Stel, u krijgt een anonieme melding dat een van uw medewerkers bezig is om uw bedrijfsgeheimen aan de concurrent te verkopen. Deze melding maakt u nogal zenuwachtig, want de potentiële schade is enorm. U wilt  dus direct een digitaal onderzoek laten uitvoeren en het e-mailverkeer van de betreffende medewerker monitoren. Maar dan loopt u tegen twee problemen aan, want uw organisatie is niet forensic ready en u heeft geen e-mail en internetprotocol.

Forensic readiness

Forensic readiness, u heeft er vast al eens van gehoord. Het is een van de stokpaardjes van Hoffmann. Als uw organisatie niet forensic ready is, betekent dit dat uw technische en fysieke infrastructuur niet goed is voorbereid op een eventueel digitaal forensisch onderzoek. Anders gezegd, er is dan onvoldoende onderzoeksmateriaal beschikbaar om na te gaan wie, wanneer op welke manier toegang heeft gehad tot belangrijke systemen en gegevens.

In de praktijk lopen wij hier bij veel organisaties tegenaan. Dan worden er bijvoorbeeld onvoldoende loggegevens bijgehouden, worden loggegevens niet lang genoeg bewaard of worden de verkeerde gegevens opgeslagen. Het gevolg? Een gedegen forensisch onderzoek is niet mogelijk of duurt veel langer.

Zorg dus dat uw organisatie forensic ready is. Daarmee kunt u fraude en diefstal niet voorkomen, maar bent u wel klaar voor een forensisch digitaal onderzoek. Dit is overigens niet alleen van belang bij vermoedens van fraude of diefstal. Ook als uw organisatie onverhoopt het slachtoffer wordt van een hack of cyberaanval is het van belang dat digitaal forensisch onderzoekers kunnen achterhalen wat er is gebeurd.

E-mail- en internetprotocol

Als uw organisatie forensic ready is, wil dit nog niet zeggen dat u het internet- en e-mailgedrag van uw medewerkers altijd mág (laten) onderzoeken of monitoren. Uw medewerkers hebben op grond van de AVG namelijk recht op privacy. En in (Europese) rechtspraak is bepaald dat u alleen inbreuk mag maken op dit recht als aan bepaalde voorwaarden is voldaan.

Een van die voorwaarden is dat medewerkers vooraf op de hoogte moeten zijn dat de organisatie een inbreuk kan maken op het recht op privacy indien daar een zwaarwegend belang voor is. Dit doet u met een duidelijk e-mail- en internetprotocol, waarin u omschrijft wanneer u het e-mail- en internetgebruik van uw medewerkers kunt controleren. Let op: dit protocol moet worden goedgekeurd door de eventuele OR.

En als u in een concreet geval tot controle of monitoring wilt overgaan is het daarnaast vereist dat u daarvoor een gerechtvaardigd belang heeft. Denk aan een vermoeden van een schending van gedragsregels, fraude of diefstal. Ook moet dergelijk onderzoek in verhouding staan tot het vergrijp en mogen er geen andere - minder ingrijpende - manieren zijn om uw doel te bereiken. Bovendien moet u de inbreuk op de privacy zo klein mogelijk maken.

Dit gaat overigens ook op als er binnen uw organisatie diefstallen of vernielingen plaatsvinden en u gebruik wilt maken van een (verborgen) camera. Dan heeft u een protocol cameratoezicht nodig, dat van tevoren kenbaar moet zijn gemaakt aan de medewerkers. Ook moet aan de voorwaarden vergelijkbaar met het hierboven genoemde e-mail- en internetprotocol zijn voldaan. Zet u een verborgen camera incidenteel in of is het cameratoezicht grootschalig, structureel of systematisch? Dan moet u op grond van de AVG bovendien een data protection impact assessment (DPIA) uitvoeren.

Meer informatie?

Heeft u vragen over dit onderwerp?
Neem dan gerust contact met ons op.

088-2986600

info@hoffmann.nl

We helpen u graag.

Cybersecurity

Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?

Vorige week maakte de MIVD bekend dat het geavanceerde Chinese spionagesoftware heeft aangetroffen op een computersysteem van de Nederlandse krijgsmacht. Het ging om malware waarmee de Chinezen gebruik maakten van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet. Volgens de MIVD en de AIVD past deze aanval binnen een bredere trend, waarin publiek benaderbare edge devices, zoals firewalls, VPN-servers en e-mailservers worden misbruikt om een organisatie binnen te dringen.

Cybersecurity

Informatiezuil gehackt, uw organisatie plat?

Stel, u heeft een elektronicawinkel. En daar heeft u een aantal laptops, tablets en mobiele telefoons opgesteld staan. Voor klanten, om te testen en uit te proberen. Of u heeft in uw winkel een digitale informatiezuil staan. Daarop kunnen uw klanten bijvoorbeeld opzoeken wat er in andere vestigingen nog op voorraad is. Hoe voorkomt u dan dat via deze apparatuur uw complete netwerk wordt gehackt?

Cybersecurity

Het is niet de vraag óf u het slachtoffer wordt van een cyberaanval, maar wanneer

Op 6 december 2022 werd de stad Antwerpen getroffen door een grote cyberaanval. Hackers drongen de IT-systemen binnen en legden ze plat. De hack heeft tot op de dag van vandaag gevolgen voor het personeel en de inwoners van de stad. Zo werken de systemen van het zwembad, de bibliotheek en de afdeling die vergunningen moet verlenen nog steeds niet naar behoren. Bovendien kost de hack de gemeente minstens 95 miljoen euro, zo werd onlangs bekend. Ook is inmiddels gebleken dat de gemeente meerdere malen gewaarschuwd was voor kwetsbaarheden.

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.