Veilige software kiezen voor je bedrijf in drie stappen

Je wilt starten als zzp'er, of je bedrijf is al een tijdje draaiende. Hoe kies je de software en tools die het beste bij jou en je bedrijf passen? Het aanbod van SaaS dat je kunt gebruiken voor bijvoorbeeld projectmanagement, verlofregistratie of marketing is gigantisch. Maar niet alle software is veilig genoeg voor je bedrijfsgevoelige data.

Voordat we de diepte in gaan is het goed te beseffen dat eisen die aan software worden gesteld per branche kunnen verschillen. Sommige sectoren stellen specifieke eisen, bijvoorbeeld als je in de gezondheidszorg of in de financiële sector werkt. Toch is er een gemene deler: als ondernemer wil je graag dat de zaken op orde zijn. 

In dit artikel vertellen we je alles over het veilig kiezen van software voor je bedrijf. Dat gaan we doen aan de hand van drie stappen.

  1. Als eerst breng je in kaart welke gegevens er rond gaan binnen je bedrijf? Het één is namelijk belangrijker en gevoeliger dan het ander.
  2. Vervolgens bepalen we aan welke eisen software moet voldoen en waar je aan moet denken.
  3. Als laatste stap helpen we je bij het selecteren van leveranciers met behulp van een checklist.

Stap één: Welke informatie gaat er eigenlijk allemaal rond in je bedrijf? #

Binnen ieder bedrijf zijn er verschillende soorten gegevens, de één gevoeliger dan de ander. Zo heb je misschien gegevens van personeel die je goed wilt beveiligen. Terwijl andere gegevens veel minder goed beveiligd hoeven te worden en je het helemaal niet erg zou vinden als ze op straat komen te liggen.

Om de verschillende soorten gegevens van je bedrijf in kaart te brengen kun je informatie classificeren. Het klinkt een beetje "officieel", dat is het ook want het is een methode die in ISO 27001 (een standaard voor informatiebeveiliging) ook wordt gebruikt. Gelukkig is het vrij eenvoudig en met gezond verstand goed te doen. De gegevens binnen je bedrijf kun je indelen in drie classificaties:

  1. Vertrouwelijke gegevens: Dit zijn vaak klant- of bedrijfsgegevens die je goed wilt beveiligen en beschermen. Er is een hoge impact op de bedrijfscontinuïteit als ze op straat komen te liggen. Daarom wil je deze gegevens in de regel aan een zo'n beperkt mogelijke groep mensen beschikbaar stellen.
  2. Interne gegevens: Informatie binnen je bedrijf die je intern wilt houden, maar die wel bestemd is voor alle medewerkers. Dit kan bijvoorbeeld interne documentatie zijn zoals een handboek of uitleg hoe een proces werkt. Als de gegevens op straat komen is dat niet fijn, maar het heeft waarschijnlijk geen grote impact op je bedrijf.
  3. Publieke gegevens: Dit zijn gegevens die eigenlijk iedereen met gezond verstand en een goede speurneus kan vinden, bijvoorbeeld reviews van klanten. De gegevens staan publiek, en je hebt eigenlijk weinig eisen hoe en waar ze opgeslagen mogen worden.

Nu je de verschillende classificaties weet, kun je alle gegevens binnen je bedrijf classificeren. Bij iedere soort informatie stel je daarom de vraag hoe je de gegevens wilt behandelen. Zo is het heel logisch om personeelsdossiers als `Vertrouwelijk` te bestempelen. Het classificeren kan in een eenvoudige tabel. Zo’n tabel ziet er bijvoorbeeld als volgt uit:

Tabel om classificatie per informatietype aan te geven. Vertrouwelijk, publiek of intern

Waarschijnlijk heb je meer soorten informatie binnen je bedrijf dan je denkt. Vergeet niet je CRM met klantgegevens of broncode van de software die je schrijft. Ook deze neem je op in de tabel zodat je een volledig overzicht krijgt en je bewust bent van alle stromen die er zijn.

Stap twee: De eisen bij een classificatie vaststellen #

Het overzicht van de verschillende informatie binnen je bedrijf met de bijbehorende classificatie is een heel mooi vertrekpunt. De eisen die je mag stellen aan software met vertrouwelijke informatie zijn namelijk anders dan de eisen voor informatie die publiek staat. Daarnaast is er wetgeving zoals de GDPR die eisen stelt over hoe je als bedrijf met persoonsgegevens om moet gaan. Voordat we per classificatie de eisen vaststellen, is het goed om te beseffen waar je op kunt letten om te beoordelen of een leverancier betrouwbaar is:

  • Algemene voorwaarden en privacy statement: De algemene voorwaarden en het privacy statement van een softwareleverancier kunnen allerlei clausules bevatten. Zo zijn er waarschijnlijk bepalingen over hoe data wordt gedeeld met derden, de bewaartermijn van gegevens maar ook hoe je een contract op kunt zeggen. Het is daarbij verstandig om een lijn te trekken wat je wel en niet acceptabel vindt voor de gegevens die je op wilt slaan.
  • De verwerkersovereenkomst: een verwerkersovereenkomst is een contract tussen een verwerker (de softwareleverancier) en een verwerkingsverantwoordelijke (jij als ondernemer) waarin de rechten en plichten van beide partijen worden vastgelegd over de verwerking van persoonsgegevens. In een verwerkersovereenkomst worden onder andere de doeleinden van de verwerking, de soorten persoonsgegevens die verwerkt zullen worden, de wijze waarop de persoonsgegevens zullen worden verwerkt en beveiligd, en de duur van de verwerking vastgelegd. De verwerkersovereenkomst is bedoeld om te voldoen aan de eisen die gesteld worden in de wet bescherming persoonsgegevens (AVG). Wanneer je persoonsgegevens gaat opslaan moet je als eis stellen dat je een goede verwerkersovereenkomst afsluit met de softwareleverancier.
  • Opslag van data binnen de EU: Wanneer er persoonsgegevens (bijvoorbeeld van medewerkers of klantgegevens) worden opgeslagen zijn daar wettelijke eisen aan verbonden. Persoonsgegevens mag je namelijk niet zomaar buiten de EU opslaan. De Autoriteit persoonsgegevens legt op haar website uit hoe de doorgifte van gegevens binnen en buiten de EU werkt (opent in nieuw tabblad). Daarop wordt ook uitgelegd dat doorgifte van persoonsgegevens aan softwareleveranciers in de Verenigde Staten onder Shrems II niet meer mag. Vind je het complexe materie? Dan kan het raadzaam zijn om te beslissen dat je informatie die je classificeert als vertrouwelijk per definitie alleen binnen de EU op te slaan.
  • Certificering: Steeds vaker zie je dat softwareleveranciers zich laten certificeren om aan te tonen dat de informatiebeveiliging op orde is. De meest bekende norm daarvoor is ISO 27001, een internationale norm voor informatiebeveiliging. De norm beschrijft hoe organisaties hun informatiebeveiliging moeten beheren om ervoor te zorgen dat hun informatie veilig is en blijft. In essentie is ISO 27001 een raamwerk dat organisaties helpt om hun informatiebeveiliging op een gestructureerde en systematische manier te beheren. Organisaties met een ISO 27001 certificering worden jaarlijks ge-audit, je mag daarom verwachten dat ze informatiebeveiliging serieus nemen.
  • Authenticatiemiddelen zoals Twee-factor authenticatie: Twee-factor authenticatie (2FA) is een vorm van authenticatie waarbij een gebruiker naast een wachtwoord ook nog een andere vorm van identificatie moet verstrekken om toegang tot de software te krijgen. Denk aan een verificatiecode of fysiek authenticatietoken. Twee-factor authenticatie verhoogt de beveiliging door te zorgen dat de identiteit van de gebruiker op twee verschillende manieren wordt geverifieerd. Wanneer sprake is van opslag van vertrouwelijke gegevens kan het heel raadzaam zijn om de eis te stellen dat de software Twee-factor authenticatie ondersteunt, waardoor je aanzienlijk minder risico’s loopt dat hackers toegang krijgen tot je bedrijfsgegevens.

Tabel over welke eisen publiek, interne of vertrouwelijk zijn zoals twee-factor authenticatie, ISO certificering en dataopslag

Stap drie: Voldoet de software aan jouw eisen?  #

Met dit overzicht kan het een stuk eenvoudiger worden om te bepalen of een softwareleverancier geschikt is voor de opslag van de gegevens die je er wilt opslaan. Als je op zoek gaat naar een nieuw systeem dat persoonsgegevens opslaat, wil je op basis van deze tabel dat het aan alle eisen van Vertrouwelijk voldoet. Heeft de software geen twee-factor authenticatie? Vraag je dan af of je daar wel klantgegevens in wilt opslaan. Deze aanpak is een goede checklist en zorgt dat je niet per ongeluk belangrijke zaken over het hoofd gaat zien. Klantgegevens opslaan op één of andere vreemde server is het laatste dat je wilt.

Tips van Moneybird

Bij Moneybird gebruiken we zelf ook veel online tools voor ons dagelijks werk. We hebben heel wat tools geprobeerd en geven je daarom graag enkele tips. De belangrijkste tip is dat het loont om kritisch te zijn bij het kiezen van leveranciers, want je bouwt er je bedrijf op en vaak is het overstappen naar een softwareleverancier een grote klus. Er is niets vervelender dan er achteraf achter komen dat software niet veilig blijkt te zijn of niet aan je eisen voldoet. Een paar voorbeelden:

  • Regelmatig zie je dat softwareleveranciers extra geld vragen voor data-opslag in de EU. Wist je dat bijvoorbeeld Google Workspace pas in het Enterprise plan (opent in nieuw tabblad) de mogelijkheid heeft om een gegevensregio te kiezen voor je gehele account? En dat je tenminste Business Standard nodig hebt om zogenaamde data region policies (opent in nieuw tabblad) te configueren. Niet goedkoop als je persoonsgegevens, bijvoorbeeld van dossiers van medewerkers, op je Drive wilt opslaan binnen de EU. Leuk dat je in een goedkoop pakket start, maar naarmate je groeit kan het dus zijn dat je fors meer gaat betalen. Voor sommige leveranciers is EU-hosting bijna een verdienmodel geworden.
  • Twee-factor authenticatie is niet voor iedere software tool zo vanzelfsprekend als dat het zou moeten zijn. Ook zijn er leveranciers die je extra laten betalen als je twee-factor wilt gebruiken. Een voorbeeld daarvan is Notion dat pas in de Business plans zogenaamde SAML-SSO authenticatie aanbiedt.