NewDay feliciteert Otherside at Work met het behalen van onder andere de derde plaats bij het ICT werkgeversonderzoek van Computable bij de Privacy/AVG/GDPR. Wij zijn zeer trots en dankbaar dat wij daar ook een kleine bijdrage aan hebben mogen leveren. Klik voor het gehele Computable werkgeversonderzoek hier.
NewDay is blij dat we, zeker in deze corona tijden, weer een nieuwe klant mogen verwelkomen! De IT Support Groep is een IT dienstverlener die security en privacy hoog in het vaandel heeft staan. Al enige jaren weten zij dit tastbaar te maken door onder andere een ‘ISAE-3402 type II verklaring’ te behalen . Voor de komende periode mag NewDay samen met de IT Support Groep deze verklaring gaan afgeven.
Bij Otherside at Work verwerken klanten vertrouwelijke persoonsgegevens in de applicatie die zij hebben ontwikkeld. Dit maakt Otherside at Work voor de AVG een “verwerker”. Het is voor hen daarom belangrijk dat ze voldoende zekerheid kunnen geven aan hun klanten dat ze hun werk op een zorgvuldige manier doen.
Met een ISO27001 certificaat zijn zij in het bezit van een onafhankelijke verklaring van een derde partij. In onze rol als functionaris gegevensbescherming mochten wij uitleggen wat de ISO 27001 is en wat hier allemaal bij komt kijken.
Tot ons grote genoegen heeft Makkie voor NewDay gekozen bij de ondersteuning voor de DigiD-assessments.
Steeds meer organisaties worden geconfronteerd met security incidenten die ook nog eens een datalek kunnen worden. Sommige van deze datalekken worden calamiteiten. Hoe ga je daar nou mee om? Hoe weet je een beetje wat je kunt verwachten zonder dat je door schade en schande wijzer bent geworden? Een van de manieren om je hierop voor te bereiden is een datalek simulatie. Wij mochten samen met Otherside at Work een datalek simulatie uitvoeren. Heeft de simulatie nu de kracht om de werkelijkheid te benaderen waardoor er echt geleerd kan worden?
Waarom een datalek simulatie?
Het hebben van een procedure datalekken is inmiddels voor veel organisaties – gelukkig – niks bijzonders. Belangrijke vraag is dan natuurlijk nog wel of op het ‘moment suprême’ in de korte tijdspanne en druk, door alle mensen de mooie proce
dure niet over het hoofd wordt gezien. Het echte antwoord op deze vraag kan natuurlijk alleen maar worden gegeven na opgedane ervaring met de nodige ‘leermomenten’. Deze leermomenten betekenen in de praktijk simpelweg dat er een fout is gemaakt. Van fouten kan men leren, dus niets aan de hand. Maar fouten maken wanneer zich binnen een organisatie een (groot) datalek heeft voltrokken kan erg grote ongewenste consequenties hebben. Durft u het aan? Zorgvuldige voorbereiding van de security officer, privacy officer en allerlei andere professionals binnen uw organisatie. Vervolgens één ondoordacht moment, door één wat te impulsieve reactie kan het imago van de organisatie kan in één klap teniet worden gedaan.
Voor organisaties waarbij een datalek een reëel risico is kan het daarom verstandig zijn niet te wachten op een daadwerkelijk lek van de omvang ‘calamiteit’. Het is mogelijk de werkelijkheid te benaderen door het spelen van een spel. Een serieus spel. In een dergelijk spel worden de spelers uitgedaagd hun (functie)rol te nemen en kunnen ze met elkaar ervaren hoe zij zonder consequenties fouten maken om te leren. Zodat, wanneer het er echt op aan komt, wellicht al wat belangrijke leermomenten zijn doorstaan.
Wanneer heb je een goede datalek simulatie gehad?
Dit is natuurlijk helemaal afhankelijk van wat je hoopt of verwacht te leren. Maar persoonlijk denk ik dat een spel je enerzijds de ruimte geven om eigen keuzes te maken. Juist daar liggen vaak de leermomenten. Tegelijkertijd moet het spel ook wel voldoende kaders geven om te zorgen dat de spelers nog wel met elkaar naar iets toe aan het werken zijn. Tenslotte wil je natuurlijk ook weten of je procedure werkt en of mensen daar ook op een goede manier mee om kunnen gaan.
Onze ervaringen met onze eerste datalek simulatie
Samen met Otherside at Work hebben wij recent een datalek simulatie mogen uitvoeren. Het is vooral ook erg leuk om samen met elkaar zo’n simulatie te doen. In een andere dan gebruikelijke setting worden mensen in een stresssituatie gezet en wordt de druk steeds verder opgevoerd. Je kunt zien wat het gedrag is van mensen en je kunt dus ook zien of de volgtijdelijkheid van de stapjes en vragen is zoals van tevoren was beoogd. Soms is dat zo, soms ook niet. Het gebruik van acteurs die van buiten het spel onderdeel waren van het spel, hadden een belangrijke meerwaarde. Hiermee kwam de ervaren druk ook echt van ‘buiten’.
Ook Otherside at Work heeft aangegeven de datalek simulatie als zeer waardevol te hebben ervaren. De CEO van Otherside at Work plaatste zelfs een enthousiaste opmerking over de datalek simulatie op LinkedIn:
“Een datalek-simulatie gedaan met Alexander Klaassen en ons MT en journalisten van diverse media (wat gelukkig acteurs waren….). Enorm veel van geleerd met echte stress-ervaringen en ‘disruptieve’ momenten i.p.v. alleen maar papieren en technische draaiboeken en acties.
PS. Een aanrader voor alle organisaties die eens echt willen ervaren hoe zij omgaan met crisissituaties op het gebied van informatiebeveiliging!”
Een datalek simulatie traint een team dus om adequaat gebruik te maken van de zorgvuldig opgestelde procedures binnen een organisatie. Bent u ook nieuwsgierig naar een datalek simulatie en wilt u meer informatie? Het team van NewDay staat klaar om antwoord te geven op je vraag. 
Het belang van maatregelen voor de AVG is u vast niet ontgaan. In het tweede kwartaal van 2020 hebben de privacy toezichthouders al minstens 46 boetes uitgedeeld. Samen komen deze boetes op ongeveer 2.9 miljoen euro. De verdeling van deze boetes onder de lidstaten staat hieronder weergegeven met gele cijfers:
(IT-governance, 2020)
De meest voorkomende boetes zijn:
Meest voorkomende boetes
De boetes voor artikel 5, 6 en 32 zijn meer vertegenwoordigd dan die voor andere overtredingen. In andere kwartaalrapportages komen deze ook vaker voor. De verwerking en beveiliging van data zit verweven in de kern van de AVG. Daarnaast is het van groot belang dat je alleen persoonsgegevens verwerkt als je een wettelijke basis hebt om dit te doen. Met deze wettelijke basis heb je de eerste stap gemaakt. Bij deze twee grondbeginselen gaat het in de praktijk dus vaak mis.
NewDay en de AVG
In de visie van NewDay is het voor veel soorten organisaties verstandig om bewust of bewuster met het privacy-risico om te gaan. Dit blijkt ook uit boetes die binnen de EU binnen één kwartaal zijn vergaard door ondernemingen. Bewust omgaan met privacy risico’s is nodig om aan te kunnen tonen dat je zorgvuldig en adequaat de geregistreerde persoonsgegevens beschermt en behandeld. Op die manier ben je in controle van de privacy risico’s die grote gevolgen kunnen hebben voor je klanten of onderneming.
NewDay heeft reeds diverse mkb organisaties mogen bijstaan met het:
Organisaties die NewDay bijvoorbeeld al heeft mogen bijstaan zijn:
Heeft u vragen over uw AVG privacy risico’s? Lees dan verder op onze website of neem contact op met NewDay, wij staan u graag te woord.
Tot ons groot genoegen heeft Sentia voor NewDay IT Risk & Assurance Services gekozen bij de ondersteuning voor de DigiD-assessments.
Tot ons groot genoegen heeft ROC ter AA voor NewDay IT Risk & Assurance Services gekozen!
Switch IT Solutions heeft er voor gekozen zich bij de afgifte van de 3402-type I en II verklaring te laten bijstaan door NewDay.
Ons nieuwe kantoor heeft vandaag weer een ‘boost’ gekregen! Wij zijn heel blij met onze nieuwe akoestische elementen. Niet alleen is de geluidskwaliteit sterk verbeterd, maar ook hebben wij op deze manier op een coronabestendige wijze invulling kunnen geven aan onze branding! Met dank aan KUNSSST.NL
New Day IT Risk & Assurance Services
+31 6 15 94 61 42
info@newdayriskservices.nl
De Medewerkers van NewDay zijn aangesloten bij de NOREA (Nederlandse Orde van Register EDP-auditors), het IAPP (International Association of Privacy Professionals) en het NGFG (Nederlands Genootschap Functionarissen Gegevensbescherming).
