Tag Archive for: AVG
Mei maand is veiligheidsmaand | 1 jaar AVG
Mei maand is veiligheidsmaand: 1 jaar AVG
In het kader van één jaar Algemene Verordering Gegevensbescherming (AVG) dopen wij de maand mei om tot veiligheidsmaand. Per 25 mei 2018 is de AVG-wet actief en had hierbij een grote impact op veel organisaties en bedrijven. En vandaag de dag voldoen nog steeds niet alle organisaties aan de wet; onder andere de belastingdienst.
De AVG: Wat is het ook alweer?
De AVG of GDPR (General Data Protection Regulation) zette Nederland vorig jaar op zijn kop. Met ingang van deze wet heeft de Europese Unie één privacywet en geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. In een notendop zijn onze privacyrechten versterkt en worden organisaties meer in de gaten gehouden op het juist verwerken van persoonsgegevens. Dit houdt in dat ze niet over persoonsgegevens mogen beschikken die niet noodzakelijk zijn. Wanneer u bijvoorbeeld een pakket verstuurt is het adres noodzakelijk voor de pakketbezorger maar wat uw geboortedatum of burgerlijke staat is niet.
Ook is bepaald dat alle standaard-instellingen privacy-vriendelijk moeten zijn. Een voorbeeld hiervan zijn de commerciële nieuwsbrieven. Deze mogen niet zomaar gestuurd worden, tenzij er toestemming voor is gegeven door de ontvanger. Ook voor cookies op een website moet toestemming gegeven worden door de websitebezoeker. Een andere eis voor alle websites die persoonsgegevens verwerken, is het SSL-certificaat. Deze zorgt voor een veilige verbinding tussen de website en de bezoeker. Een website met SSL-certificaat is te herkennen aan de “https” in plaats van “http” en het slotje in de adresbalk. Bij websites die niet over dergelijk certificaat beschikken komt er dan vaak de melding “onveilig” in de adresbalk te staan.
Dutchtrain biedt trainingen aan op het gebied van de AVG. In de training Certified Information Privacy Professional Europe houdt u zich bezig met Pan-Europese en nationale gegevensbeschermingswetten, de belangrijkste gegevensbeschermingsterminologie en praktische concepten voor de bescherming van persoonsgegevens en grensoverschrijdende gegevensstromen.
Daarnaast zijn een aantal bedrijven verplicht om een Data Protection Officer (DPO) aan te stellen. Om te bepalen welke organisaties verplicht zijn een DPO te hebben heeft de AVG hiervoor speciale richtlijnen opgesteld. Als u uw CIPP/E-certificering uitbreidt met CIPM, bent u in een unieke positie om aan de DPO-eisen in de AVG te voldoen. De CIPP/E draait om de kennis die een DPO moet hebben over het Europese juridische kader van de wetgeving, en de CIPM bestaat uit de theoretische aspecten die nodig zijn om het gegevensbeschermingsbeleid van een organisatie vorm te geven.
Mei 2019
Cyberaanvallen: houd ze buiten uw poorten
Cyberaanvallen: houd ze buiten uw poorten
Je leest er de laatste tijd veel over: cyberaanvallen. Het lijkt alsof onze netwerken van alle kanten worden aangevallen. Niet alleen grote organisaties die gevoelige persoonlijke informatie beheren zijn potentiële slachtoffers, maar ook kleinere organisaties zijn de dupe. Één kwetsbare website is al voldoende om een compleet systeem te infiltreren. Ook via email spoofing of phishing proberen hackers netwerken binnen te dringen.
Internetveiligheid is voor veel organisaties een steeds complexere zaak geworden door de toegenomen digitalisering. We registreren ons tegenwoordig overal online. Gevoelige persoonlijke gegevens worden digitaal verwerkt door ziekenhuizen, banken of gemeente instellingen.
Grote organisaties die meerdere online diensten aanbieden kunnen extra kwetsbaar zijn. Als er meerdere websites op dezelfde server zijn aangesloten hebben hackers genoeg aan een zwakke website om zich toegang te verschaffen tot die server. Op die manier kunnen hackers bij gevoelige persoonlijke gegevens komen die in eerste instantie wel beveiligd waren.
Verouderde software
Websites dienen als buitenmuren van de digitale verdediging van een organisatie. Wanneer website draaien op verouderde software is het voor een hacker gemakkelijk om het systeem binnen te dringen. Als er alleen informatie op een dergelijke website staat, is dit nog niet zo’n probleem. Maar op steeds meer websites wordt gevraagd persoonlijke informatie achter te laten. Daarom is verouderde software een grote kwetsbaarheid.
Hackers breken ook in via e-mail spoofing of phishing. E-mails met een vervalste afzender worden naar mensen binnen een organisatie verstuurd om hen over te halen tot een bepaalde actie. Bioscoopbedrijf Pathé werd hiervan bijvoorbeeld de dupe. Lokale directeuren maakten miljoenen over in opdracht van hun CEO, dachten zij. Dit soort mailtjes zijn tegenwoordig bijna niet meer van echt te onderscheiden. Valse e-mails worden ook gebruikt bij identiteitsfraude. Criminelen combineren diverse datalekken om profielen van slachtoffers te bouwen. Die vervalste online-identiteiten gebruiken zij om dure spullen te kopen of toeslagen aan te vragen.
Organisaties kunnen technische maatregelen nemen om zich te beveiligen tegen e-mail spoofing. Beveilig bijvoorbeeld je homepage tegen nepmails. Wanneer een organisatie meerdere website heeft, is de kwetsbaarheid groter. Website die niet meer gebruikt worden, omdat zij bijvoorbeeld voor oude projecten gebruikt werden, kunnen voor de veiligheid beter afgestoten worden.
In 2018 zijn er 21.000 datalekken gemeld bij de Autoriteit Persoonsgegevens. Een schrikbarend hoog aantal. En dan te bedenken dat niet alle datalekken gemeld worden. Wat is de status van de ICT infrastructuur van uw organisatie? Draaien de systemen op de nieuwste software? Is mailverkeer beschermd? Worden gevoelige persoonlijke gegevens gewaarborgd?
Een goede Security Officer houdt hackers en cyberaanvallen buiten de deur. Dutchtrain biedt diverse trainingen aan op het gebied van Cyber Security zoals Computer Hacking Forensic Investigator of Certified Network Defender. Houd hackers buiten de deur. Zorg voor goed opgeleide ICT professionals. Al onze Security trainingen vindt u hier: https://www.dutchtrain.nl/security
Bron: Elsevier Weekblad
Maart 2019
Stuurt u ook een datalek email?
Stuurt u ook een datalek email?
Iedereen gebruikt tegenwoordig email. In veel gevallen kan je zonder email niet eens meer een account aanmaken op veel websites, communiceren met collega’s of een agenda afspraak maken in outlook. Maar het gebruik van email bij overheidsinstanties en bedrijven zorgt voor veel datalekken.
Een tikfout is namelijk zo gemaakt in de adressering. En hierdoor komt het regelmatig voor dat privacygevoelige informatie zoals medische dossiers, identiteitspapieren of zelfs bedrijfsgeheimen niet terecht komt bij diegene voor wie de mail eigenlijk bestemd is. En dus misschien wel in de verkeerde handen.
De Cyberonderzoeksraad heeft onderzoek gedaan naar email en de gevoeligheid daarvan. Dit onderzoek bevestigt de cijfers van de Autoriteit Persoonsgegevens over het verkeerd toesturen van persoonsgegevens. Dit is het grootste probleem bij datalekken op dit moment. Namelijk zo’n 64% van alle datalekken heeft te maken met dat privacygevoelige informatie terecht komt bij de verkeerde ontvanger.
Daarnaast is de mailbox vaak een verzameling van tientallen e-mails. En deze e-mails gaan in veel gevallen jaren terug. Waardoor er door bijvoorbeeld een malware infectie, misbruik gemaakt kan worden van alle privacygevoelige informatie welke zich in de mailbox bevindt. Volgens de wet algemene Verordening Gegevensbescherming moeten alle persoonsgegevens verwijderd worden wanneer deze niet meer nodig zijn. Maar gebeurd dat ook daadwerkelijk met alle e-mails waar deze gegevens in staan of verdwijnen ze in de enorm grote mailbox tot we het vergeten?
In de uitkomst van het onderzoek blijkt dat er op dit moment niet goed wordt nagedacht over de mogelijke gevaren van het gebruik van email bij organisaties en overheidsinstanties. Dus reist dan ook de vraag op of email wel het juiste communicatiemiddel is met betrekking tot het uitwisselen van persoonsgegevens en andere privacygevoelige informatie. Tot op heden is hiervoor geen versleutelde verbinding vereist en kan er niet getraceerd worden of het bericht nog origineel is.
DutchTrain beschikt over een groot portfolio Security trainingen die ingaan op de databescherming van nu. Kijk voor meer informatie en trainingen op www.dutchtrain.nl
Februari 2019
Locatie Eindhoven
