nieuws

Wat HR moet weten over IT-beveiliging

Organisatie & Strategie

HRM-ers hebben vaak weinig verstand van de beveiliging van gegevens. Toch zijn ze verantwoordelijk voor privacygevoelige gegevens. 3 tips voor het signaleren van gevaar.

Wat HR moet weten over IT-beveiliging

HR-afdelingen zijn op de mensen in de organisatie gericht, terwijl de IT-afdeling op de computerbeveiliging zit. Maar wat als de IT-afdeling zich vooral richt op het beveiligen van het primaire proces? Dan loopt de privacygevoelige informatie over het personeel – hun privégegevens, functioneringsplannen en zelfs hun medische gegevens – gevaar.

Als deze gegevens niet veilig zijn, is dat zelfs in strijdt met de Wet bescherming persoonsgegevens. Thony Vos, manager Compliance Management van Raet: ‘Sinds de berichten over het beveiligingslek in Verzuimreductie hebben we vragen gekregen over de veiligheid. Gelukkig konden we onze klanten geruststellen dat Raet strengere veiligheidsvoorschriften voor haar software hanteert. Ik merk dat – gekeken naar bijvoorbeeld de zorg – mensen zich tot dusver erg druk maakten over de beveiliging van de patiëntendossiers, maar dat de HR-systemen nog niet de aandacht kregen die ze zouden moeten krijgen.' Hoewel je natuurlijk van de leverancier van de systemen mag verwachten dat ze de beveiliging in orde hebben, blijft de eigenaar van de gegevens daarvoor eindverantwoordelijk.

Hoe kunnen HR-professionals weten dat  ze zaakjes op orde hebben? Vos geeft drie tips.

* Hacken van het systeem
‘Om erachter te komen of een systeem te hacken is, ligt het natuurlijk voor de hand dit zelf te laten proberen. Het is echter niet aan te raden en vaak niet toegestaan om als HR-professional hiervoor iemand in te huren. U kunt wel vragen aan de leverancier van het systeem of deze zogenoemde penetratietests onderdeel van hun veiligheidscontrole uitmaken. Of u kunt deze laten uitvoeren door gecertificeerde organisaties als Fox-IT. Raet laat dat bij de eigen systemen bijvoorbeeld meerdere keren per jaar doen.'

* Let op signalen
‘Een wachtwoord dat enkel uit letters mag bestaan biedt naar de huidige maatstaven een belabberd beveiligingsniveau. Verantwoord is minstens 8 karakters met minimaal een hoofdletter en een cijfer erin. Wie bijvoorbeeld geen wachtwoord hoeft te in vullen of wie wegkomt met de meest voor de hand liggende wachtwoorden, moet eens navraag gaan doen. Al geldt natuurlijk niet zonder meer dat hoe meer wachtwoorden, hoe veiliger het systeem is. Er zijn betrouwbare technieken voor eenmalig inloggen. Dat hoeft niet gevaarlijk te zijn.'

* Certificaten
‘Er zijn een aantal documenten waaraan je kunt zien of de softwareleverancier goed met informatiebeveiliging omgaat. Het ISO 27001 certificaat is daarvan de meest uitgebreide. Het bekijkt het hele mechanisme van een organisatie – tot aan de manier waarop iemand het kantoor binnenkomt. Dat wordt ieder half jaar gecontroleerd. Er zijn niet veel organisaties die zich zo'n certificaat kunnen permitteren, je weet wel dat het goed zit als men het heeft.'

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels