Geschreven door: Frank Leest

Een presentatie geven? Vroeger deden we dat lokaal in een Powerpoint presentatie. Later gebruikten we Google Slides. Tegenwoordig is Prezi de tool waar iedereen naar grijpt. Deze online presentatietool biedt de mogelijkheid om in een handomdraai prachtige presentaties te maken met handige effecten en grafische details die een statische Powerpoint presentatie van z’n levensdagen nog niet kan benaderen. Maar wat veel mensen zich niet realiseren, is dat de gratis versie van Prezi gewoon openbaar staat voor de wereld, en wanneer deze door Google is geïndexeerd, ook naar boven komt wanneer je met bepaalde zoekwoorden in de weer gaat. Met potentieel desastreuze gevolgen van dien.

Dus dat is precies wat ik deed: met een handjevol zoektermen en 30 minuten vrije tijd vond ik zeeën aan informatie. Omzetcijfers, winstmarges, salarissen van medewerkers, inclusief foto en bonussen, bedrijfsstrategieën, marketingplannen, belangrijkste klanten met marges, persoonlijke informatie over medewerkers zoals resultaten van keuringen en onderzoeken, en ga zo maar door. Ik vond gegevens van telecombedrijven, recruitment agencies en uitzendbureaus, maar ook van de supermarkt om de hoek. Uiterst gevoelige informatie, die zo maar open en bloot door die bedrijven zelf op het internet is gezet. Bij nabellen van de gevonden informatie bleek al snel dat deze mensen zelf ook niet door hebben gehad dat hun presentatie gewoon tevoorschijn kwam na een simpele Google zoektocht.

“Mensen vergeten dat Prezi niet hetzelfde is als een lokale Powerpoint presentatie”

Maar in tegenstelling tot wat je nu ongetwijfeld denkt, is dit geen lek, en is Prezi hier niet de boosdoener. In de voorwaarden van Prezi staat duidelijk vermeld dat de gratis versie, die standaard publiek staat, door iedereen ingezien kan en mag worden, waaronder zoekmachines en derden:

“If you have a Prezi Public (free) account, all of the content you create, including all of the information within your presentations, and your user name will be available to anyone who has access to the internet (“Public User Content”). Public presentations can be viewed by other Prezi users, will appear in the searchable Prezi database, and will be available for others to access and view online. Accordingly, you hereby do and shall grant to each User and to the public a worldwide, non-exclusive, revocable license to access, view and publicly perform your Public User Content. This license ends when you delete the presentation or your account is closed (either by you or by us), except to the extent that the content has been shared with others and they have not deleted it.”

In april van 2018 had Prezi al meer dan 100 miljoen gebruikers, die bij elkaar al meer dan 325 miljoen openbare presentaties hadden gemaakt. De hoeveelheid gevoelige informatie die daar onbedoeld publiek mee is gemaakt, is niet voor mogelijk te houden en zelfs voor mij, met mijn achtergrond in IT security, schrikbarend te noemen.

De mogelijke gevolgen

Om maar even een open deur in te trappen: je plannen voor het komende jaar online zetten zodat het inzichtelijk is voor al je concurrenten is geen goed idee. Maar ook cijfers, zoals je jaarcijfers, concurrentieonderzoeken, budgetverdelingen en omzet- en winstmarges wil je niet zomaar aan iedereen kunnen uitdelen. Met salarisoverzichten, met of zonder bijbehorende foto en bonusstructuur, heeft een hacker al een mooi startpunt voor een social engineering aanval, maar vergeet ook gewone phishing aanvallen niet. En wat te denken van CEO fraude? Administratieve cijfers bieden daar ook de mogelijkheid toe. Vaak staan de presentaties gewoon op naam van een medewerker of stagiair, waardoor hackers ook meteen een ingang hebben om verder te zoeken bij een bedrijf.

Maar daarnaast telt het zelf online zetten van deze gegevens ook gewoon als datalek, die gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Aan het lekken van gegevens kan tegenwoordig een flinke boete kleven.

Blijf op de hoogte

Het beste advies wat ik kan geven is: lees je in. Zeker bij software die gratis in de cloud, of in een gratis proefvorm wordt aangeboden, is het belangrijk om te weten wat er gedaan wordt met je gegevens en de producten die jij maakt met die gratis software. Lees daarom altijd de algemene voorwaarden goed door. Zijn de algemene voorwaarden niet duidelijk genoeg, overweeg dan om een alternatief te gebruiken.

Zorg er daarnaast voor dat je bedrijf gebruik maakt van een duidelijk, sterk beleid met betrekking tot het publiceren van gegevens. Hierin kun je bijvoorbeeld opnemen dat er alleen gebruik gemaakt mag worden van cloud applicaties die goede, sterke privacy settings hebben. Voorkom daarmee ook dat er buiten de IT afdeling om applicaties worden geïnstalleerd of gebruikt worden in de cloud. Leg alle gebruik van software per afdeling vast in een duidelijk dossier om niet voor onaangename verrassingen komen te staan.

Zelfs als de keuze gevallen is op een applicatie met sterke settings en duidelijke rechten, is het alsnog verstandig om verder te kijken. Waar wordt data opgeslagen? Gebruikt het bedrijf een server in de EU, of slaan ze hun data alleen op in de VS? Hoe gaan ze om met het verwerken en verzenden van die data?

Het gebruiken van handige cloud-based software is voor heel veel bedrijven een uitkomst, maar vereist nog steeds inzicht en kennis om het echt veilig te kunnen gebruiken. Zorg er dus voor dat jouw data echt jouw data blijft.


Meer weten over data beveiling? Bekijk welke oplossingen wij kunnen bieden op onze website .


Deel artikel via: