Hoewel de trend, drie jaar na corona, weer onmiskenbaar richting ‘vaker op kantoor en minder thuis werken’ gaat, duiken er ook regelmatig vragen op over ‘werken vanuit het buitenland’. In het bijzonder over de veiligheidsaspecten ervan, over de bescherming van de gegevens van de organisatie. Zeker nu de workation aan populariteit wint.
Wat is werken in het buitenland?
Onder ‘werken in het buitenland’ kun je verschillende situaties verstaan. Werknemers die uit hoofde van hun functie buiten Nederland gaan werken. Eén of meer dagen voor een conferentie, klantrelaties bezoeken, apparatuur installeren of service verlenen, en zo meer.
Maar steeds vaker gaat het om werknemers die dat helemaal niet hoeven, en normaliter op kantoor werken en deels vanuit thuis kunnen werken, maar die zelf in één of andere vorm en mate hun werk vanaf een locatie in het buitenland willen verrichten, onder het motto ‘workation’. Daarbij geïnspireerd door romantische verhalen over digital nomads – beelden van met je laptop in een klapstoel op het strand, in de koffietent met soortgenoten en je surfboard onder handbereik.
Dat daar vanuit werkgeversperspectief tal van contractuele (voor ZZP’ers) en beleidsmatige (voor werknemers en ZZP’ers) aspecten aan zitten, is duidelijk, maar op deze plek beperken wij ons tot de digitale veiligheidsaspecten: klant- en bedrijfsgegevens mogen immers niet in gevaar komen.
Geïnspireerd door romantische verhalen over digital nomads, vanuit een ver oord aan het werk (en tegelijkertijd op vakantie).
Hoe verder op afstand, hoe gevaarlijker het is?
Het is goed om te bedenken dat werken buiten de kantooromgeving in de basis niet meer betekent dan ‘inloggen op het bedrijfsnetwerk’ buiten de kantooromgeving. Dan maakt ‘vanuit NL’ of vanuit daarbuiten op de keper beschouwd niet zo veel verschil. Toch is het zeker zo dat naarmate iemand ‘verder weg’ werkt, de bezwaarlijkheid toeneemt – vooral als dat buiten de EU gebeurt. Er zijn in dit soort gevallen dan ook verschillende veiligheidsmaatregelen noodzakelijk. Overleg daarom altijd met de IT-beheerder over mogelijkheden en voorwaarden.
Overleg in elk geval altijd met de IT-beheerder over het bestaande beleid en eventueel vereiste aanvullende voorwaarden
Natuurlijk is de allereerste vraag hoe het netwerk en de applicaties zijn beveiligd tegen ongeoorloofde toegang (maar ook daarna, als er onverhoopt toch ongeoorloofde toegang is geweest!). Wat zijn de overige technische en organisatorische maatregelen bij het benaderen vanuit de kantoorlocatie, van buiten de kantoorlocatie maar wel vanaf een bekend, vaker gebruikt IP-adres (thuis), of met een hotspotverbinding via de eigen mobiele telefoon? Twee-factorauthenticatie met een pin via sms of een authenticator-app is een basismaatregel. Bij werken buiten de kantoorlocatie die tweede factor bij iédere inlog uitvragen. En natuurlijk moet er sprake zijn van een laptop van de organisatie met een standaard VPN-verbinding of een andere vorm van beveiliging (identity- en device-gebaseerde beveiliging, waarbij door de beheerder de apparatuur op afstand is uit te schakelen). En als gebruik van een privé-apparaat (wat een ZZP’er zou kunnen wensen) toch is toegestaan, dan alleen na een deskundige keuring door of namens de organisatie.
Daarnaast is er nog het fenomeen ‘geo-blocking’, waarbij inlogpogingen vanuit buitenlanden, herkenbaar aan IP-adressen, worden geblokkeerd. Hoe effectief deze maatregel is, hangt mede af van de manier waarop het netwerk en het werkplekbeheer zijn ingericht. Deze beschermingsmaatregel is in aanleg van groot belang omdat veel cyberaanvallen vanuit het buitenland plaatsvinden, en dan vooral vanuit het ‘verre buitenland’. De geografische ruimte groter maken door bij voorbeeld EU-landen niet te blokkeren, verzwakt de beschermende werking van de maatregel. Dat gaat helemaal als bezwaar meewegen als werknemers of zelfstandigen geregeld van buiten de EU willen inloggen. Overleg in elk geval altijd met de IT-beheerder over mogelijkheden en voorwaarden van het benaderen van het bedrijfsnetwerk vanuit het buitenland.
Voorts moet u aandacht geven aan gedrag. Geen lokale openbare wifi-netwerken gebruiken, niet voor een raam aan straatzijde gaan zitten werken, apparatuur niet onbeheerd laten staan, schermbeveiliging, geen externe opslagapparatuur zoals USB-sticks. Dat is in de Nederlandse situatie ook van belang, maar daarbuiten nog wat sterker.
Bedenk bovendien dat er in den vreemde niet zelden een verhoogd risico bestaat op diefstal of op anderszins de apparatuur kwijtraken. Technische panne is trouwens ook nooit uit te sluiten. Allemaal zaken die stukken lastiger op te lossen zijn dan in de thuissituatie. Tot slot kennen we nog de adviezen bij reizen door bijvoorbeeld China (en nu ook de Verenigde Staten) om daar een aparte ‘schone’ laptop en telefoon mee te nemen. Maar ja, wie wil daar nou heen om te werken?
Wat is de conclusie met betrekking tot digitale veiligheid?
Als er sprake is van gegevensbeschermingsbeleid dat aan alle basiseisen voldoet, hoeven er geen overwegende veiligheidsbezwaren te zijn om werknemers vanuit het buitenland op het bedrijfsnetwerk te laten inloggen om te werken. Overleg in elk geval altijd met de IT-beheerder over het bestaande beleid en eventueel vereiste aanvullende voorwaarden.
