Ruben Tienhooven specialiseert zich als adviseur Cybersecurity en Privacy onder andere in videoconferentiesoftware. Waarom is het belangrijk de bedrijfsprocessen in kaart te brengen voor je aan de selectieprocedure voor vergadersoftware begint? Wat zegt ‘privacy by design’ over het businessmodel van een vergadersoftwareleverancier, en waarom wordt een privacyvriendelijk beleid vaak gekenmerkt door transparantie? Drie vragen aan Ruben.
Een organisatie moet zich allereerst afvragen hoe belangrijk de inzet van vergadersoftware is voor de bedrijfsvoering. Indien de vergadersoftware voor kritieke bedrijfsprocessen bedoeld is, dan zullen er strenge eisen aan de privacy en informatiebeveiliging moeten worden gesteld. Het digitaliseren van communicatieprocessen gaat namelijk gepaard met uiteenlopende risico’s. De afweging of een risico acceptabel is of niet hangt samen met de vraag hoe kritiek het bedrijfsproces is. Sommige risico’s wegen namelijk zwaarder voor, bijvoorbeeld, gevoelige cliëntgesprekken dan voor bedrijfsborrels. Om deze risico’s in beeld te krijgen, dient bij de selectie van vergadersoftware een gedegen risicoanalyse uitgevoerd te worden, waarbij op de aspecten van zowel privacy als informatiebeveiliging wordt gefocust. Enkele aandachtspunten zijn de hoeveelheid gegevens die worden verzameld, de informatiestromen en de technische beveiliging, maar ook de wijze waarop een leverancier van vergadersoftware zijn geld verdient.
Anders dan helaas vaak het geval is, hoort privacy niet slechts als een ‘feature’ gezien te worden. Veel vergadersoftwarediensten hebben een achterliggend ‘freemium’ businessmodel, waarbij betaling als het ware plaatsvindt door het verzamelen en doorverkopen van grote hoeveelheden persoonsgegevens van gebruikers. De betaalde versie van deze vergadersoftware komt dan vaak met enkele, doch minimale, waarborgen op het gebied van privacy of informatiebeveiliging. Anno 2020 dient de bescherming van dit digitale burgerrecht een fundamenteel onderdeel te zijn van vergadersoftware; zeker nu heel de wereld vanuit thuis werkt. Gesprekspartners voeren al hun dagelijkse werkzaamheden vanuit huis uit, waardoor de grens tussen privé en werk volledig zoek is. Maar dit houdt ook in dat de bijkomende privacy- en informatiebeveiligingsrisico’s zich naar de privésfeer verplaatsen. Het is aan organisaties om te garanderen dat er gecommuniceerd kan worden in een veilige digitale vergaderomgeving, niet alleen omdat de Algemene verordening gegevensbescherming (AVG) dit eist, maar omdat je als organisatie de morele plicht hebt om de privacy van gesprekspartners te beschermen.
Privacyvriendelijke vergadersoftware kenmerkt zich in eerste instantie door transparantie. Een organisatie die vergadersoftware heeft ontwikkeld met goede privacy- en informatiebeveiligingswaarborgen zal hier nooit geheimzinnig over doen. Het tegenovergestelde is vaak waar: des te lastiger het is om erachter te komen wat voor verwerkingsactiviteiten er plaatsvinden, des te slechter het met de privacy gesteld is. Organisaties doen er daarom goed aan om bij de selectie van vergadersoftware in ieder geval de bijbehorende privacyverklaring en de verwerkersovereenkomst grondig te beoordelen. Enkele onderdelen om op te letten zijn minimale gegevensverwerking, versleuteling van de communicatie en de doorgifte van persoonsgegevens naar derde partijen.
