Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

16 reacties

  1. Werkbestanden via privé mail heeft vaak een hele goede reden. Een voorbeeld hiervan is dat ik laatst bij een klant zat en we werkten aan een Microsoft Access database met macro’s erin. Omdat ik niet op het netwerk kon, en hun beveiligde USB-stick op mijn laptop niet werkte, moesten we het over de e-mail doen. Echter, uitgaande server bij de klant blokkeert bestanden met macro’s.

    Poging gedaan om het te zippen met een wachtwoord, of een andere bestandsextentie hielp niet. Dan ging de vertrouwelijke database dan maar over de privé gmail van de klant naar mijn adres toe. Compleet onverantwoord natuurlijk.

    1. Dan moet je werkgever een omgeving bieden waar u veilig een bestand beschikbaar kunt stellen voor gebruik buiten uw kantoor.

      Deze workaround gebruiken vind ik onverantwoordelijk gedrag. Realiteit, maar wel onverantwoordelijk.

  2. Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten.

    Ik ken organisaties waar medewerkers in vrij grote getale op eigen kosten een ADSL account aanvroegen op de fax-lijn die uitkwam in hun werkkamer. Modem achter het kastje en aan het einde van de dag andere netwerkkabel in de PC en alle processen-verbaal documenten waar ze in de avond / het weekend aan wilden werken naar hun Hotmail toe mailen.

    Oeps, verklapte ik bijna wat voor soort organisatie dat was. Dit was overigens een jaar of tien geleden maar nog steeds vind ik het een mooi voorbeeld van hoe medewerkers toch wel hun weg vinden.

  3. Iets vergelijkbaars: bij een vroegere werkgever hadden we een firewall die allerlei ongewenste informatie tegenhield, waaronder blote borsten. Redelijk te begrijpen, maar we moesten ook software ondersteunen voor mammografie. Je raad het al: de blokkade hield alle benodigde informatie die tijden een urgent probleem nodig was tegen. Sindsdien stond er op de blokkade-pagina een “break the glass” knop, waarbij je wel toegang kreeg, maar ook een mailtje naar je manager ging dat je de betreffende site toch had bezocht.

  4. Voorheen wel gewerkt op PC’s waarop de USB poorten waren afgesloten fysiek of met blokkade software en waar de firewall toegang tot Onedrive, Dropbox en dergelijke blokkeerde. Werk inmiddels veel via Citrix clients waar vanuit de usb poorten of ander externe aansluitingen helemaal niet meer bereikt kunnen worden.

    Voordeel is dat je vaak thuis ook met dergelijke citrix sessies kan werken alsof je op je werkplek zit en dus niks mee naar huis hoeft te nemen.

  5. USB poorten blokkeren (fysiek, of in ieder geval beleidsmatig) is sowieso al een goed idee. Net zoals geen rare linkjes openen of rare bijlages openen. Voor je het weet heb je namelijk ransomware of een ander virus ronddwalen in je organisatie. Dat zal een organisatie misschien nog wel belangrijker vinden dan te voldoen aan de AVG.

    Op ons kantoor hebben we nu overal mooie stekkerblokjes liggen met een aantal USB poorten. Als je een headset of telefoon op wilt laden dan plug je je kabel daar dus gewoon in. De overige (naast toetsenbord/muis) USB poorten van je PC heb je eigenlijk zelden nodig.

    Verder over privé mail; als je werkgever wil dat je thuis moet werken dan zou de werkgever dat moeten faciliteren. Dus werkbestanden naar je privé mail sturen zou niet nodig moeten zijn. Maar ja, “zou moeten” is nog geen werkelijkheid.

  6. Het op deze manier blokkeren van Gmail en fysieke USB poorten lijkt mij onzinnig. Juist vanwege flexwerken is het belangrijk dat er een goede manier wordt bedacht om veilig werken mogelijk te maken, onafhankelijk van plaats.

    Erg belangrijk is de bewustwording (ik zie vaak genoeg iemand naast me in de trein een laptop openklappen en waaruit de bedrijfsprocessen duidelijk worden), en daarnaast de fysieke beveiliging: encrypted disk en BIOS wachtwoord op laptop (en nee, dat hoeft echt niet gebruiksonvriendelijk te zijn: ik heb beide, zodat een dief niet zomaar bij mijn bestanden kan, maar ik heb wel gewoon root-rechten op mijn werklaptop), VPN verbindingen naar kantoor, beveiliging met one time passwords of 2-factor authentication, of met certificaten. Allemaal niet heel moeilijk meer en zo langzamerhand redelijk gebruiksvriendelijk.

    Kortom, zorgen dat de beveiliging op orde is door te zorgen voor een goed en veilig alternatief.

    1. Het is goed mogelijk dat ze met een remote desktop systeem werken zoals VMWare of iets als SharePoint. Op dit manier kun je overal toegang krijgen tot je bestanden, zonder deze te hoeven opsturen via mail of mee te nemen op een fysieke gegevensdrager.

  7. Grappig, die kunstmatige werknemers/werkgevers-tweedeling, alsof dat de enige partijen zijn die ooit op het kantoor komen. En alsof het werk een superveilige plek is waar nooit iets ontvreemd of beschadigd kan worden.

  8. Het staat toch in de kleine letters van Gmail dat Google toestemming heeft om allles te lezen? Als je dus werk-e-mails naar je privé Gmail acccount doorstuurt ben je alles per definitie met Google aan het delen. Niet echt handig…

    1. Daarom moet je ook email gebruiken en geen gmail. 🙂

      Iets serieuzer; Hoevaak doet men dat met goede bedoelingen?

      BV ik heb exel files die 40 sec op ‘not responding staan’ op de win10 laptop van werk, maar bloedsnel zijn op mijn eigen desktop (oude laptop vs moderne i6600k desktop, NVME, etc etc). Dan gaat mijn werk 10x zo snel. En wat meer desktop real estate (4K + 2K vs 1K op de laptop) help ook gigantisch). Dus doe ik mijn werkgever enmezelf een groot plezier door dingen op mijn prive desktop te down.

      (En voorsat iemand het vraagt: Die zelfde desktop die ik ook gebruik voor internet bankieren en ik zorg dat mijn anti virus en windows updates zijn up to date op zijn. Vreemde links worden niet gevold. Verdachte email open ik sind 1991 in eln en niet in een modernde email client. Maar mischien ben ik daar iets fanatieker in dan de gemiddelde Nederlander).

        1. Maar dat zij 99% van de markt in handen hebben wil nog niet zeggen dat je niks anders kunt gebruiken? Er zijn nog steeds voldoende veiliger alternatieven, zoals ProtonMail bijv. of SquirrelMail of zeg het maar. Windows heeft ook ruim 85% marktaandeel, maar ondanks dat gebruik ik gewoon Linux. Kan allemaal, niks staat je in de weg om een alternatief te gebruiken, of dat nu een OS is of e-mail of zeg het maar (tenzij je werkgever natuurlijk een bepaalde software vereist, maar privé heb je gewoon alle keus).

      1. Nou ja, een punt is wel dat zelfs als Google niet zou mogen inzien (en ik vermoed dat ze het eigenlijk nog steeds niet mogen, zelfs als ze het in hun voorwaarden hebben staan, maar dat terzijde), dan nog geloof ik dat Google wel eens schuift met data tussen servers, waarbij ze ook over de landsgrens gaan. Dat betekent dat buitenlandse inlichtingendiensten ze in kunnen zien. Niet dat ik daar nu zo bang voor ben, maar toch, je data is wel wat meer beschikbaar voor anderen, dan als je het allemaal op de computer van de zaak laat staan.

        Toch denk ik dat de cloud en USB veiliger is, gezien een misklik in je adressenlijst snel gemaakt is (blijkt uit hoevaak ik op mijn werk al mailtjes heb gehad die niet voor mij waren). Sowieso handiger voor uit de hand gelopen Excel bestanden (spreek uit ervaring)

  9. Een optie is het gebruik van een clouddienst, zoals Google Suite, de zakelijke variant i.c.m. 2FA (Google 2-step verification) met mobile device management op tablets en smartphones. Dan hoeven werknemers niets naar andere accounts te versturen om toch makkelijk off-site te kunnen (samen)werken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.