Spreadsheets staan centraal in dagelijkse zakelijke beslissingen en bevatten financiële gegevens, klantendossiers, HR-informatie en strategische plannen. Nieuw onderzoek van Proton toont aan dat deze centrale rol spreadsheets tot een verborgen veiligheids- en privacyaansprakelijkheid maakt.

De resultaten wijzen op een verscheidenheid aan risico’s die drukke werknemers en managers gemakkelijk over het hoofd kunnen zien:

  • Toegang tot spreadsheets verloopt niet wanneer functies veranderen en bedrijven bekennen dat ze de toegang tot oude documenten niet herzien, waardoor gevoelige gegevens voor onbepaalde tijd blootgesteld blijven.
  • Managers zeggen dat ze beperkte duidelijkheid hebben over wat Big Tech-aanbieders zoals Google en Microsoft kunnen zien of hergebruiken voor AI-training en andere doeleinden. Zonder end-to-end versleuteling kunnen de gegevens worden geïndexeerd, gescand en gelekt.
  • Werknemers gebruiken persoonlijke accounts om werkbestanden te beheren, waardoor digitale grenzen vervagen en het vrijwel onmogelijk wordt om een netwerkfirewall te handhaven en bedrijfsgegevens te beheren.

We ondervroegen MKB-leiders in de VS, het VK, Duitsland en Frankrijk over hoe ze hun spreadsheets gebruiken — en beschermen. Het waren allemaal kleine bedrijven (met minder dan 100 werknemers), waardoor ze uniek risico lopen op hacking- en ransomware-aanvallen.

De resultaten wijzen op een kritieke behoefte aan versleutelde spreadsheets en betere interne beveiligingspraktijken. We presenteren onze aanbevelingen onderaan dit artikel.

Van tijdelijke tools naar permanente archieven

Grafiek die MKB-respondenten in Frankrijk, Duitsland, de VS en het VK toont die nog steeds toegang hebben tot oude spreadsheets van eerdere banen of projecten

Een van de meest opvallende bevindingen in het onderzoek is hoe vaak toegang tot spreadsheets blijft bestaan nadat functies en projecten zijn beëindigd. Voormalige werknemers blijven zicht houden op bestanden lang nadat dit zou moeten, wat bedrijven blootstelt aan nalevingsfouten, contractuele schendingen en verlies van klantvertrouwen.

Afbeelding met tekst die zegt dat 61 % van de Amerikaanse respondenten zegt spreadsheets te hebben geopend van een vorige baan, project of team.

De aard van welke bestanden open blijven, varieert per land. Het VK rapporteert de hoogste niveaus van zichtbare HR-gegevens, terwijl Frankrijk de hoogste incidentie van blootstelling van klantgegevens toont.

Deze aanhoudende toegang staat bekend als spooktoegang: bestanden met gevoelige bedrijfsgegevens blijven open, koppelingen blijven werken en open machtigingen blijven op de achtergrond bestaan. De blootgestelde gegevens zijn niet triviaal. Respondenten melden voortdurende toegang tot lopende salaris- en loonlijstinformatie, interne budgetten, klantendossiers en strategische planningsdocumenten.

Toen werd gevraagd tot welke soorten gegevens ze nog toegang hadden, meldden respondenten het volgende:

VS:

  • Financiële of loonlijstdocumenten (44 %)
  • Verkoop- of aankooprecords (41 %)

Dit type toegang stelt persoonlijke gegevens van werknemers en commercieel gevoelige transacties bloot, waardoor het risico op privacyschendingen en financieel misbruik toeneemt.

VK:

  • Financiële of loonlijstdocumenten (31 %)
  • Klantinformatie (31 %)

Voortdurende toegang tot loonlijst- en klantendossiers leidt tot directe zorgen over de naleving van de AVG, met name wat betreft wettige toegang en doelbeperking.

Duitsland:

  • Financiële of loonlijstdocumenten (30 %)
  • Interne bedrijfsplannen of strategiebestanden (26 %)

Naast blootstelling van persoonlijke gegevens kan toegang tot interne plannen de concurrentiepositie beïnvloeden en vertrouwelijkheidsverplichtingen schenden.

Frankrijk:

  • Financiële of loonlijstdocumenten (31 %)
  • Klantinformatie (31 %)

De combinatie van loonlijst- en klantgegevens creëert zowel blootstelling aan regelgeving als reputatierisico als informatie wordt gedeeld buiten geautoriseerde functies.

Grafiek die toont hoe het MKB in Frankrijk, Duitsland, de VS en het VK spreadsheets gebruikt voor klantgegevens, financiële rapportage en projectbeheer

Waarom spooktoegang blijft bestaan

Spooktoegang is een bijproduct van hoe teams samenwerken. In alle markten zei 26-28 % van de respondenten dat ze spreadsheets delen met “iedereen met de koppeling kan bekijken”. Nog eens 7-15 % gebruikt “iedereen met de koppeling kan bewerken”.

Grafiek die toont dat veel MKB-bedrijven koppelingsmachtigingen instellen als iedereen met de koppeling kan bekijken of, minder vaak, iedereen met de koppeling kan bewerken.

Zodra een koppeling bestaat, raakt deze losgekoppeld van identiteit. Als deze niet is gekoppeld aan de arbeidsstatus, functiewijzigingen of accountverwijdering, kan deze voor onbepaalde tijd worden doorgestuurd, gekopieerd, als bladwijzer worden opgeslagen en opnieuw worden geopend. Een spreadsheet is slechts zo veilig als de laatste persoon die de koppeling heeft ontvangen.

Toegangsbeoordelingen compenseren dit zelden. Slechts 30 % van de Franse respondenten zegt dat hun team regelmatig de toegang tot spreadsheets beoordeelt, en dit cijfer is geen uitzondering in alle landen. Zodra toegang tot een document is verleend, zijn beoordelingen van medewerkers inconsistent, hoewel delen voortdurend gebeurt als onderdeel van het dagelijkse werk.

Na verloop van tijd stapelen deze eenmalige beslissingen om te delen zich op. De snelste en meest vertrouwde manier om samen te werken wordt de standaard, terwijl toegangsbeoordelingen onregelmatig blijven en eigendom vaak onduidelijk is. Als gevolg hiervan hebben spreadsheets de neiging om machtigingen te behouden lang nadat projecten, functies of teams zijn veranderd.

Het verminderen van risico’s op lange termijn vereist controles die gedurende de hele levenscyclus van een spreadsheet werken, niet alleen op het moment dat deze wordt gedeeld. Spooktoegang blijft bestaan, zelfs in organisaties met goede bedoelingen, omdat bescherming regelmatige handmatige beoordelingen en perfecte overdrachten vereist.

De kloof bij uitdiensttreding

Toen werd gevraagd wat er gebeurt met toegang tot spreadsheets nadat iemand een baan verlaat of een project afrondt, zei slechts 33–44 % van de respondenten dat ze geloofden dat toegang handmatig werd opgeschoond door hun werkgevers. Tussen 12–28 % geloofde dat er helemaal niets gebeurde. Nog eens 14–26 % gaf toe dat ze het simpelweg niet wisten.

Die onzekerheid doet ertoe. Waar verantwoordelijkheid onduidelijk is, heeft toegang de neiging om standaard te blijven bestaan. Bestanden verdwijnen niet vanzelf; iemand moet zich herinneren dat ze bestaan en actie ondernemen. Dit is niet noodzakelijkerwijs een gebrek aan intentie, maar eerder een falen van systemen die afhankelijk zijn van het menselijk geheugen.

Het is ook belangrijk om onderscheid te maken tussen twee gerelateerde maar afzonderlijke verstoringen: uitdiensttreding, wat een moment in de tijd is, en doorlopende toegangsbeoordeling, wat een continue verantwoordelijkheid is.

Onze gegevens tonen aan dat beide falen.

  • 38 % van de Amerikaanse MKB-bedrijven gelooft dat toegang automatisch wordt verwijderd
  • 44 % van de Duitse en Britse MKB-bedrijven denkt dat toegang handmatig wordt verwijderd

Vervaging van werk- en persoonlijke accounts

Grafiek die het percentage MKB-respondenten in de VS en het VK toont die melden werkspreadsheets te openen in persoonlijke accounts en vice versa.

Een andere belangrijke reden voor spooktoegang is accountvervaging — het gebruik van hetzelfde account voor persoonlijke en werkactiviteiten — wat een alomtegenwoordige blinde vlek voor beveiliging creëert. In de VS en het VK geeft meer dan 45 % van de MKB-werknemers toe werkspreadsheets in persoonlijke accounts te openen, of persoonlijke spreadsheets in werkaccounts.

Wanneer grenzen op deze manier vervagen, worden spreadsheets niet langer beperkt door de beveiligingskaders die een bedrijf hanteert. Toegang raakt losgekoppeld van functies, projecten en arbeidsstatus, waardoor het moeilijk te volgen, te beoordelen of in te trekken is.

Big tech, AI en toegang voor providers

Zelfs perfecte procedures voor uitdiensttreding en toegangsbeoordeling kunnen de toegang op providerniveau of secundair gegevensgebruik niet aanpakken. Veel MKB-bedrijven zijn steeds onzekerder over wat er achter de schermen met hun gegevens gebeurt, vooral wanneer die gegevens gevoelige financiële, klant- en HR-informatie bevatten.

MKB-bedrijven zeiden dat ze geloven dat spreadsheets op Big Tech-platforms worden gebruikt voor AI-training, advertentietargeting en het scannen van inhoud.

AI-training (40–50 %)
Bijna de helft van de respondenten gelooft dat spreadsheetgegevens kunnen worden gebruikt om AI-systemen te trainen.

Advertentietargeting (35–45 %)

Een aanzienlijk deel van de respondenten gelooft dat de inhoud van hun spreadsheets advertenties of profilering kan beïnvloeden.

Scannen van inhoud (30–40 %)
Veel gebruikers verwachten dat spreadsheetbestanden automatisch worden gescand op gevoelige of verboden inhoud.

De zorgen weerspiegelen hoe Big Tech-cloudopslagplatforms zijn ontworpen. Hoewel tools zoals Google Drive en OneDrive gegevens versleutelen tijdens overdracht en in rust, behouden ze toegang tot de inhoud van bestanden om indexering, zoekfuncties, samenwerkingsfuncties en AI-aangedreven tools mogelijk te maken. End-to-end versleutelde spreadsheets zijn de beste manier om dit soort toegang te voorkomen.

Ondanks dit blijven bedrijven deze platforms gebruiken voor kritieke workflows, waarbij financiële, klant- en operationele gegevens in systemen worden geplaatst die worden beheerd door derden met een slechte staat van dienst op het gebied van privacy.

Wanneer Big Tech-aanbieders dit toegangsniveau behouden, kunnen bestanden automatisch worden gescand, geïndexeerd en verwerkt, zonder enige menselijke interactie. In dit model is blootstelling niet alleen beperkt tot wie de koppeling heeft, maar ook tot de beveiliging van het platform dat de gegevens host.

Privacy en blijvende beveiliging met Proton Sheets

Voor veel MKB-bedrijven functioneren spreadsheets als integrale operationele systemen. Ze bevatten financiële gegevens, klantinformatie en HR-dossiers die risico’s met zich meebrengen op het gebied van regelgeving, reputatie en commercie.

Om gegevens veilig te houden, blijven sterke toegangsbeleidsregels, geautomatiseerde uitdiensttreding en duidelijke accountgrenzen essentieel. U moet minimaal:

  • Toegang beperken op basis van functie
  • Gedeelde bestanden regelmatig beoordelen
  • Toegang onmiddellijk verwijderen wanneer iemand vertrekt
  • Het gebruik van openbare koppelingen voor gevoelige gegevens vermijden

Maar governance alleen kan zichtbaarheid op providerniveau of secundair gegevensgebruik niet elimineren zolang platforms de encryptiesleutels in handen hebben.

Proton Sheets is gebouwd om dit structurele risico aan te pakken:

  • Zero-knowledge versleuteling: De provider kan de informatie niet lezen, verwerken of hergebruiken, zelfs niet als deze op hun servers is opgeslagen.
  • Door de gebruiker beheerde encryptiesleutels: Alleen geautoriseerde medewerkers hebben toegang tot de inhoud van de spreadsheet.
  • Veilige samenwerking: Teams kunnen in realtime samenwerken terwijl ze duidelijke controle behouden over wie een spreadsheet kan bekijken of bewerken.
  • Vertrouwde tools, sterkere bescherming: Ondersteunt gangbare spreadsheetindelingen en functies, waaronder formules, grafieken en import uit bestaande bestanden.

In praktische zin maakt Proton Sheets collaboratieve spreadsheets zo veilig mogelijk op platformniveau, terwijl het nog steeds realtime teamwerk en vertrouwde workflows ondersteunt. Gecombineerd met verantwoorde praktijken voor delen, vermindert dit de blootstelling op lange termijn voor gegevens die vaak veel langer meegaan dan teams verwachten.

Ontdek Proton Sheets