Videobellen en online vergaderen

Zowel voor het werk als in de privésfeer is videobellen een manier om op afstand contact met elkaar te houden. Maar welk product kies je? Elke oplossing om mee te videobellen heeft namelijk voor- en nadelen op het gebied van gebruiksgemak, kwaliteit, kosten, security en privacy. Bij de keuze voor een product is het belangrijk om een risicoafweging te maken voor de specifieke situatie en alert te zijn op risico’s voor de privacy en beveiliging. Op deze pagina geeft het NCSC een aantal overwegingen mee.

Informatie delen

Gebruik de applicaties niet om vertrouwelijke informatie te bespreken of te delen. Er is op dit moment geen eenvoudige oplossing voorhanden die voldoet aan de hoogste beveiligingseisen voor het bespreken van gerubriceerde informatie. Maak daarnaast binnen uw organisatie afspraken over het toestaan van bijvoorbeeld het delen van documenten via de videoapplicatie.

Privacy

Lees het privacybeleid van de leverancier door. Wees u ervan bewust welke informatie de leverancier verzamelt en voor welke doeleinden deze worden gebruikt. Let extra goed op de voorwaarden bij leveranciers van buiten de EU.

Vermijd het invullen van niet-noodzakelijke persoonlijke data in het profiel van de applicatie, zoals naam werkgever, LinkedIn ID, etc. Bij veel applicaties zijn alleen het e-mailadres, een naam die wordt getoond en een wachtwoord echt nodig voor het gebruik.

Bij sommige applicaties kunt u opnames van meetings maken. Wilt u opnames maken van een sessie, bespreek dat dan altijd vooraf met de aanwezigen en vraag hun toestemming. Deel geen foto’s van een sessie op social media.

Van geen van de beschikbare applicaties heeft de toezichthouder getest of ze AVG-proof zijn. Voor meer informatie zie het nieuwsbericht op de website van de Autoriteit Persoonsgegevens.

Beveiligde communicatie

Bij het beoordelen van een product is het van belang te onderzoeken welke communicatie precies versleuteld is en tot welke informatie de beheerders van de leverancier toegang hebben. Bij end-to-end-encryptie zouden alleen de deelnemers van een vergadering toegang tot de inhoud moeten hebben. Dit moet gelden voor zowel beeld, geluid als chatmogelijkheden. Biedt een leverancier end-to-end-encryptie, bekijk dan welke mogelijkheden er zijn om via een ander kanaal de sleutel van de andere partij te controleren.

Controleer ook de instellingen. Niet altijd staat encryptie standaard ingeschakeld.

Ga ook na wat gebeurt met de encryptie wanneer een deelnemer aan een online vergadering inbelt per telefoon. Dit kan resulteren in de afschakeling van de versleutelde verbinding die staat ingesteld. Dit leidt ertoe dat de communicatie niet meer via een versleuteld kanaal plaatsvindt.

Beschikbaarheid en continuïteit

Ga voor elk kritiek proces na in hoeverre deze afhankelijk is van thuiswerkfaciliteiten en neem passende maatregelen om de risico’s voor continuïteit te beheersen. Zie hiervoor ook onze Factsheet: Uw thuiswerkfaciliteiten zijn nu onmisbaar.

Verschillende oplossingen naast elkaar gebruiken

Samenwerking tussen verschillende organisaties leidt tot situaties waarbij de ene organisatie een bepaalde applicatie verplicht stelt terwijl de andere organisatie een andere applicatie verplicht stelt. Onderling overleg en aanvullende afspraken zijn dan nodig. Overleg met de Chief Information Security Officer (CISO) of andere verantwoordelijke van uw organisatie over de mogelijkheden.

Gebruikersinformatie

Besteed als organisatie aandacht aan het informeren van eindgebruikers. Wijs ze onder andere op de volgende zaken:

  1. Het risico van vergaderverzoeken per e-mail: hier zouden phishing-e-mails tussen kunnen zitten. Ga alleen in op vergaderverzoeken die u kunt verifiëren.
  2. Het doorlopen van de instellingen in de applicatie. Niet alle privacy en security-instellingen staan standaard ingesteld. Soms moeten er handmatig opties worden aangevinkt/uitgevinkt.
  3. De risico’s van de werkplek. Let op wat in beeld is van de camera. Haal vertrouwelijke documenten en informatie op bijvoorbeeld whiteboards uit het zicht.
  4. De regels van de organisatie over het gebruik van privéapparatuur voor zakelijke gesprekken.
  5. De rol van de voorzitter van de vergadering. De voorzitter kan aan het begin van de vergadering de deelnemers wijzen op de te bespreken informatie en wat er van de deelnemers wordt verwacht op het gebied van vertrouwelijkheid. De voorzitter kan ook controle houden op de deelnemerslijst en de deelnemers identificeren.
  6. De mogelijkheid om een wachtwoord te genereren voor toegang tot de vergadering. Als de mogelijkheid er is, gebruik het dan altijd.
  7. Het beperken van de mogelijkheden om een scherm te delen tot de host van de vergadering of tot een persoon die door de host wordt aangewezen. Hiermee wordt voorkomen dat een deelnemer per ongeluk zijn scherm deelt. Let ook op dat niet de hele desktop wordt gedeeld, maar alleen de applicatie die van toepassing is. Een icoon of de naam van een bestand op de desktop kan meer informatie weggeven dan gewenst.
  8. Het beperken van de uitnodiging van vergaderingen tot de beoogde groep deelnemers en deze niet delen via social media.

Testen van applicaties

Voor het in gebruik nemen van een applicatie kunnen security testen worden uitgevoerd. In de Whitepaper Securitytesten geeft het NCSC aanbevelingen over het testen van producten en diensten.