Inleiding

Als organisatie wil je datalekken voorkomen en voldoen aan wet- en regelgeving met minimale extra moeite voor je medewerkers. Met Zivver doe je dit door middel van Bedrijfsregels die ervoor zorgen dat veiligheidsmaatregelen alleen toegepast worden wanneer dat nodig is.

Dit gebeurt door middel van aanbevelingen en automatische acties gebaseerd op de inhoud en ontvangers van een bericht. Bijvoorbeeld:

• Als een bericht of bijlage volgens jouw beleid gevoelig is, zorgt Zivver dat deze met encryptie en tweefactorauthenticatie (2FA) beveiligd wordt.
• Als een medewerker gevoelige informatie naar de verkeerde persoon dreigt te sturen helpt Zivver de fout corrigeren voordat het bericht verzonden wordt.

In dit document lees je wat voor mogelijkheden je hebt met bedrijfsregels en hoe je deze optimaal benut. Specifiek krijg je informatie over de volgende onderwerpen:

1. Bedrijfsregels instellen
2. Soorten bedrijfsregels
3. Gebruikerservaring
4. Best practices voor bedrijfsregels
5. Garantie van privacy en veiligheid
6. Disclaimer

Bedrijfsregels instellen

De bedrijfsregels zijn flexibel en kunnen afgesteld worden op jouw beleid. Hierbij kan je kiezen uit een breed scala aan standaardregels of je eigen regels definiëren. Je kan ook zelf bepalen hoe aanbevelingen aan medewerkers eruit zien en welke automatische acties Zivver uitvoert.

Het instellen van de bedrijfsregels doe je in samenwerking met je Projectleider of Customer Success Manager van Zivver. Deze helpt je om je beleid voor veilig mailen te definiëren en te vertalen naar de juiste regels in Zivver. Deze worden klaargezet in je organisatie-instellingen onder Bedrijfsregels. Daar kun je ze vervolgens activeren en het veiligheidsniveau per bedrijfsregel beheren.

Hierna leggen we uit welke regels er zijn en hoe het veiligheidsniveau de gebruiker beïnvloedt.

Soorten bedrijfsregels

Om je beleid naar bedrijfsregels te vertalen is het belangrijk te weten welke soorten regels Zivver aanbiedt. Deze sectie helpt je hierbij door uit te leggen:

1. Welke typen bedrijfsregels er zijn
2. Welke soorten gevoelige informatie elk type regel kan herkennen
3. Hoe je bedrijfsregels precies op je behoefte af te stellen

Typen bedrijfsregels

De regels die je kiest bepalen welke aanbevelingen medewerkers krijgen wanneer zijn een bericht opstellen. Het is belangrijk om regels te kiezen die bij je doel passen. Hierbij horen twee hoofddoelen:

1. Beveiligen: Gevoelige informatie beveiligen met encryptie en tweefactorauthenticatie
2. Fouten voorkomen: Datalekken door menselijke fouten voorkomen

Zivver biedt verschillende regels om je te helpen deze doelen te bereiken.

Gevoelige informatie beveiligen

Om datalekken te voorkomen en te voldoen aan wet- en regelgeving dien je gevoelige informatie goed te beveiligen met encryptie en 2FA. Deze maatregelen vereisen echter extra handelingen van verzenders en ontvangers. De bedrijfsregels helpen om maatregelen alleen toe te passen wanneer het bericht gevoelige informatie bevat. Dit zorgt voor veiligheid én gebruiksvriendelijkheid.

Deze bedrijfsregels zijn te herkennen aan de naam Veilig verzenden bij [type informatie]. Zij zorgen ervoor dat de gekozen soort informatie veilig verstuurd wordt met Zivver.

Menselijke fouten voorkomen

Hoewel encryptie en 2FA essentieel zijn, beschermen ze niet tegen de voornaamste oorzaak van datalekken: menselijke fouten. Met Zivver help je je medewerkers deze fouten voorkomen.

Veel datalekken worden veroorzaakt doordat de verkeerde informatie naar de verkeerde persoon wordt verstuurd. Met Zivver kan je medewerkers waarschuwen als er gevoelige informatie verzonden wordt naar een ongebruikelijke ontvanger. Deze regels herken je aan de naam Controleer de ontvanger bij niet-recent delen van [type informatie]. Zij voorkomen verkeerde ontvangers.

Daarnaast ontstaan veel datalekken doordat te veel ontvangers in de aan- en cc-regel gezet worden en voor elkaar zichtbaar zijn. Met Zivver kan je je medewerkers hierop attenderen en aanmoedigen BCC te gebruiken. Deze regel heet Overweeg het gebruik van BCC. Hiermee voorkom je datalekken door onjuist gebruik van BCC.

Typen gevoelige informatie

De bedrijfsregels zijn gebaseerd op het herkennen van gevoelige informatie. In deze sectie lees je op welke soorten gevoelige informatie je je regels kan baseren. Hierbij onderscheiden we twee typen:

1. Duidelijk gedefinieerde patronen, zoals een BSN, een paspoortnummer of een IBAN.
2. Brede categorieën gevoelige informatie, zoals medisch, juridisch of persoonlijk.

Je kan regels op beide soorten informatie baseren. Hieronder leggen wij beide categorieën beter uit.

Herkennen gevoelige patronen met Smart Detection

Een belangrijke soort gevoelige informatie zijn gevoelige patronen, zoals burgerservicenummers, paspoortnummers, IBANs en dergelijke. Deze informatie is gevoelig omdat ze gebruikt worden om individuele personen te identificeren en daardoor bijvoorbeeld voor fraude gebruikt kunnen worden.

De Zivver Smart Detection module laat je bij aanwezigheid van gevoelige patronen automatische beveiliging en preventie van menselijke fouten toepassen. Deze detectie is uiterst nauwkeurig, omdat de te detecteren patronen aan een duidelijke definitie voldoen.

Je hebt toegang tot een standaardbibliotheek van patronen, zoals: - Burgerservicenummer - Paspoortnummer - IBAN - Creditcardnummer - Internationaal relevante patronen, zoals UK NHS number en US Social Security Number

Daarnaast kan je organisatie-specifieke patronen zoals patiënt- of dossiernummers herkennen. Dit kan je instellen in samenwerking met je Customer Success Manager.

Herkennen gevoelige informatie met Smart Classification

Hoewel detectie van gevoelige patronen je helpt om veel gevoelige informatie te beveiligen, mis je hiermee nog veel dekking. Er is namelijk een breder scala aan gevoelige informatie dat niet aan een harde definitie voldoet. Denk bijvoorbeeld aan persoonlijke, medische of juridische informatie.

Met Zivver Smart Classification kan je ook deze typen gevoelige informatie herkennen. Dit gebeurt met een combinatie van detectie van relevante termen en natural-language processing om te bepalen of de context van deze termen gevoelig is.

Doordat de definities minder eenduidig zijn, is er bij deze regels een groter risico op onterechte meldingen. Daarom raden wij aan niet meer dan 2 of 3 van deze regels te gebruiken. Je Customer Success Manager kan je helpen bepalen welke categorieën het meest relevant voor je zijn.

Zivver kan onder andere de volgende categorieën informatie classificeren.

• Persoonlijk
• Vertrouwelijk
• Werknemer / HR
• Financieel
• Gemeenten
• Juridisch
• Sociaal domein
• Mentaal (GGZ)
• Medisch
• Fiscaal
• Intellectuele Eigendom
• Onderwijs
  

Je Customer Success Manager kan je meer inzicht geven in de concrete invulling van elke categorie.

Naast standaard classificaties is het ook mogelijk om gevoelige informatie te herkennen op basis van organisatie-specifieke termen. Je kan bij je Customer Success Manager een Excel-bestand met termen aanleveren om deze regels beschikbaar te maken.

Extra instellingen

Er zijn een aantal opties om de regels nog beter op je beleid af te stemmen:

1. Geen meldingen tonen bij interne en vertrouwde ontvangers
2. Gebruik maken van machine learning om gevoelige informatie te herkennen
3. Integratie met je bestaande classificatiesystemen

Geen meldingen tonen bij interne en vertrouwde ontvangers

Veel van de risico’s van email zijn alleen van toepassing als er buiten de eigen organisatie gemaild wordt. Hierdoor is het vaak wenselijk als bedrijfsregels alleen voor externe mails waarschuwen.

Dit is mogelijk door de regels te gebruiken die eindigen op ‘… aan externen. Deze regels gaan alleen af als er minstens één externe ontvanger is. Dit is iemand die geen onderdeel is van dezelfde Zivver organisatie én niet op één van de geclaimde domeinen van de organisatie zit.

Zivver raadt aan om regels waar mogelijk alleen voor externe communicatie aan te zetten. Dit zorgt ervoor dat informatie op het juiste moment beveiligd wordt, met minimale frictie voor werknemers.

Naast het voorkomen van meldingen voor interne ontvangers, kan het ook zijn dat je organisatie communiceert met een aantal vertrouwde partnerorganisaties. Hierbij weet je bijvoorbeeld dat de partner 2FA op orde heeft en dat mailverkeer over een versleutelde verbinding gaat.

In dat geval kan je deze partners opnemen als vertrouwde domeinen. Wanneer mails naar vertrouwde ontvangers gaan worden er geen meldingen van bedrijfsregels gegeven. De Zivver balk geeft dan aan dat alle ontvangers vertrouwd zijn en dat verzenden met Zivver niet nodig is.

Je Customer Success Manager kan je adviseren over hoe optimaal gebruik te maken van vertrouwde domeinen. Daarna kan je vertrouwde domeinen beheren onderaan de pagina met Bedrijfsregels. Als je vertrouwde partners veranderen is het belangrijk deze lijst ook bij te werken.

Machine learning gebruiken om gevoelige informatie te herkennen

Zoals hierboven beschreven is gevoelige informatie vaak niet eenduidig gedefinieerd. De aanwezigheid van enkele woorden is bijvoorbeeld niet voldoende om te bepalen of informatie gevoelig is of niet. Slimmere methoden zijn nodig om het onderscheid te maken tussen bijvoorbeeld:

• Stuur je mij het paspoort? (niet gevoelig)
• Bijgevoegd vind je het paspoort (gevoelig)

Smart Classification biedt voor elke relevante bedrijfsregels een versie die naast het detecteren van specifieke termen ook machine learning (artificial intelligence) gebruikt om te bepalen of de context gevoelig is. Dit is drie tot vier keer nauwkeuriger dan een puur op woordenlijsten gebaseerde aanpak.

Deze regels zijn te herkennen aan dat de naam gevoelige bevat. Bijvoorbeeld Veilig versturen bij gevoelige “medische” inhoud.

Vanwege de hogere effectiviteit raadt Zivver aan altijd deze variant te gebruiken, behalve als je wilt dat regels volledig voorspelbaar op specifieke termen afgaan.

Integratie met je bestaande classificatiesystemen

Mogelijk gebruik je al een systeem zoals Microsoft Purview om je data te classificeren. Afhankelijk van je classificatiesysteem kan het mogelijk zijn om je classificaties te verbinden aan bedrijfsregels in Zivver. Hiermee kan je het aan je classificaties gekoppeld veiligheidsbeleid effectief uitbreiden naar veilige mail. Vraag je Customer Success Manager naar de mogelijkheden.

Gebruikerservaring

Bedrijfsregels vertalen je beleid naar aanbevelingen en automatische maatregelen. Je hebt controle over hoe dit precies werkt via het veiligheidsniveau. Het veiligheidsniveau bepaalt hoe dwingend de regel is voor een gebruiker. Hieronder zie je hoe een gebruiker de niveaus suggestie, waarschuwing en fout ervaart.

Suggestie Een suggestie attendeert medewerkers op niet-storende wijze op de mogelijke aanwezigheid van gevoelige informatie, zodat ze zelf actief nadenken over of er actie vereist is of niet. Ze zien een grijze melding en bepalen zelf of ze veilig mailen aan zetten.

Waarschuwing Een waarschuwing attendeert medewerkers op duidelijke wijze op de waarschijnlijke aanwezigheid van gevoelige informatie en dat dit actie vereist. Hoe dit precies werkt hangt af van hoe de plugin instelling Automatisch Zivver gebruiken als een bedrijfsregel dat aanbeveelt staat ingesteld.

Staat deze instelling uit, dan zien medewerkers een oranje melding. Zij kiezen dan zelf of zij Zivver aan zetten via de schuifknop in de balk.

Staat deze instelling aan, dan zien medewerkers een melding en wordt Zivver automatisch ingeschakeld. Je kunt Zivver nog wel handmatig uitschakelen.

De variant waarbij Zivver automatisch aangaat is veiliger en daarmee aanbevolen. Dit vereist wel dat het aantal regels op het niveau waarschuwing beperkt is.

Fout Een fout informeert medewerkers dat de mail informatie bevat die niet verzonden mag worden. Ze zien een rode melding en kunnen het bericht niet verzenden voor het probleem oplost is.

Zivver raadt het gebruik van dit waarschuwingsniveau in de meeste gevallen af, omdat het werkprocessen kan blokkeren en schaduw-IT stimuleert. Gebruik dit niveau dus alleen voor regels waarbij je zeker weet dat de mail niet verzonden mag worden. Een voorbeeld is als er een BSN in het onderwerp staat, omdat het onderwerp niet versleuteld wordt door Zivver.

Best practices voor bedrijfsregels

Voor goede beveiliging is de balans tussen veiligheid en gebruiksvriendelijkheid essentieel. Veiligheidsmaatregelen zijn noodzakelijk om datalekken te voorkomen en aan wet- en regelgeving te voldoen. Echter, als maatregelen te streng zijn, leidt dit juist tot een verhoogd risico door omzeiling en schaduw-IT. De bedrijfsregels helpen je deze balans vinden. Om je te helpen hier optimaal gebruik van te maken, vind je hier best practices gebaseerd op de ervaring van duizenden organisaties.

Gebruik maximaal 2 à 3 regels voor brede categorieën gevoelige informatie

Het is verleidelijk om veel regels aan te zetten om zo goed mogelijk beschermd te zijn. Echter, het herkennen van gevoelige informatie is geen exacte wetenschap. Elke regel geeft soms onterecht een melding. Dit geldt vooral voor regels die brede categorieën gevoelige informatie herkennen.

Een BSN is duidelijk gedefinieerd en dus goed herkenbaar. Gevoelige medische, juridische of financiële informatie is dat niet. Als je veel van deze regels activeert zal voor veel mails minstens één regel een melding geven. Dit leidt tot meldingsmoeheid en dus een verhoogd risico wanneer een melding wel terecht is. Daarom raden wij aan maximaal 2 à 3 van deze bedrijfsregels te gebruiken.

Gebruik veiligheidsniveau Suggestie voor de meeste regels

Om dezelfde redenen is het belangrijk om het aantal regels op veiligheidsniveau waarschuwing of fout te beperken. Onnodige waarschuwingen verstoren het werk en zijn frustrerend. Een suggestie is vaak voldoende om medewerkers een bewuste keuze over veiligheid te laten maken.

Specifiek raden wij aan om:

Fout alleen te gebruiken voor duidelijk herkenbare informatie (bijv. BSN) in het onderwerp, waarbij je nooit een fout-positieve melding krijgt.

Waarschuwing alleen te gebruiken voor

• Duidelijk herkenbare gevoelige informatie in de mailtekst (BSN, IBAN, e.d.)
• Persoonlijke informatie
• Aanbevelen van BCC

Suggestie te gebruiken voor alle andere regels, zoals medische of juridische informatie.

Waarschuw alleen voor externe ontvangers

Voor veel organisaties is intern mailverkeer al voldoende veilig. In dat geval kunnen bedrijfsregels ingesteld worden om alleen af te gaan voor externe ontvangers. Dit zorgt voor bescherming wanneer het ertoe doet, met minimale verstoring voor medewerkers.

Evalueer je beleid via Zivver Insights

De sleutel tot goed beleid is om het beleid te evalueren en aan te passen. In je beheerdersomgeving kan je via Zivver Insights beter zicht krijgen op de werking van je bedrijfsregels. Hiermee kan je beleid verder aanscherpen en gericht het bewustzijn onder medewerkers vergroten.

Werk samen met je Customer Success Manager

Effectief beleid voor veilige communicatie implementeren is geen makkelijke opgave. Je Customer Success Manager heeft veel vergelijkbare organisaties hier al mee geholpen. Wij helpen je graag optimaal gebruik maken van de bedrijfsregels, zodat je veilig communiceert met minimale frictie.

Garantie van privacy en veiligheid

De bedrijfsregels bepalen de juiste beveiliging op basis van de inhoud en ontvangers van berichten en bijlagen. Dit betekent dat ze de inhoud van een bericht moeten scannen. Dit is vaak uiterst gevoelige informatie. Zivver neemt alle mogelijke maatregelen om deze informatie op een veilige en privacy-bestendige manier te verwerken. In deze sectie beschrijven we deze maatregelen.

Het bericht en de bijlagen worden gescand door de inhoud over een versleutelde verbinding naar de servers van Zivver te sturen. Hier wordt bepaald of er informatie in staat die volgens jouw beleid gevoelig is. Tijdens deze scan houdt de server de gegevens zo kort mogelijk (minder dan 1 seconde) in het werkgeheugen. Na de scan stuurt de server de meldingen via een versleutelde verbinding terug. De meldingen bevatten alleen de classificatie en nooit de gevoelige gegevens zelf. Na de scan wordt de inhoud volledig van de server verwijderd.

Alleen berichten die daadwerkelijk met Zivver verzonden zijn, worden opgeslagen. Opgeslagen berichten zijn versleuteld met best-practice asymmetrische encryptie, waarbij alleen de verzender en ontvangers het bericht kunnen ontsleutelen. Lees meer in Zivver’s Security by Design Whitepaper.

De implementatie en effectiviteit van deze maatregelen worden jaarlijks getoetst door verschillende onafhankelijke auditors in o.a. de ISO27001 en SOC2 audit en door middel van technische pentesten. Daarnaast houdt een onafhankelijke functionaris gegevensbescherming toezicht op de verwerkingen bij Zivver. De certificeringen zijn te vinden op onze pagina Security Certifications.

Als je vragen hebt over hoe Zivver privacy en veiligheid waarborgt kan je meer informatie vinden op onze pagina Juridische zaken en veiligheid. Je kan je vragen ook bespreken met je Customer Success Manager.

Disclaimer

Bedrijfsregels zijn een hulpmiddel en er kunnen fouten optreden bij de toepassing van bedrijfsregels. Zivver streeft ernaar de frequentie van fouten zo laag mogelijk te houden, maar geeft geen garanties met betrekking tot de toepassing van bedrijfsregels en de nauwkeurigheid ervan.

Afsluiting

De bedrijfsregels helpen je datalekken voorkomen en voldoen aan wet- en regelgeving met minimale extra moeite voor je medewerkers. Om optimaal gebruik van Zivver te maken is het belangrijk de bedrijfsregels goed in te stellen. In dit document vind je alle informatie die hiervoor nodig is.

Als je aanvullende vragen hebt kan je die met je Customer Success Manager bespreken.