Tips om veilig te werken

Het beveiligen van diverse (online) applicaties en devices (pc, laptop, telefoon) begint met een veilig en sterk goed wachtwoord. Deze zijn persoonsgebonden en mogen niet met anderen worden gedeeld. Bekijk hoe je een veilig wachtwoord kiest: 

Naar veilig wachtwoord instellen

Tips/aandachtspunten:

• Wachtwoordmanager 
  Gebruik voor elke online dienst een ander wachtwoord. Bewaar wachtwoorden op een veilige plaats waar anderen niet bij kunnen. Om je te helpen bij het onthouden van verschillende wachtwoorden raden we je aan een wachtwoordmanager (‘digitale kluis’) te gebruiken. Hierin sla je al je wachtwoorden en gebruikersnamen op. Je hoeft dan alleen het wachtwoord van je wachtwoordmanager te onthouden. 
• Radboud-account en wachtwoord 
  Het Radboud-account gebruik je voor werk- of studie gerelateerde werkzaamheden. Gebruik nooit het wachtwoord van je Radboud-account als wachtwoord voor andere accounts.  
• Meekijken 
  Let in openbare ruimtes op dat mensen niet mee kunnen lezen op je scherm, of bij het intypen van je wachtwoord.
• Controleer of je wachtwoord is gelekt 
  Houd in de gaten of je gebruikersnaam of wachtwoord ergens is gelekt. Je kunt dit controleren op de site Have I Been Pwned. Deze site staat bekend als een veilige site die aangeeft of je e-mailadres is gelekt. Zo ja, pas dan je wachtwoord voor die toepassing aan en voer een extra controle met je virusscan uit.
• Hoe lang duurt het om jouw wachtwoord te kraken? 
  Bekijk hoe lang het duurt om je wachtwoord te hacken. Doe de wachtwoordkraaktest.

Met multifactorauthenticatie (MFA), ook wel tweestapsverificatie (2FA) genoemd, voeg je een extra factor toe om in te kunnen loggen. Voor veel systemen van de Radboud Universiteit is MFA al ingesteld. 

Ook voor al je andere (werk- en privé-) accounts is het verstandig om te kiezen voor MFA. De kans dat je gehackt wordt, neemt daarmee drastisch af omdat je naast je gebruikersnaam en wachtwoord dan nog een tweede stap moet voltooien om te laten zien dat jij het echt bent (bv. middels een code die je ontvangt via een sms of in een zogenoemde Authenticator-app). MFA maakt het hackers moeilijk en helpt voorkomen dat je accounts gehackt worden.

Meer over MFA

Bestanden kun je op meerdere locaties veilig opslaan en delen. Afhankelijk van hoe vertrouwelijk de informatie is en met wie je de bestanden wilt delen biedt de Radboud Universiteit verschillende opties voor opslaglocaties. 

Bestanden veilig opslaan en delen

Onderzoeksdata opslaan en delen

Om bestanden gemakkelijk veilig op te slaan, te synchroniseren en te delen binnen de organisatie gebruik je OneDrive, Teams, werkgroepmappen of SURFdrive.

Tips/aandachtspunten

• Classificeren van informatie 
  Bepaal voor je bestanden of informatie opslaat of verspreidt met welke soort informatie je te maken hebt: openbaar, intern, vertrouwelijk of geheim. Lees meer over informatieclassificatie in het informatieclassificatiemodel.
• Niet mailen, maar delen 
  Voeg bestanden niet toe als bijlage bij verzending via e-mail, maar machtig personen om bestanden in te zien en deel vervolgens de link naar dit gedeelde bestand. Deel eenvoudig met collega's in Teams en OneDrive. Bekijk de Topdesk-instructie delen van bestand of map in Teams.
• Machtigingen tot bestanden en mappen beheren 
  Loop ingestelde machtigingen regelmatig na om te voorkomen dat je onbewust informatie toegankelijk maakt voor te veel collega’s of dat je zelf te veel ziet. 
• Bestanden versleutelen
  Om ervoor te zorgen dat niet iedereen toegang heeft tot een bestand kun je een bestand versleutelen. 
• Gebruik geen USB-stick 
  Hoe makkelijk het soms is, gebruik geen USB-stick om informatie op te slaan. Deze raak je makkelijk kwijt en is vaak niet versleuteld.

Word je gevraagd je identiteitsbewijs toe te sturen? Voorkom misbruik met de KopieID-app van de Rijksoverheid.
Meer over de KopieID-app 

In de dagelijkse praktijk loopt e-mail vaak over onbeveiligde verbindingen. Dat maakt gewone (onbeveiligde, niet versleutelde) e-mail geen goed medium voor de uitwisseling van vertrouwelijke gegevens. Het risico bestaat dat de communicatie onderweg onderschept wordt door onbevoegden. 

Ook het gebruik van online gratis tools voor het verzenden van grote bestanden zoals WeTransfer  vormt een risico. Je hebt geen controle meer over de informatie en bij het versturen van bestanden naar de verkeerde persoon is er geen correctie of preventieve maatregel meer mogelijk om onbevoegde inzage te voorkomen. 

Veilig bestanden versturen

Met SURFfilesender kun je veilig en versleuteld (grote) bestanden versturen. Je kunt hierbij denken aan e-mailverkeer over personeelscasussen met externe partijen, e-mailverkeer met stagebedrijven, andere universiteiten, documenten met handtekeningen, opleidingsdossiers, etc.

Meer informatie over SURFfilesender

1. Gebruik persoonsgegevens alleen waarvoor ze zijn verzameld. 
   Persoonsgegevens mag je alleen verwerken als daar een goede wettelijke argumentatie aan ten grondslag ligt, de zogenaamde wettelijke grondslag. Bekijk de zes grondslagen van de AVG.
2. Sla niet meer gegevens op dan nodig.
   Je mag alleen die persoonsgegevens verzamelen en gebruiken die je voor je doel nodig hebt. Bewaar dus geen extra informatie omdat dat ‘handig’ is. De persoon in kwestie heeft het recht zijn of haar gegevens in te zien.
3. Sla persoonsgegevens niet langer op dan nodig.
   Het is verleidelijk om persoonsgegevens te bewaren voor ‘later’. Dat mag echter niet meer. Bepaal de wettelijke bewaartermijn en houd je daar aan.
4. Sla persoonsgegevens veilig op.
   Zorg ervoor dat er geen onbevoegden bij de persoonsgegevens kunnen die je hebt opgeslagen. Gebruik geen usb-sticks tenzij ze versleuteld zijn, vermijd gratis clouddiensten als Dropbox voor het opslaan van privacygevoelige informatie, vergrendel je werkplek als je even weg bent en ga zorgvuldig om met het wachtwoord dat toegang geeft tot deze informatie. Als je informatie wilt delen, bedenk dan dat ook daarvoor een goede reden moet zijn (grondslag) en dat je alleen deelt met personen die uit hoofde van hun functie inzage moeten hebben in die persoonsgegevens. Zie ook bestanden veilig delen en opslaan.

Lees meer over privacy en persoonsgegevens gebruiken

De AVG schrijft voor dat voor persoonsgegevens die worden verwerkt, passende technische en organisatorische maatregelen worden genomen. Dit betekent dat elke medewerker rekening moet houden met het tijdig pseudonimiseren en anonimiseren van persoonsgegevens. Zie hiervoor de Radboud-richtlijnen:

Data anonimiseren

Werkplek

Het principe van ‘clean desk en clear screen’ is een maatregel die voorkomt dat onbevoegden eenvoudig toegang krijgen tot vertrouwelijke informatie op jouw werkplek wanneer je er even niet bent. 

Clean desk betekent dus simpel gezegd dat je vertrouwelijke informatie opbergt gedurende je afwezigheid. Dit houdt in dat je vertrouwelijke fysieke informatie opbergt in kasten die op slot kunnen. 
Clear screen betekent dat je altijd je scherm vergrendelt zodra je je werkplek verlaat, óók als dit voor een korte periode is.

Je kunt je Windows computerscherm eenvoudig vergrendelen door gebruik te maken van de toetsencombinatie Windows-toets + L. 
Om je 'Apple-scherm' te vergrendelen gebruik je: CTRL + CMD + Q.

Vergaderruimten

Vergaderruimten zijn vaak uitgerust met een flip-over of whiteboard. Veeg deze na overleg altijd schoon om het lekken van gevoelige of vertrouwelijke informatie te voorkomen.

Zodra je gaat printen creëer je mogelijk fysieke vertrouwelijke informatie. Het is dus belangrijk dat je rekening houdt met een aantal randvoorwaarden die betrekking hebben op veilig printen:

• Blijf tijdens het printen bij de printer staan, zodat de documenten niet in handen van anderen kunnen komen; 
• Bewaar geprinte documenten met gevoelige informatie in een afgeschermde kast, bij voorkeur voorzien van een slot. Bewaar fysieke documenten gescheiden van je privé-administratie;
• Laat geprinte documenten niet onbeheerd achter op je (thuis)werkplek;
• Vernietig fysieke documenten met vertrouwelijke informatie op een veilige manier, zoals met een shredder of doe ze in de afgesloten papiercontainer die naast de printers staat. Heb je geen shredder of toegang tot een afgesloten papiercontainer op kantoor? Vernietig de vertrouwelijke documenten dan dusdanig zodat de informatie niet meer leesbaar en tot personen te herleiden is. 

Werk je weleens vanuit huis, de trein of op een externe locatie? Zorg ook dan dat je veilig en verantwoord werkt. Er is geen onderscheid tussen thuis-, onderweg of op kantoor werken. Overal gelden dezelfde regels m.b.t. het veilig werken.

Algemene tips om veilig op afstand te werken

• Vermijd inloggen op computers die niet van jou of de Radboud Universiteit zijn.
• Vermijd gratis en/of openbare wifi-mogelijkheden (bv. in de trein, in hotels, op vliegvelden en in horecagelegenheden), omdat deze veelal onbeveiligd zijn. Op een openbaar netwerk kunnen hackers eenvoudig bekijken wat je op internet doet en daarmee persoonlijke gegevens stelen, je e-mail of sociale media hacken of geld van je bankrekening halen. 
• Maak gebruik van VPN om je internetverkeer te anonimiseren, te beveiligen, te versleutelen en hiermee je online identiteit te beschermen. Bekijk hoe je een veilige VPN-verbinding opzet.
• Vergrendel je scherm als je je werkplek (even) verlaat en laat geen vertrouwelijke en/of privacygevoelige informatie zichtbaar liggen. 
• Wees je bewust van je omgeving als je vertrouwelijke of geheime informatie deelt of bespreek met anderen. Bijvoorbeeld informatie die ter sprake komt in een overleg of telefoongesprek dat je voert in de trein of op een externe locatie.
• Controleer veilige verbindingen in de browser (check de link van de site, check het veiligheid slotje in de adresbalk, klik op het slotje, check het keurmerk)
   

Thuiswerkplek

• Berg ook thuis fysieke documenten veilig op. 
• Wijzig het standaard wachtwoord van je modem en wifi. De modem of router is het kastje dat je bij het internetabonnement krijgt. Bij het eerste gebruik kun je inloggen met een meegeleverd wachtwoord. Dat standaardwachtwoord is voor veel routers hetzelfde. Dat vormt een veiligheidsrisico, want iedereen kan met dat algemene wachtwoord inloggen. Het is dus verstandig om het standaardwachtwoord van de router te veranderen. Dit geldt ook voor het wifi-wachtwoord. Stel dus zelfgekozen wachtwoorden in.
• Controleer wekelijks op software- en beveiligingsupdates en houd je werkplek up-to-date. Dit geldt ook voor Radboud-apparatuur als je veel buiten de campus werkt.

Vanwege de Algemene Verordening Gegevensbescherming (AVG) komt het erg nauw hoe persoonsgegevens verwerkt mogen worden bij de inzet van ICT-middelen in onderwijs, onderzoek en ondersteuning. Privacywetgeving en informatiebeveiliging schrijven voor dat elke organisatie, vooraf aan het gebruik van software en digitaal materiaal, bekijkt wat de invloed hiervan is op privacy en informatiebeveiliging. Dit kan namelijk specifieke maatregelen tot gevolg hebben. 
Voor ondersteuning hierbij kun je terecht bij de contactpersonen informatiebeveiliging of contactpersonen privacy.

Goedgekeurde software

Maak daarom gebruik van goedgekeurde software. De Radboud Universiteit biedt ondersteuning voor software met een campuslicentie. Ook zijn er afspraken gemaakt met de leveranciers over de wijze waarop zij persoonlijke data verwerken en welke veiligheidsmaatregelen zij daarvoor hebben getroffen. Deze afspraken zijn vastgelegd in een verwerkersovereenkomst.

Goedgekeurde software kun je zelf installeren via het Software center. Als dit niet lukt of als je aanvullende software nodig hebt voor je werk kun je dit aanvragen via de ICT Helpdesk of via de informatiemanager van jouw divisie of faculteit.

Naar Radboud-software

Gratis programma’s die door externe partijen worden aangeboden verzamelen vaak allerlei persoonsgegevens. Daarom raden we het gebruik hiervan sterk af.  

Denk bijvoorbeeld aan programma's als Google Translate, WeTransfer of Trello. Bij het gebruik van dit soort tools weet je niet waar de informatie opgeslagen wordt en door wie deze kan worden ingezien. Je hebt geen controle meer over de informatie. Bovendien loop je bij gratis online tools het risico dat je onbedoeld je auteursrecht afstaat. 

Er zijn verschillende ICT-tools beschikbaar die docenten in het onderwijs kunnen inzetten, die veilig te gebruiken zijn en veelal zonder bijkomende kosten voor de faculteiten beschikbaar zijn.

Naar het overzicht van onderwijstools

Werk bij voorkeur met een door de Radboud Universiteit beheerde PC of laptop, op een medewerkersplek of studiewerkplek. Deze zijn namelijk voorzien van verschillende veiligheidsmaatregelen, zoals een firewall en anti-malware als versleuteling van je harde schijf. Gebruik je toch een eigen device neem dan zelf veiligheidsmaatregelen:

1. Versleutel je harde schijf waarop bedrijfsinformatie opgeslagen wordt. Daarmee voorkom je dat opslagmedia fysiek uitgelezen kan worden in het geval dat een apparaat gestolen wordt.
2. Installeer goede antivirussoftware. Via de Surfspot kun je gratis het internetbeveiligingspakket F-secure aanschaffen. Hiermee bescherm je jouw laptop, telefoon en tablet. 
3. Controleer wekelijks op softwareversies en beveiligingsupdates en update (automatisch) naar de laatste aanbevolen versie.
4. Maak buiten de campus gebruik van VPN om je internetverkeer te versleutelen en je online identiteit te beschermen. De Radboud Universiteit maakt gebruik van eduVPN.
5. Vervang je apparaat op tijd. Wees er alert op dat apparatuur nog wordt ondersteund door de leverancier en dat je de laatste versie van het besturingssysteem (Windows, macOS) kunt installeren. Als je apparatuur niet meer geüpdatet kan worden is het tijd om het te vervangen. 

Een veelgebruikte vorm van cybercriminaliteit is phishing per e-mail. Maar er wordt ook gevist met behulp van SMS, WhatsApp of simpelweg door te bellen. Phishingmails zijn bijna niet van echte e-mails te onderscheiden zijn en met behulp van AI worden pogingen alsmaar geavanceerder. Men kan bijvoorbeeld ook de stem van iemand vrij eenvoudig nabootsen en misbruiken. Waar kun je op je werk onder andere mee te maken krijgen?

• Phishing
• Spoofing en CEO fraude
• Quishing / QR fraude
• Nep websites

Phishing

Bij phishing maakt men gebruik van een e-mail/SMS of appje om je in de val te lokken. De kwaliteit van de berichten worden alsmaar beter en zijn haast niet van echt te onderscheiden. Door op een link of een bijlage in het bericht te klikken zetten criminelen ongemerkt een programma op je apparaat om vanuit daar toegang te krijgen tot je gegevens of verder een organisatie binnen te dringen. Hiervoor bouwen ze bijvoorbeeld een nep-website.

Meer over herkennen en melden van phishing

Spoofing en CEO fraude

Spoofing

Bij deze vorm van cybercrime wil men jou of de universiteit geld afhandig zien te maken en is er geen sprake van een bijlage of link met een virus. De cybercrimineel heeft meestal vooraf al informatie verzameld over de organisatie en medewerkers. Vervolgens doet de crimineel zich voor als een bekende (collega of partner) en vraagt de geadresseerde om informatie te delen of iets te betalen. Dit gebeurt onder andere via e-mail maar ook telefonisch.

CEO-fraude

Bij CEO-fraude is een vorm van spoofing waarbij de crimineel zich voordoet als je leidinggevende of de hoogste persoon van de organisatie (bijvoorbeeld een lid van het CvB). Een typisch voorbeeld van CEO-fraude is een verzoek aan een medewerker van de financiële administratie om, buiten de normale procedure om, een spoedbetalingen te doen of cadeaubonnen te kopen omdat de persoon dat zelf even niet kan.

Tips: 

• Gebruik bestaande procedures om betalingen te doen.
• Neem bij twijfel op de gebruikelijke manier contact op met de betreffende persoon om na te gaan of het verzoek wel echt van jouw bekende persoon afkomt. Reageer bijvoorbeeld nooit op privé-mailadressen of een telefoonnummer dat je niet kunt controleren.

Quishing / QR-code fraude

Niet alleen een link kan je naar een verkeerde site lokken maar men maakt tegenwoordig ook gebruik van QR-codes om je door te verwijzen naar dubieuze websites (nepwebwinkels) of apps die je gegevens willen bemachtigen. 

Het komt ook voor dat men over een legitieme QR-code een kwaadaardige QR-code plakt.

Tips/aandachtspunten:

• Wees voorzichtig met het scannen van QR-codes op publieke plaatsen.
• Gebruik een QR-code-scanner waarbij je vooraf kunt zien naar welke URL je gestuurd wordt. Herken je de website niet? Klik dan niet verder.
• Kom je op een website waar men gevoelige informatie vraagt zoals wachtwoorden of financiële data? Vul niks in tenzij je zeker weet dat je op een legitieme website zit.

Nepwebsites

Op een nepwebsite is men uit op gevoelige informatie of wil men dat je een aankoop doet, die nooit wordt geleverd. Meestal kom je op zo’n site via een phishing-mail of valse QR-code, maar je kunt er ook toevallig opkomen. 

Je herkent een nep-website aan:

• De domeinnaam bevat spelfouten of gaat naar een onbekend domein.
• Slordigheden, spellingsfouten, slechte kwaliteit afbeeldingen of vreemde layout.
• Vreemde betaalmethoden zoals cadeaubonnen of betaalmogelijkheden zoals Zelle of Venmo.
• Het aanbod is te mooi om waar te zijn.

Tips/aandachtspunten:

• Domein (leeftijd) 
  Een domein/site die lang bestaat is meestal legitiem. Criminelen gebruiken een domein heel kort. De datum van oprichting kun je opzoeken via Whois Lookup.
• Reviews 
  Controleer of je reviews kunt vinden op een onafhankelijke website of dat er klachten gerapporteerd zijn (zoek op: naam website + klacht).
• Keurmerken 
  Afbeeldingen van keurmerken en certificeringen kunnen nep zijn. Neem bij twijfel contact op met de organisatie van het keurmerk.
• Link controleren 
  Een betaalverzoek of link controleer je veilig met de linkchecker, van de Politiebond en Consumentenbond, op de website  ‘check je linkje’

In het algemeen geldt:

• Vertrouw op je onderbuikgevoel
  Voelt het bericht ongemakkelijk, voel je je onder druk gezet of twijfel je aan de juistheid van een bericht? Bij twijfel, niet klikken. 
• Wees altijd oplettend wanneer je ‘vreemde’ verzoeken ontvangt
  Ook als deze van een bekende lijkt te komen. Bedrijven vragen geen persoonlijke gegevens of accountdetails via e-mail of telefoon. Dit geldt ook voor de IT- en HR-afdeling van onze universiteit. En ook al vraagt je ‘leidinggevende’ om met spoed wat te betalen, blijf de procedures volgen. 
• Neem via een andere weg contact op
  Neem bij een ongewoon verzoek via een andere weg contact op met de betreffende persoon om na te gaan of het verzoek wel echt van jouw bekende persoon afkomt. Ontvang je een e-mail, bel diegene dan – ontvang je een appje/SMS, bel of mail diegene. En als je om (vertrouwelijke) informatie wordt gevraagd, bedenk dan altijd of je die informatie wel mag/kunt geven. In geval van twijfel: niet doen!
• Wees alert bij bezoek
  Loopt een onbekende persoon rond te snuffelen? Wees alert en ga na of het bezoek legitiem is.
   

Kenmerken van online oplichting:

• Tijdsdruk 
  Er is haast bij de betaling, het verzoek of aankoop.
• Emoties
  De online crimineel speelt in op je gevoel. De oplichter maakt je nieuwsgierig, angstig of bezorgt. Dit heet social engineering.
• Vertrouwen winnen
  De oplichter is altijd vriendelijk en wil je ‘helpen’.
• Noodgeval
  Als je niet snel reageert ben je je geld kwijt of het kan niet via het juiste proces want de persoon in kwestie is niet op het werk.
• Persoonlijk maken
  Het lijkt of de oplichter je kent omdat ze bijvoorbeeld je e-mailadres al kennen via een datalek of social media.

Datalek

Bij een datalek komen er (per ongeluk) persoonsgegevens vrij, of wordt data per ongeluk gewijzigd of vernietigd. Er is dus toegang tot persoonsgegevens verkregen zonder dat dit mag of dat dit de bedoeling is geweest. Ook als dat nog niet is gebeurd, maar de kans bestaat dat dat gaat gebeuren, is iets een datalek. 

Beveiligingsincident

Een beveiligingsincident vindt plaats wanneer de beschikbaarheid, vertrouwelijkheid of integriteit van informatie wordt verstoord. Bij een beveiligingsincident kun je denken aan besmettingen met virussen en/of malware, diefstal/verlies van je laptop, ongeautoriseerde toegang tot vertrouwelijke gegevens en phishing e-mails. 

Datalek of beveiligingsincident melden

Phishing kun je ook melden via 'bericht rapporteren' in Outlook, datalekken en beveiligingsincidenten via de ICT Helpdesk.