Een goede beveiliging van werknemersdata, op drie niveaus

2 minuten
284

Omdat mederwerkersdata veel opbrengt op de zwarte markt, zijn HR-systemen, HRM’ers en recruiters steeds vaker doelwit van hackers. Bovendien bevat een werknemersdatabase veel privacygevoelige data en kan een lek een flinke boete opleveren. Hoe zorg je dat kwaadwillenden geen kans krijgen?

Een rij gegevens uit een HR-systeem levert 50 dollar op – dus de informatie van één werknemer – als je het aanbiedt op de zwarte markt. Dat komt omdat personeelssystemen vol staan met informatie die herleidbaar is naar een persoon – personally indentifiable information (PII) genoemd. Deze data kunnen, losstaand of in combinatie met andere data, worden gebruikt om iemand te identificeren en zijn vaak ook niet veranderbaar – een burgerservicenummer krijg je voor het leven. Daarom vinden cybercriminelen PII zeer waardevol.

Boete

Komen de gegevens van jouw werknemers in handen van iemand die er kwaad mee wil, is dat niet alleen vervelend voor de medewerker; het kan de organisatie een flinke boete opleveren. Medio 2018 geldt de Europese algemene verordening gegevensbescherming (AVG) die voorschrijft dat organisaties die niet aan deze wet voldoen een boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet riskeren. Een organisatie moet dan kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Maatregelen op drie niveaus

Vaak nemen organisaties wel maatregelen om een goed slot op klantgegevens en financiële data te plaatsen, maar werknemersdata worden soms vergeten. Het beveiligen van werknemersdata vindt plaats op drie niveaus:

1. Beveiliging van de hardware. Personeelsinformatiesystemen draaien op een server. Staat die server in huis (on-premise), dan is de beveiliging ervan de verantwoordelijkheid van de interne IT-afdeling. Het wordt anders als een organisatie kiest voor een online HR-systeem (software-as-a-service, SaaS), iets dat steeds meer organisaties doen. Dan staan de servers vaak in een extern datacenter. De hoster – degene die het fysieke platform faciliteert – neemt dan maatregelen om de hardware en het datacenter te beschermen, waardoor fysieke inbraken worden afgevangen, de software is kan dan echter nog steeds kwetsbaar zijn voor cyberaanvallen. Afhankelijk van het contract kan de verantwoordelijkheid voor de bescherming van de software en de data bij de organisatie of de leverancier liggen. Controleer voordat je data in het HR-systeem invoert, hoe jouw leverancier dat heeft geregeld.

2. Beveiliging van de software. Er zijn leveranciers die ook het platform, de applicatie en de data beveiligen. Check welke stappen een leverancier neemt: monitort hij regelmatig, hoe is de beveiliging geregeld en – mocht het fout gaan – wordt data versleuteld opgeslagen? Maak afspraken en leg deze vast.

3. Toegang tot de data. Inloggen met een gebruikersnaam en wachtwoord is vandaag de dag vanzelfsprekend, en logischerwijs gebeurt dat ook om binnen te komen in een HR-informatiesysteem. Maar niet iedereen heeft alle informatie in de database nodig. Vaak is in te stellen wie welke gegevens mag zien. Net als wie via welk apparaat en vanaf welke locatie kan inloggen. Het is de vraag of een personeelsmedewerker thuis zeer privacygevoelige data moet kunnen openen. Een volgende stap is de verwerking van de gegevens, ook dat is in te regelen. Wie mag welke data bewerken, extern opslaan of versturen?

De werknemer als zwakste schakel

Maar alle beveiligingsmaatregelen ten spijt, het grootste gevaar schuilt in de werknemers, blijkt ook uit recent onderzoek ‘Internet Eigenwijs’ van BIT. Werknemers vinden zichzelf de zwakste schakel binnen de beveiliging van de werkcomputer en bedrijfsgevoelige data. Zij sturen contracten naar verkeerde ontvangers of plakken wachtwoorden met een post-it op het scherm. Daarom is misschien wel de belangrijkste stap in een hoog beveiligingsniveau de bewustwording van de medewerker!

Bekijk ook de toolkit

speciaal voor HRM professionals

20+ tools, downloads, podcasts, checklists en whitepapers!

Lees ook eens deze:

Begin met typen en druk op enter om te zoeken