Inleiding

Als organisatie wil je datalekken voorkomen en voldoen aan wetten en regelgeving met minimale extra inspanning voor je medewerkers. Met Zivver bereik je dit via bedrijfsregels die ervoor zorgen dat beveiligingsmaatregelen alleen worden toegepast wanneer dat nodig is.

Dit gebeurt via aanbevelingen en automatische acties op basis van de inhoud en ontvangers van een bericht. Bijvoorbeeld:

• Als een bericht of bijlage volgens je beleid gevoelig is, zorgt Zivver ervoor dat het beveiligd wordt met encryptie en tweefactorauthenticatie (2FA).
• Als er een risico is dat een medewerker gevoelige informatie naar de verkeerde persoon zou kunnen sturen, helpt Zivver dit corrigeren voordat het bericht wordt verzonden.

In dit document kun je lezen over de mogelijkheden die voor jou beschikbaar zijn en het optimale gebruik. Specifiek lees je over de volgende onderwerpen:

• Bedrijfsregels instellen
• Bedrijfsregels
• Gebruikerservaring
• Best practices voor bedrijfsregels
• Garantie van privacy en beveiliging
• Disclaimer

Bedrijfsregels instellen

De bedrijfsregels zijn flexibel en kunnen worden aangepast aan jouw beleid. Je kunt kiezen uit een breed scala aan standaardregels of je eigen regels definiëren. Ook kun je bepalen hoe de aanbevelingen voor medewerkers eruitzien en welke automatische acties Zivver zal ondernemen.

Je stelt de bedrijfsregels in samenwerking met je Zivver Projectleider of Customer Success Manager in. Deze persoon helpt je bij het definiëren van je beveiligingsbeleid voor e-mail en vertaalt dit naar de juiste regels in Zivver. Deze worden ingesteld in je Organisatie-instellingen onder Bedrijfsregels. Daar kun je ze vervolgens inschakelen en het beveiligingsniveau voor elke bedrijfsregel beheren.

Hieronder leggen we uit welke regels beschikbaar zijn en hoe het beveiligingsniveau de gebruikerservaring beïnvloedt.

Bedrijfsregels

Om je beleid om te zetten naar bedrijfsregels, is het belangrijk te weten welke soorten regels Zivver aanbiedt. Deze sectie helpt je door het volgende uit te leggen:

1. Welke soorten bedrijfsregels beschikbaar zijn.
2. Welke soorten gevoelige informatie elke regel kan herkennen.
3. Hoe je je bedrijfsregels kunt aanpassen zodat ze precies aansluiten bij je behoeften.

Soorten bedrijfsregels

De regels die je kiest bepalen welke aanbevelingen medewerkers ontvangen wanneer ze een bericht opstellen. Het is belangrijk om regels te kiezen die aansluiten bij je doelstellingen. Deze dienen de volgende hoofddoelen:

1. Beveiligen: gevoelige informatie met encryptie en twee-factor-authenticatie
2. Fouten voorkomen: datalekken door menselijke fouten

Zivver biedt verschillende regels aan om je te helpen deze doelen te bereiken.

Beveilig gevoelige informatie

Om datalekken te voorkomen en te voldoen aan wetten en regelgeving, moet je gevoelige informatie correct beveiligen met encryptie en 2FA. Voor deze maatregelen zijn echter extra acties nodig van zowel de afzenders als de ontvangers. Bedrijfsregels zorgen ervoor dat deze maatregelen alleen worden toegepast wanneer het bericht gevoelige informatie bevat. Dit garandeert zowel veiligheid als gebruiksvriendelijkheid.

Je kunt deze bedrijfsregels herkennen aan de naam Veilig versturen bij [informatietype]. Ze zorgen ervoor dat het gekozen type informatie veilig wordt verzonden met Zivver.

Voorkom menselijke fouten

Hoewel encryptie en 2FA essentieel zijn, beschermen ze niet tegen de belangrijkste oorzaak van datalekken: menselijke fouten. Met Zivver kun je je medewerkers helpen deze fouten te voorkomen.

De oorzaak van veel datalekken is het versturen van de verkeerde informatie naar de verkeerde persoon. Met Zivver kun je medewerkers waarschuwen als gevoelige informatie naar een ongebruikelijke ontvanger wordt gestuurd. Je kunt deze regels herkennen aan de naam Controleer een ontvanger op niet-recente gedeelde [soort informatie]. Ze voorkomen het versturen naar de verkeerde ontvangers.

Daarnaast gebeuren veel datalekken omdat te veel ontvangers in de velden TO en CC worden geplaatst, waardoor ze zichtbaar zijn voor elkaar. Met Zivver kun je je medewerkers waarschuwen en hen aanmoedigen om BCC te gebruiken. Deze regel heet Overweeg het gebruik van BCC. Het voorkomt datalekken door het incorrect gebruik van BCC.

Soorten gevoelige informatie

Bedrijfsregels zijn gebaseerd op het herkennen van gevoelige informatie. In deze sectie lees je meer over de soorten gevoelige informatie waarop je je regels kunt baseren. We maken onderscheid tussen de volgende typen:

1. Duidelijk gedefinieerde patronen, zoals een Burger Service Nummer, een paspoortnummer of een IBAN.
2. Brede categorieën van gevoelige informatie, zoals medische, juridische of privé-informatie.

Je kunt regels baseren op beide soorten informatie. We leggen elk type hieronder verder uit.

Herken gevoelige patronen met Smart Detection

Een belangrijk type gevoelige informatie zijn gevoelige patronen, zoals Burger Service Nummers (SSN), paspoortnummers en IBAN-nummers. Deze informatie is gevoelig omdat het wordt gebruikt om individuen te identificeren en daardoor bijvoorbeeld voor fraude kan worden gebruikt.

Met de Zivver Smart Detection-module kun je automatisch bescherming bieden en menselijke fouten voorkomen wanneer gevoelige patronen aanwezig zijn. Deze detectie is zeer nauwkeurig, omdat de patronen die gedetecteerd moeten worden duidelijk gedefinieerd zijn.

Je hebt toegang tot een standaardbibliotheek van patronen, zoals:

• Burger Service Nummer
• Paspoortnummer
• IBAN
• Kredietkaartnummer
• Internationaal relevante patronen, zoals het Britse NHS-nummer en het Amerikaanse Burger Service Nummer.

Daarnaast kun je organisatie-specifieke patronen herkennen, zoals patiënt- of dossiernummers. Dit kun je instellen in samenwerking met je Customer Success Manager.

Herkennen van gevoelige informatie met Smart Classification

Hoewel het detecteren van gevoelige patronen veel gevoelige informatie helpt beveiligen, blijft er nog veel ongedekt. Er is een breed scala aan gevoelige informatie die geen harde definitie heeft. Denk bijvoorbeeld aan persoonlijke, medische of juridische informatie.

Met Zivver Smart Classification kun je ook deze soorten gevoelige informatie herkennen. Dit gebeurt door een combinatie van het detecteren van relevante termen en natural language processing om te bepalen of de context van deze termen gevoelig is.

Omdat de definities minder scherp zijn, is het risico op valse meldingen bij deze regels groter. Daarom raden we aan niet meer dan twee of drie van deze regels te gebruiken. Je Customer Success Manager kan je helpen bepalen welke categorieën voor jou het meest relevant zijn.

Zivver kan de volgende categorieën informatie classificeren, onder andere:

• Persoonlijk
• Vertrouwelijk
• Werknemers / HR
• Financieel
• Gemeentes
• Juridisch
• Sociaal domein
• Geestelijke gezondheid
• Medisch
• Fiscaal
• Intellectueel Eigendom
• Onderwijs

Je Customer Success Manager kan je meer inzicht geven in de concrete implementatie van elke categorie.

Naast standaard classificaties is het ook mogelijk om gevoelige informatie te herkennen op basis van organisatie-specifieke termen. Je kunt een Excel-bestand met termen aan je Customer Success Manager aanleveren om deze regels beschikbaar te maken.

Extra instellingen

Je hebt de volgende opties om de regels verder aan te passen aan je beleid:

1. Toon geen meldingen als de ontvangers intern of vertrouwd zijn.
2. Gebruik machine learning om gevoelige informatie te herkennen.
3. Integratie met je bestaande classificatiesystemen.

Toon geen meldingen als de ontvangers intern of vertrouwd zijn

Veel e-mailrisico’s gelden alleen als de e-mail buiten je organisatie wordt verzonden. Het is daarom vaak wenselijk dat de bedrijfsregels alleen waarschuwen voor externe e-mails.

Dit is mogelijk als je de regels gebruikt met namen die eindigen op … voor externe ontvangers. Deze regels worden alleen geactiveerd als er ten minste één externe ontvanger is. Dit is iemand die geen deel uitmaakt van dezelfde Zivver-organisatie en niet op een van de geclaimde domeinen van de organisatie staat.

Zivver raadt aan om regels alleen voor externe communicatie in te schakelen, waar mogelijk. Dit zorgt ervoor dat informatie op het juiste moment wordt beveiligd, met minimale verstoring voor medewerkers.

Naast het voorkomen van meldingen voor interne ontvangers, kan je organisatie ook communiceren met vertrouwde partnerorganisaties. Hier weet je bijvoorbeeld dat de partner 2FA heeft ingeschakeld en dat het e-mailverkeer via een versleutelde verbinding verloopt.

In dat geval kun je deze partners opnemen als vertrouwde domeinen. Wanneer e-mails naar vertrouwde ontvangers worden verzonden, ontvang je geen meldingen van bedrijfsregels. De Zivver-balk geeft dan aan dat alle ontvangers vertrouwd zijn en dat verzenden met Zivver niet nodig is.

Je Customer Success Manager kan je adviseren over het beste gebruik van vertrouwde domeinen. Je kunt vertrouwde domeinen vervolgens beheren onderaan de pagina met bedrijfsregels. Als je vertrouwde partners veranderen, is het belangrijk om deze lijst ook bij te werken.

Gebruik machine learning om gevoelige informatie te herkennen

Zoals hierboven beschreven, is gevoelige informatie vaak niet eenduidig gedefinieerd. Het is bijvoorbeeld niet genoeg om enkele woorden te zien om te bepalen of de informatie gevoelig is of niet. Slimmere methoden zijn nodig om bijvoorbeeld het verschil te maken tussen:

• “Stuur je me het paspoort?” (niet gevoelig)
• “In de bijlage vind je het paspoort” (gevoelig)

Smart Classification biedt een versie voor elke relevante bedrijfsregel die, naast het detecteren van specifieke termen, ook gebruik maakt van machine learning (kunstmatige intelligentie). Dit wordt gebruikt om te bepalen of de context gevoelig is. Vervolgens krijg je resultaten die drie tot vier keer preciezer zijn dan een puur lexicale benadering.

Je kunt deze regels herkennen aan het feit dat de naam ‘gevoelig’ bevat. Bijvoorbeeld, Veilig berichten voor gevoelige “medische” inhoud.

Vanwege de hogere effectiviteit raadt Zivver aan om altijd deze variant te gebruiken. De uitzondering is als je wilt dat regels worden geactiveerd op basis van specifieke termen op een volledig voorspelbare manier.

Integratie met je bestaande classificatiesystemen

Maak je al gebruik van een systeem zoals Microsoft Purview om je gegevens te classificeren? Afhankelijk van je classificatiesysteem kan het mogelijk zijn om je classificaties te koppelen aan bedrijfsregels in Zivver. Dit zou je in staat stellen om de beveiligingsbeleid die gekoppeld zijn aan je classificaties effectief uit te breiden naar beveiligde e-mail. Vraag je Customer Success Manager naar de mogelijkheden.

Gebruikerservaring

Bedrijfsregels vertalen je beleid naar aanbevelingen en automatische acties. Jij hebt controle over hoe deze precies functioneren met het beveiligingsniveau. Het beveiligingsniveau bepaalt hoe restrictief de regel is voor een gebruiker. Hieronder zie je hoe een gebruiker de niveaus Suggestie, Waarschuwing en Fout ervaart.

Suggestie Een suggestie waarschuwt medewerkers op een niet-onderbrekende manier voor de mogelijke aanwezigheid van gevoelige informatie. Ze kunnen vervolgens actief overwegen of er actie vereist is. Ze zien een blauwe melding en besluiten of ze beveiligd mailen willen inschakelen.

Waarschuwing Een waarschuwing waarschuwt medewerkers duidelijk voor de waarschijnlijke aanwezigheid van gevoelige informatie en dat hier actie voor vereist is. Hoe dit precies werkt, hangt af van de instelling van Automatisch Zivver gebruiken wanneer een bedrijfsregel dit aanbeveelt.

Als deze instelling uitstaat, zien medewerkers een oranje melding. Ze kiezen dan of ze Zivver willen inschakelen met de toggle in de balk.

Als deze instelling aanstaat, zien medewerkers een melding dat Zivver automatisch is ingeschakeld. Ze kunnen Zivver nog steeds handmatig uitschakelen.

De variant waarbij Zivver automatisch wordt ingeschakeld is veiliger en wordt daarom aanbevolen. Dit vereist wel dat het aantal regels op het Waarschuwing niveau beperkt blijft.

Fout Een foutmelding informeert medewerkers dat de e-mail informatie bevat die niet verzonden mag worden. Ze zien een rode melding en kunnen de e-mail niet verzenden totdat het probleem is opgelost.

In de meeste gevallen raadt Zivver af om dit meldingsniveau te gebruiken. De reden is dat het de werkstromen kan blokkeren en schaduw-IT kan aanmoedigen. Gebruik dit niveau daarom alleen voor regels waarbij je zeker weet dat de e-mail niet verzonden mag worden. Een voorbeeld is wanneer er een SSN in het onderwerp staat, omdat Zivver het onderwerp niet versleutelt.

Best practices voor bedrijfsregels

Voor goede beveiliging is de balans tussen veiligheid en gebruiksvriendelijkheid essentieel. Beveiligingsmaatregelen zijn noodzakelijk om datalekken te voorkomen en om te voldoen aan wet- en regelgeving. Echter, als de maatregelen te strikt zijn, leidt dit tot een verhoogd risico door omzeiling en schaduw-IT. Bedrijfsregels helpen je deze balans te vinden. Om je te begeleiden naar optimaal gebruik, volgen hier best practices op basis van de ervaring van duizenden organisaties.

Gebruik maximaal 2 tot 3 regels voor brede categorieën van gevoelige informatie

Het is verleidelijk om veel regels in te schakelen om de best mogelijke bescherming te krijgen. Het herkennen van gevoelige informatie is echter geen exacte wetenschap. Elke regel zal af en toe ongewenste meldingen geven. Dit geldt vooral voor regels die brede categorieën van gevoelige informatie detecteren.

Een BSN is duidelijk gedefinieerd en dus gemakkelijk te identificeren. Gevoelige medische, juridische of financiële informatie is dat niet. Als je veel van deze regels inschakelt, zal minstens één regel een melding triggeren voor veel e-mails. Dit leidt tot meldingsmoeheid en vergroot het risico dat een melding wordt genegeerd wanneer deze daadwerkelijk gerechtvaardigd is. Daarom raden we aan om maximaal 2-3 van deze bedrijfsregels te gebruiken.

Gebruik veiligheidsniveau Suggestie voor de meeste regels

Om dezelfde redenen is het belangrijk het aantal regels op veiligheidsniveau Waarschuwing of Fout te beperken. Onnodige waarschuwingen verstoren het werk en zijn frustrerend. Een suggestie is vaak voldoende voor medewerkers om een weloverwogen keuze te maken over veiligheid.

Specifiek raden we aan om het volgende te gebruiken:

• Fout alleen voor duidelijk identificeerbare informatie (bijvoorbeeld BSN) in het onderwerp, waar je nooit een false positive zult krijgen.
• Waarschuwing alleen voor:
  • Duidelijk herkenbare gevoelige informatie in de tekst van de e-mail (BSN, IBAN en anderen.)
  • Persoonlijke informatie
  • Aanbeveling om BCC te gebruiken
• Suggestie voor alle andere regels, zoals medische of juridische informatie.

Waarschuw alleen voor externe ontvangers

Voor veel organisaties is interne e-mailverkeer al voldoende beveiligd. In dat geval kun je bedrijfsregels instellen zodat ze alleen worden geactiveerd voor externe ontvangers. Dit zorgt voor bescherming wanneer het nodig is, met minimale verstoring voor medewerkers.

Evalueer je beleid met Zivver Insights

De sleutel tot goed beleid is het evalueren en aanpassen van het beleid. In je beheersomgeving kun je gebruik maken van Zivver Insights om een beter overzicht te krijgen van de werking van je bedrijfsregels. Hiermee kun je je beleid versterken en specifiek het bewustzijn onder medewerkers vergroten.

Werk samen met je Customer Success Manager

Het implementeren van effectieve beveiligingscommunicatiebeleid is geen gemakkelijke taak. Je Customer Success Manager heeft al veel vergelijkbare organisaties geholpen met dit proces. We helpen je graag om het meeste uit de bedrijfsregels te halen, zodat je op een veilige manier kunt communiceren met minimale frictie.

Waarborging van privacy en veiligheid

De bedrijfsregels bepalen de juiste beveiliging op basis van de inhoud en ontvangers van berichten en bijlagen. Dit betekent dat ze de inhoud van een bericht moeten scannen. Dit is vaak uiterst gevoelige informatie. Zivver neemt alle mogelijke maatregelen om deze informatie op een veilige en privacy-vriendelijke manier te verwerken. In dit gedeelte beschrijven we deze maatregelen.

Het bericht en de bijlagen worden gescand door de inhoud naar de Zivver-servers te sturen via een versleutelde verbinding. Hier wordt bepaald of er informatie is die volgens je beleid als gevoelig wordt beschouwd. Tijdens deze scan houdt de server de gegevens zo kort mogelijk in het geheugen (minder dan 1 seconde). Na de scan stuurt de server de meldingen via een versleutelde verbinding terug. De meldingen bevatten alleen de classificatie en nooit de gevoelige gegevens zelf. Na de scan worden de inhoud volledig van de server verwijderd.

Alleen berichten die daadwerkelijk met Zivver zijn verzonden, worden opgeslagen. Opgeslagen berichten worden versleuteld met best-practice asymmetrische encryptie, waarbij alleen de afzender en de ontvangers het bericht kunnen ontsleutelen. Lees meer in het Zivver’s Security by Design Whitepaper.

De implementatie en effectiviteit van deze maatregelen worden jaarlijks beoordeeld door verschillende onafhankelijke auditors in ISO27001- en SOC2-audits en met technische pentests. Daarnaast houdt een onafhankelijke functionaris voor gegevensbescherming toezicht op de verwerking bij Zivver. De certificeringen zijn te vinden op onze pagina Beveiligingscertificeringen.

Als je vragen hebt over hoe Zivver privacy en veiligheid waarborgt, kun je meer informatie vinden op onze pagina Juridisch & Beveiliging. Je kunt je vragen ook bespreken met je Customer Success Manager.

Disclaimer

Bedrijfsregels zijn een hulpmiddel en er kunnen fouten optreden bij de toepassing van bedrijfsregels. Zivver streeft ernaar de frequentie van fouten zo laag mogelijk te houden, maar biedt geen garanties of waarborgen met betrekking tot de toepassing van bedrijfsregels en hun nauwkeurigheid.

Afsluiting

De bedrijfsregels helpen je om datalekken te voorkomen en te voldoen aan wetten en regelgeving, met minimale extra inspanning voor je medewerkers. Om Zivver optimaal te benutten, is het belangrijk om de bedrijfsregels goed in te stellen. In dit document vind je alle informatie die je nodig hebt.

Als je aanvullende vragen hebt, neem dan contact op met je Customer Success Manager.