alle artikelen

Veilig communiceren? Zolang het maar lijkt op Outlook!

Alle technische maatregelen zijn genomen, een ‘veiligheidsfunctionaris’ is aangesteld en tóch komen leerlinggegevens op straat te liggen? Dit is eigenlijk helemaal niet zo vreemd. Medewerkers blijken het belangrijkste lek. Zij veroorzaken bijna 95 procent van alle datalekken, vaak als gevolg van een verkeerd gestuurde e-mail. Het bedrijf ZIVVER wil dit tegengaan met een uitgekiende oplossing die vertrouwd overkomt en tegelijkertijd meer bescherming biedt.

De ‘nieuwe privacywet’, zoals de Algemene Verordening Gegevensbescherming in de volksmond heet, stelt ook het primair onderwijs voor uitdagingen. Veel maatregelen zijn inmiddels genomen, maar om één probleem kunnen zij nauwelijks heen: namelijk dat de meeste datalekken ontstaan door gedrag van medewerkers. Het bedrijf ZIVVER wil hier een helpende hand bieden, met een oplossing die veilig mailen simpel maakt en fouten voorkomt.

De belangstelling voor de oplossing neemt snel toe, beweert Rick Goud, directeur van ZIVVER. Inmiddels zijn volgens hem in Nederland al zo’n 1700 organisaties de tool voor veilig e-mailverkeer gaan gebruiken, waaronder scholen, zakelijke dienstverleners, zorginstellingen en gemeenten. “In elke sector werkt men wel met gevoelige informatie, vooral persoonsgegevens, waar men voorzichtig mee moet omgaan. En geen enkele organisatie wil in het nieuws komen door een datalek.”

Foutje, bedankt!

Scholen waar dit is gebeurd, weten wat de gevolgen kunnen zijn. “Je krijgt dan ook gewoon minder aanmeldingen van nieuwe leerlingen voor het volgende schooljaar, omdat je hebt laten zien dat je niet goed met persoonsgegevens omgaat.” Dit voorkomen begint niet alleen met technische maatregelen zoals het versleutelen van data. Het grootste risico ligt ergens anders, namelijk bij medewerkers.

Vorig jaar werden in Nederland bijna 21.000 datalekken gemeld. 63 procent daarvan ontstond nadat een medewerker per ongeluk gegevens naar een verkeerde ontvanger verstuurde. Per ongeluk een verkeerde bijlage toevoegen of een verkeerd e-mailadres invoeren overkomt iedereen wel eens, maar het is wel een potentieel datalek. De conclusie is dat goede informatiebeveiliging mensenwerk is. Daarom is er meer nodig dan een technische maatregel zoals versleuteling.

Vertrouwdheid maakt veilig

Dit is het idee waarmee ZIVVER in 2015 werd opgericht. Twee jaar later verscheen het voor het eerst op de markt met een universele oplossing voor e-mail en het verzenden van grote bestanden, zogenoemde filetransfers. De grote kracht van de oplossing is dat gebruikers niet hoeven te werken in een andere omgeving dan waarin zij gewend zijn. Het belangrijkste product van ZIVVER is op dit moment een plug-in voor Microsoft Outlook. Het gebruik van andere mailprogramma’s is ook mogelijk. Doordat gebruikers in een vertrouwde omgeving werken zijn zij veel minder snel geneigd om te gaan zoeken naar onveilige omwegen zoals WeTransfer voor het versturen van gegevens. De ZIVVER-oplossing is toegankelijk op elk apparaat, met een webapplicatie en een mobiele app. Wat het gebruiksgemak nog verder verhoogd is dat ontvangers geen eigen account nodig hebben voor toegang tot berichten die gestuurd zijn in een veilige omgeving. ZIVVER zorgt ervoor dat consumentenaccounts - bijvoorbeeld voor ouders van leerlingen - gratis beschikbaar zijn.

Het technische verhaal

Leuk, zo’n gebruiksvriendelijke oplossing. Maar hoe werkt het? Een goede bescherming gaat volgens Goud uit van drie fasen in de communicatie: vóór, tijdens en ná het verzenden van de gegevens. “Hierin zijn wij onderscheidend, want veel bestaande oplossingen voor veilige e-mailcommunicatie richten zich alleen op de veiligheid tijdens het verzenden.” ZIVVER doet dit anders, door al voor de verzending controles uit te voeren op de ontvanger, de inhoud en de mogelijke veiligheidsmaatregelen. De verzender kan de juiste maatregelen activeren of dit zelf automatisch laten doen. Tijdens het verzenden van de gegevens zijn deze veilig door een versleutelde verbinding en versleutelde opslag, met gecertificeerde datacenters binnen de EU (een belangrijke AVG-eis).

Ook voor het bekende “oeps, ik heb het verkeerde bestand gestuurd”-besef achteraf biedt ZIVVER uitkomst. De fout is eenvoudig te herstellen; op elk moment is een bericht terug te trekken waarna de ontvanger er geen toegang meer tot heeft. Verder zijn er nog een aantal beheermaatregelen genomen voor beveiliging na het verzenden, zoals het continu monitoren en vastleggen van acties van beheerders en medewerkers. Regelmatige rapportages zorgen ervoor dat degene die voor een school verantwoordelijk is voor het security-beleid op de hoogte blijft en kan ingrijpen bij onregelmatigheden.

Positief signaal naar ouders

Onlangs gaf ZIVVER een demonstratie tijdens een door APS IT-diensten georganiseerde bijeenkomst rondom het thema veiligheid. De drie S’en (Safe, Simpel en Symbiotisch) die de oplossing kenmerken werden hier voor geïnteresseerde scholen al snel duidelijk. ZIVVER ziet eruit als de standaard e-mailoplossing waarmee veel van deze organisaties toch al werken in het bekende Microsoft-landschap. Volgens Goud krijgt hij dan ook veel positieve reacties vanuit het onderwijs. Wel tekent hij aan dat het succes van het gebruik van de oplossing nog altijd staat of valt met de communicatie eromheen. Intern, maar ook met ouders van leerlingen. “Wanneer dit goed gebeurt, merken wij dat onze oplossing veel gebruikt wordt, ook door ouders. Zij willen ook niet dat de gegevens van hun kind op straat komen te liggen. De invoering van onze oplossing heeft daarmee ook direct een mooi bijeffect, namelijk dat je als school laat zien dat je gegevensbescherming serieus neemt.