Universiteit Leiden

nl en

Tools en tips voor veilig werken

Ben jij benieuwd welke bijdrage jij kunt leveren aan een veilige werksituatie? Bekijk dan eens de tools en tips voor veilig werken. Deze helpen je bij het bevorderen van veilig werken in specifieke situaties. 

Tools voor veilig werken

Veilig werken is een belangrijke manier om incidenten te voorkomen. Denk aan een veilige internet verbinding en op een veilige manier (gevoelige) informatie verzenden.

Wil je per e-mail (grote) bestanden veilig verzenden, maak dan gebruik van SURFfilesender. Met SURFfilesender is het mogelijk om veilig een bericht te delen met de ontvanger. Het is hiermee ook mogelijk dat jij met SURFfilesender de ontvanger uitnodigt om jou een veilig bericht te doen versturen.

Als je niet werkt op het eduroam-netwerk van de universiteit, zorg dan zelf voor een veilige verbinding. Geef de router thuis een sterk wachtwoord, of gebruik jouw eigen mobiele hotspot (databundel 4G/5G). Op openbare netwerken, zoals in een hotel of de trein, kan je niet veilig internetten, tenzij je verbinding maakt via VPN.

Installeer daarom een VPN. De UL biedt je deze aan.  Een VPN-verbinding versleutelt jouw verbinding met internet, zodat niemand mee kan kijken als je websites bezoekt of gegevens deelt. Het verbergt ook je IP-adres en locatie, zodat afluisteraars je niet kunnen opsporen.

Tips voor veilig werken

Wat zijn persoonsgegevens

Persoonsgegevens zijn alle gegevens die terug te leiden zijn tot een persoon. Het gaat bijvoorbeeld om naam, adres en woonplaats, maar ook om bankrekeningnummers, telefoonnummers en postcodes met huisnummers of minder voor de hand liggende informatie. Gegevens zoals IP-adressen, MAC-adressen en browserinstellingen zijn in bepaalde gevallen ook persoonsgegevens. Dat is het geval als je iemand kan identificeren op basis van deze gegevens. Gevoelige gegevens zoals iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Die zijn door de wetgever extra beschermd.

Omgaan met persoonsgegevens

Werken met persoonsgegevens is onderdeel van ons dagelijks werk. Hoe er met persoonsgegevens moet worden omgegaan om te voldoen aan de AVG, is voor de reguliere werkzaamheden binnen de Universiteit door je leidinggevende geborgd. In de gevallen waarin dit niet zo is, zijn er basisregels waar je rekening mee moet houden. De vragen hieronder kunnen je hierbij op weg helpen:

  • Heb je een duidelijk doel voor het verzamelen van persoonsgegevens?
  • Worden er alleen persoonsgegevens verzameld die voor dit doel noodzakelijk zijn?
  • Is er nagedacht over bewaartermijnen? Persoonsgegevens mag je niet eeuwig bewaren, maar kunnen gehouden zijn aan wettelijke bewaartermijnen. Te vroeg verwijderen kan net zo min als te laat.
  • Is er heldere informatie beschikbaar gemaakt over wat je met de persoonsgegevens gaat doen? Bijvoorbeeld in een privacyverklaring?
  • Zijn er contracten met afspraken over de uitwisseling van persoonsgegevens met een leverancier of een samenwerkende partij?
  • Ga je niet onbedoeld met de bijzondere persoonsgegevens, BSN nummers of gegevens van kinderen onder de 16 jaar aan de slag? 

Je hoeft niet de hele AVG uit je hoofd te kennen om toch alert te zijn als het om verplichtingen rond privacy gaat. Bij de onderwerpen uit de onderstaande lijst moet je zeker alert zijn op privacy vereisten en op tijd hulp inroepen. 

Onderwerp

Mogelijke verplichtingen

Contactgegevens

Incidenten waar persoonsgegevens bij betrokken zijn, zoals het klikken op een phishingmail of persoonsgegevens doorsturen naar de verkeerde ontvanger. Informeer of raadpleeg de functionaris voor gegevensbescherming en/of maak melding bij de Autoriteit persoonsgegevens. Helpdesk ISSC. De helpdesk neemt vervolgens contact op met de Privacy officers.
     
Aanschaf van software of techniek.

Data Protection Impact Assessment uitvoeren (DPIA), controle door Functionaris Gegevensbeschermer (FG) en verzorg communicatie met betrokkenen.
 

Privacy officers
Overdragen van persoonsgegevens aan een nieuwe partij. Contracten waarin privacy en security geborgd worden. Privacy officers
Versturen van persoonsgegevens buiten de EU. Contracten waarin privacy en security geborgd worden  Privacy officers
Uitvoeren van onderzoek. Invullen van een DMP en DPIA  Privacy officers

 

  1. Gebruik sterke wachtwoorden
    Lange, onvoorspelbare wachtwoorden zijn sterker. Op de pagina sterke wachtwoorden vind je tips voor sterke wachtwoorden die voor jezelf makkelijk te onthouden zijn. Goed om te weten: ULCN stuurt je wel berichten over de status van jouw account en wachtwoord, maar vraagt nooit om jouw wachtwoord!
  2. Wees alert op verdachte mails
    Iedere medewerker ontvangt wel eens een phishing-mail met een link of bijlage die gevaarlijk is. Op de pagina over phishing vind je tips om verdachte mails te herkennen en te melden.
  3. Installeer op alle apparaten de nieuwste veiligheidsupdates
    De eerste stap voor een goede beveiliging is het installeren van de nieuwste updates. Als er verouderde versies van programma’s op je computer staan, dan kunnen hackers of andere kwaadwillenden die gebruiken voor een digitale aanval. Zorg daarom dat je minstens elke maand je programma's bijwerkt.

Werklaptop

Heb je een werklaptop? Normaal worden de updates geplaatst als je verbinding maakt op de universiteit. De software op je werkplek (desktop of laptop) wordt automatisch up-to date gehouden zolang regelmatig in de gebouwen van de universiteit bent. Gebruik je de werkplek-laptop enkele weken of langer buiten de gebouwen van de universiteit, dan kan je zelf de software bijwerken.
Voor optimale veiligheid en de laatste updates raden we aan om dit eenmaal per maand te doen, bij voorkeur aan het einde van een werkdag (benodigde tijd is 5 - 20 min). 

  1. Bewaar en deel bestanden met OneDrive of SURFdrive
    Als je bestanden wilt bewaren en versturen, gebruik dan OneDrive of SURFdrife. Dat is veiliger dan USB-sticks of externe harde schijven. Verstuur e-mails voor werk via jouw universitaire account, en niet via andere diensten als gmail en hotmail. Op de pagina over het het delen van bestanden vind je meer informatie over SURFdrive en SURFfilesender.
  2. Vergrendel je computer als je bij je werkplek wegloopt
    Of je nu een lang overleg hebt of even koffie gaat halen, het is belangrijk dat je jouw computer vergrendelt. Daarnaast is het goed om je digitale mappen en je bureau opgeruimd te houden. Zo verklein je de kans dat iemand zomaar gegevens kan inkijken. Het vergrendelen van een Windowscomputer doe door de windowstoets+L te drukken. Op een macOS druk je control+command+Q.
  3. Gebruik een veilige internetverbinding
    Als je niet werkt op het eduroam-netwerk van de universiteit, zorg dan zelf voor een veilige verbinding. Geef de router thuis een sterk wachtwoord, of gebruik jouw eigen mobiele hotspot. Op openbare netwerken, zoals in een hotel of de trein, kan je niet veilig internetten, tenzij je verbinding maakt via VPN. Bekijk in de instructievideo hoe je eduVPN installeert. 
  4. Zorg voor een goed antivirusprogramma
    Dit helpt te voorkomen dat je schadelijke bestanden downloadt; houdt hackers buiten je netwerk en voorkomt dat je onveilige websites bezoekt. Zorg dus voor een werkend, bijgewerkt en goed antivirusprogramma.

ISSC werklaptop

De laptop van je werk heeft al een anti-virusprogramma. Als je linksonder bij de zoekoptie (het vergrootglas) virus intoetst kom je op “virus- en bedreigingsbeveiliging”. Daar zie je het geïnstalleerde antivirusprogramma. 

Antivirussoftware eigen computer

Werk je op je eigen computer? Surfspot heeft een groot aanbod aan antivirusprogramma’s die je tegen een gereduceerde prijs kunt aanschaffen. Log in op Surfspot met je ULCN-account.

  1. Meld verdachte zaken en incidenten
    (Mogelijke) incidenten, een datalek, phishing, verlies device, malware en dergelijke meld je bij de ISSC-Helpdesk (tel. 8888). Meld verlies van vertrouwelijke gegevens ook aan jouw leidinggevende. 

De informatievoorziening is zo ingericht dat je flexibel kan werken. Tegenwoordig werken we niet meer alleen vanaf een werkplek op kantoor. Onderweg werken kent zijn eigen risico’s. Met de tips inzake veilig digitaal werken kom je al ver. Maar hierbij een aantal do’s en don’ts. Ten aanzien van de do’s vind je de tips (waar nodig) verder uitgewerkt bij de tip inzake veilig digitaal werken.

Do’s:

  • Neem alleen de hoognodige apparaten mee.
  • Mobiele apparaten zijn altijd van de laatste (beveiligings)updates.
  • Zorg voor een antivirussoftware.
  • Gebruik een veilige internetverbinding (zoals een VPN-verbinding).
  • Zorg dat anderen niet meelezen op je scherm.
  • Zorg dat je apparaat altijd is beveiligd met een sterk wachtwoord. 
  • Laat je device nooit onbeheerd achter en vermijd fysieke toegang tot jouw apparaten. Leg het in de kluis van een hotelkamer of draag het bij je. Dit voorkomt diefstal en mogelijke plaatsing van malware op je apparaat.

Don’ts

  • Maak geen gebruik van openbare wifi.
  • Neem vertrouwelijke informatie niet mee op een onbeveiligde usb-stick of ander soort type losse gegevensdrager. Zet deze informatie veilig in de cloud.
  • Lever nooit zomaar een kopie van je paspoort of identiteitsbewijs in.
  • Laat geprinte documenten niet onbeheerd achter.
  • Wees voorzicht met openbare laadstations zoals in cafe’s, luchthavens en in openbaar vervoer. Daar kan kwaadaardige software op geïnstalleerd zijn. Gebruik eigen wandstopcontacten of een eigen externe draagbare batterij.

De beveiliging van informatie is een verantwoordelijkheid van ons allemaal. Als Security Office houden we maatschappelijke ontwikkelingen op dit vlak goed in de gaten en komen we met adviezen en voorschriften voor de universiteit die nodig zijn om veilig met informatie om te kunnen gaan.   

Lijst met verboden hard- en software
In dat licht is het soms nodig om de aanschaf van bepaalde producten of de installatie van software niet toe te staan. Je leest hier om welke producten het gaat. Deze lijst is niet alomvattend. Heb je twijfels of een product of leverancier wel veilig is? Vraag dan het Security Office om advies.

Let op: het is nooit toegestaan om niet-publieke informatie of persoonsgegevens te verwerken in (gratis) diensten die niet door de universiteit worden aangeboden. Deze diensten mag je natuurlijk privé wel naar eigen inzicht gebruiken op apparaten van de universiteit (binnen de perken van de Regeling ICT- en internetgebruik), zolang ze niet voorkomen op de verboden hard- en software lijst.

Exceptieprocedure
Is het voor je werk toch nodig om gebruik te maken van middelen die op deze lijst staan? Vraag dit aan via Uitzonderingen op het beleidDan denken we mee over hoe we de risico’s gepast kunnen behandelen.  

Is deze online tool veilig?

Wil je snel controleren of een app of webtool veilig is om te gebruiken? Gebruik dan de toolpicker.

Toolpicker
Deze website maakt gebruik van cookies.  Meer informatie.