heb je vragen? Neem dan contact met Mark op via e-mail of bel ons op 020-3697577.

Lees ook ons verdiepende artikel over hoe de AVG organisaties verplicht om medewerkers een goede tool voor interne communicatie te bieden. Daarnaast lees je alles over de veiligheid van communicatieplatform Plek in het interview met onze technisch directeur en mede-oprichter David Clarisse, en ontdek je hoe wij Plek slim en simpel houden in het interview met UX designer Hasan Gozlugol.