Smartphone met chat app Slack logo

Hoe veilig is Slack?

Laatst bijgewerkt: 21 maart 2019
Leestijd: 8 minuten, 16 seconden

Slack LogoSlack is een geweldige communicatietool die groepen mensen in staat stelt sneller en efficiënter informatie te delen. Dit geldt zowel voor sportteams en gamer guilds als werkteams en afdelingen van organisaties. Over het algemeen gebruiken veel mensen Slack om gevoelige informatie van zowel individuen als bedrijven uit te wisselen. Anderen gebruiken het programma om privégesprekken te voeren. Het is dus erg belangrijk dat de informatie die binnen Slack gedeeld wordt, niet zomaar op straat komt te liggen. Maar hoe veilig is Slack nu eigenlijk? Hoe gaat het programma om met jouw informatie? Wij zochten het voor je uit. Wacht dus vooral nog even voor je je volgende Slack-bericht verstuurt.


Het privacyvraagstuk

De laatste tijd is (online) privacy langzaamaan een steeds populairder onderwerp geworden. De komst van de AVG heeft een deel van de zorgen van mensen al gesust, maar toch is er nog veel te doen omtrent privacyproblemen. Van het laatste Facebook schandaal met Cambridge Analytica en privéfoto’s die hackers uit de cloud trokken tot het illegaal plaatsen van cookies door politieke partijen: privacy is een hot topic.

Wanneer je online systemen en diensten gebruikt, moet je je dan ook afvragen wat er precies met jouw data gebeurt. Dit is natuurlijk nóg belangrijker als je regelmatig gevoelige bedrijfsgegevens deelt of online persoonsgegevens verwerkt. Concurrenten zouden flink misbruik van deze informatie kunnen maken. Bovendien zouden je klanten je als onbetrouwbaar kunnen zien als deze gegevens uitlekken. Of je Slack nu gebruikt om bedrijfsstrategieën te bespreken of informatie uit te wisselen over klanten en projecten, je wilt niet dat deze informatie naar buiten komt. De vraag is dan ook of Slack een goed medium is om informatie binnen een bedrijf mee uit te wisselen.


Slack en de overheid

Met de ingang van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ookwel de ‘aftapwet’ of ‘sleepwet’ genoemd, is de vraag in hoeverre alle gegevens die jij met Slack deelt ook door de overheid ingezien kunnen worden.

In de privacyverklaring van Slack staat dat ze alléén data met overheidsinstanties delen als daar een wettelijke grondslag voor is. Informatie die via Slack wordt verstuurd is automatisch versleuteld. Dit betekent dat de Nederlandse overheid niet zomaar achter deze informatie kan komen door het binnen te “slepen”. Dat klinkt positief, maar geeft geen volledige veiligheid. Immers kan de overheid Slack altijd dwingen bepaalde informatie af te staan. Als een concurrent je aanklaagt, is dat dan al voldoende reden om data vrij te geven op basis van een wettelijke grondslag?

In sommige gevallen is dat in Nederland inderdaad zo. Om dit concreter te maken, volgen hier wat cijfers uit Slack’s eigen transparantierapport. Tussen 1 november 2017 en 30 april 2018 ontving Slack in totaal veertien verzoeken tot informatie vanuit overheidsinstanties. Vier van deze verzoeken resulteerden niet in inzage van informatie; zes leverde alleen niet-inhoudelijke data op; en bij de laatste vier werden niet-inhoudelijke én inhoudelijke gegevens vrijgegeven. Bij inhoudelijke gegevens moet je denken aan openbare en privéberichten, directe berichten en bestanden die gedeeld zijn binnen Slack-teams.

Er worden dus af en toe privéberichten beschikbaar gesteld aan overheden. Gezien de vele gebruikers die Slack op dit moment heeft en het kleine aantal verzoeken dat is gedaan, valt het risico dat de overheid specifiek jouw gegevens opvraagt wel mee. Het is echter wel zo dat, door de groeiende populariteit van Slack, het aantal verzoeken ook zal toenemen. Houd er als Slack-gebruiker dus altijd rekening mee dat de overheid mogelijk toegang zou kunnen krijgen tot alle berichten die jij binnen Slack verstuurt.


Hoe veilig is Slack met betrekking tot hackers?

Hacker met laptopDoor de toenemende populariteit van Slack is het ook een aantrekkelijk doelwit voor hackers geworden. In 2014 kregen gebruikers door middel van een hack toegang tot Slack-kanalen waar ze geen bevoegdheid voor hadden. Dit waren kanalen van een specifiek bedrijf. In 2015 vond er nog een hack plaats die Slack zelf omschrijft als een ‘inbreuk op de beveiliging’.

Slack heeft een actief anti-hackbeleid om zulke hacks te voorkomen. Onderdeel hiervan is een beloning voor het vinden en melden van kwetsbaarheden in het programma. In de loop der jaren heeft dit beleid al verschillende kwetsbaarheden aangetoond. Slack kon deze kwetsbaarheden vervolgens snel herstellen vóór hier misbruik van gemaakt kon worden.

Het grote risico zit ‘m echter niet in een mogelijke hack bij Slack. Het komt vaker voor dat bedrijven worden misleid en vervolgens onbedoeld toegang tot de Slack-kanalen verlenen aan mensen die dat eigenlijk niet zouden moeten hebben. Het team zelf vormt dus de grootste kwetsbaarheid. Als niet iedereen binnen een bedrijf op de hoogte is van de juiste cybersecurity protocollen, geeft dit meer geavanceerde gebruikers de kans om toegang te krijgen tot de Slack-pagina van het bedrijf en de daarbij behorende Slack-kanalen. Om Slack optimaal te beveiligen tegen een hack is het belangrijk dat iedereen binnen jouw bedrijf die Slack gebruikt goed geïnformeerd is over cybersecurity. Stel ze op de hoogte van de maatregelen die nodig zijn om hacks en datalekken te voorkomen.


Slack en jouw eigen privacy

Als werknemer ben je wellicht minder bezorgd over bedrijfsinformatie, en maak je je meer zorgen over je persoonlijke data op Slack. Als je Slack in teamverband binnen jouw bedrijf gebruikt, is het zeer waarschijnlijk dat je leidinggevende (of misschien zelfs de grote baas) toegang heeft tot elk bericht dat je verzendt.

Kanalen versus directe berichten

Scherm met spraakballonnetjesSlack heeft twee verschillende manieren waarop je een gesprek kunt voeren: de kanalen en de directe berichten. De kanalen zijn toegankelijk voor iedereen die onderdeel is van de Slack-werkplek. Hierin kun je bijvoorbeeld ook berichten terugzoeken. Het delen van informatie die je liever niet aan het hele bedrijf verkondigt, kun je hier dus beter niet doen. Iedereen heeft immers toegang. De directe berichten bij Slack kunnen in principe alleen gezien worden door de mensen die in dat gesprek zitten. Deze gesprekken kunnen één op één zijn of in groepen van maximaal negen teamleden. Alléén deze mensen hebben dus toegang tot de berichten binnen deze chats – zou je denken. Dat blijkt dus niet helemaal waar.

Als je bedrijf werkt met de betaalde versie van Slack (bijvoorbeeld Slack Plus of het Enterprise Grid plan), kan je baas rapporten opvragen van alle berichten die binnen het bedrijf op Slack zijn gestuurd. Dit geldt dus ook voor al je privégesprekken met collega’s. Veel bedrijven die vanwege juridische of zakelijke redenen transparant moeten zijn, gebruiken deze rapporten om het bedrijf in te dekken. Als het bedrijf vermoedt dat iemand zich niet aan het beleid van het bedrijf houdt, kan een beheerder eenvoudig een rapport maken van alle berichten die die persoon heeft gestuurd. Hoewel alle medewerkers vroeger altijd een notificatie van Slack kregen zodra hun baas een compliancerapport aanvroeg, is dat nu niet langer het geval. Gelukkig is er een manier om te checken of jouw baas gegevens heeft opgevraagd.

Hoe weet ik of mijn baas mijn privéberichten in kan zien?

Om te controleren welke gegevens de admin van een Slack-werkplek kan inzien, ga je naar de accountinstellingen van jouw netwerk. Dit doe je door naar jouwwerkplaatsnaam.slack.com/account/teams te gaan. Klik hier op de derde tab genaamd Retention & Exports. Hier kun je zien hoe lang de berichtengeschiedenis op Slack wordt bewaard. In principe is dit gedurende de hele tijd dat de werkplek van jouw bedrijf bestaat. Onderaan staat tot welke data jouw admins toegang hebben. Er zijn hier twee opties:

  • Public data can be exported: Dit betekent dat jouw baas alléén toegang heeft tot de publieke data van de openbare kanalen op Slack. Als jouw bedrijf de gratis versie van Slack gebruikt, is dit het geval en hoef je dus niet te vrezen dat anderen je privéberichten kunnen lezen.
  • Public and private data can be exported: Dit betekent dat jouw baas wél toegang heeft tot jouw privéberichten. Ze kunnen een rapport downloaden van alle data die op alle kanalen en directe chats is uitgewisseld.

Het is niet helemaal duidelijk of deze rapporten gaan over álle communicatie die vanaf het begin van de Slack-werkplek heeft plaatsgevonden. Als dit het geval is, zou je baas altijd kunnen besluiten je berichten in te zien door over te schakelen naar een betaalde versie van Slack en rapporten te downloaden. Om dit tegen te gaan, kun je in de betaalde versie van Slack aanpassen hoe lang je berichten bewaard blijven. Als je deze optie op 24 uur zet, wist Slack automatisch elke dag alle DM’s in dat gesprek, waardoor je baas ze ook niet langer in kan zien.


Wat kun jij doen om Slack veilig te houden?

Je kunt je Slack-data op verschillende manieren beveiligen, of je de info nu verborgen wilt houden voor een hacker, de overheid of je baas. Het beste is natuurlijk om extreem gevoelige informatie helemaal niet op Slack te zetten. Deel op Slack dus nooit bedrijfsgeheimen of gevoelige privé-informatie waarvan je écht niet wilt dat het openbaar wordt.

Wanneer je Slack toch gebruikt, is het belangrijk dat iedereen binnen de verschillende kanalen op de hoogte is van de cybersecurity-protocollen van het bedrijf. Gebruik lange en het liefst gegenereerde wachtwoorden die om de zoveel maanden worden aangepast. Zorg er daarnaast voor dat er meerdere malen per jaar een beveiligingsaudit wordt gedaan. Zo wordt de veiligheid van alle systemen gewaarborgd. Houd er ook rekening mee dat de overheid een aanvraag naar jullie gegevens zou kunnen doen. Die kans is erg klein, maar wel aanwezig.

Om jezelf als werknemer te beveiligen tegen een controle van je baas kun checken of de admin binnen Slack toegang heeft tot jouw privéchats. Zelfs als dit niet zo is, is er echter altijd de mogelijkheid dat iemand op je scherm meeleest of dat je gevoelige informatie per ongeluk naar de verkeerde persoon stuurt. Een goede vuistregel is om altijd aan te nemen dat alles wat je opschrijft mogelijk openbaar wordt. Bewaar de grapjes over je leidinggevende en andere privégesprekken dus voor bij de borrel na het werk.

Hoofdauteur:

Meer artikelen uit het ‘Zakelijk’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past