Deze blog items komen op de frontpage te staan.

Otherside at Work en hun ISO 27001 certificaat

Bij Otherside at Work verwerken klanten vertrouwelijke persoonsgegevens in de applicatie die zij hebben ontwikkeld. Dit maakt Otherside at Work voor de AVG een “verwerker”. Het is voor hen daarom belangrijk dat ze voldoende zekerheid kunnen geven aan hun klanten dat ze hun werk op een zorgvuldige manier doen.

Met een ISO27001 certificaat zijn zij in het bezit van een onafhankelijke verklaring van een derde partij. In onze rol als functionaris gegevensbescherming mochten wij uitleggen wat de ISO 27001 is en wat hier allemaal bij komt kijken.

Privacy New Day

Datalek simulatie

Steeds meer organisaties worden geconfronteerd met security incidenten die ook nog eens een datalek kunnen worden. Sommige van deze datalekken worden calamiteiten. Hoe ga je daar nou mee om? Hoe weet je een beetje wat je kunt verwachten zonder dat je door schade en schande wijzer bent geworden? Een van de manieren om je hierop voor te bereiden is een datalek simulatie. Wij mochten samen met Otherside at Work een datalek simulatie uitvoeren.  Heeft de simulatie nu de kracht om de werkelijkheid te benaderen waardoor er echt geleerd kan worden?

Waarom een datalek simulatie?

Het hebben van een procedure datalekken is inmiddels voor veel organisaties – gelukkig – niks bijzonders. Belangrijke vraag is dan natuurlijk nog wel of op het ‘moment suprême’ in de korte tijdspanne en druk, door alle mensen de mooie procePrivacy New Daydure niet over het hoofd wordt gezien.  Het echte antwoord op deze vraag kan natuurlijk alleen maar worden gegeven na opgedane ervaring met de nodige ‘leermomenten’. Deze leermomenten betekenen in de praktijk simpelweg dat er een fout is gemaakt. Van fouten kan men leren, dus niets aan de hand. Maar fouten maken wanneer zich binnen een organisatie een (groot) datalek heeft voltrokken kan erg grote ongewenste consequenties hebben. Durft u het aan? Zorgvuldige voorbereiding van de security officer, privacy officer en allerlei andere professionals binnen uw organisatie. Vervolgens één ondoordacht moment, door één wat te impulsieve reactie kan het imago van de organisatie kan in één klap teniet worden gedaan.

Voor organisaties waarbij een datalek een reëel risico is kan het daarom verstandig zijn niet te wachten op een daadwerkelijk lek van de omvang ‘calamiteit’. Het is mogelijk de werkelijkheid te benaderen door het spelen van een spel. Een serieus spel. In een dergelijk spel worden de spelers uitgedaagd hun (functie)rol te nemen en kunnen ze met elkaar ervaren hoe zij zonder consequenties fouten maken om te leren. Zodat, wanneer het er echt op aan komt, wellicht al wat belangrijke leermomenten zijn doorstaan.

Wanneer heb je een goede datalek simulatie gehad?

Dit is natuurlijk helemaal afhankelijk van wat je hoopt of verwacht te leren. Maar persoonlijk denk ik dat een spel je enerzijds de ruimte geven om eigen keuzes te maken. Juist daar liggen vaak de leermomenten. Tegelijkertijd moet het spel ook wel voldoende kaders geven om te zorgen dat de spelers nog wel met elkaar naar iets toe aan het werken zijn. Tenslotte wil je natuurlijk ook weten of je procedure werkt en of mensen daar ook op een goede manier mee om kunnen gaan.

Onze ervaringen met onze eerste datalek simulatie

Samen met Otherside at Work hebben wij recent een datalek simulatie mogen uitvoeren. Het is vooral ook erg leuk om samen met elkaar zo’n simulatie te doen. In een andere dan gebruikelijke setting worden mensen in een stresssituatie gezet en wordt de druk steeds verder opgevoerd. Je kunt zien wat het gedrag is van mensen en je kunt dus ook zien of de volgtijdelijkheid van de stapjes en vragen is zoals van tevoren was beoogd. Soms is dat zo, soms ook niet. Het gebruik van acteurs die van buiten het spel onderdeel waren van het spel, hadden een belangrijke meerwaarde. Hiermee kwam de ervaren druk ook echt van ‘buiten’.

Ook Otherside at Work heeft aangegeven de datalek simulatie als zeer waardevol te hebben ervaren. De CEO van Otherside at Work plaatste zelfs een enthousiaste opmerking over de datalek simulatie op LinkedIn:

“Een datalek-simulatie gedaan met Alexander Klaassen en ons MT en journalisten van diverse media (wat gelukkig acteurs waren….). Enorm veel van geleerd met echte stress-ervaringen en ‘disruptieve’ momenten i.p.v. alleen maar papieren en technische draaiboeken en acties.
PS. Een aanrader voor alle organisaties die eens echt willen ervaren hoe zij omgaan met crisissituaties op het gebied van informatiebeveiliging!”

Een datalek simulatie traint een team dus om adequaat gebruik te maken van de zorgvuldig opgestelde procedures binnen een organisatie. Bent u ook nieuwsgierig naar een datalek simulatie en wilt u meer informatie? Het team van NewDay staat klaar om antwoord te geven op je vraag. 

Privacy New Day

AVG boetes Q2 2020

Het belang van maatregelen voor de AVG is u vast niet ontgaan. In het tweede kwartaal van 2020 hebben de privacy toezichthouders al minstens 46 boetes uitgedeeld. Samen komen deze boetes op ongeveer 2.9 miljoen euro. De verdeling van deze boetes onder de lidstaten staat hieronder weergegeven met gele cijfers:

 

(IT-governance, 2020)

De meest voorkomende boetes zijn:

  • 20 boetes voor artikel 5 – Beginselen inzake verwerking van persoonsgegevens
  • 23 boetes voor artikel 6 – Rechtmatigheid van verwerking
  • 9 boetes voor artikel 32 – Beveiliging van verwerking
  • 5 boetes voor artikel 13 – Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
  • 5 boetes voor artikel  14 – Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

Meest voorkomende boetes

De boetes voor artikel 5, 6 en 32 zijn meer vertegenwoordigd dan die voor andere overtredingen. In andere kwartaalrapportages komen deze ook vaker voor. De verwerking en beveiliging van data zit verweven in de kern van de AVG. Daarnaast is het van groot belang dat je alleen persoonsgegevens verwerkt als je een wettelijke basis hebt om dit te doen. Met deze wettelijke basis heb je de eerste stap gemaakt. Bij deze twee grondbeginselen gaat het in de praktijk dus vaak mis.

NewDay en de AVG

In de visie van NewDay is het voor veel soorten organisaties verstandig om bewust of bewuster met het privacy-risico om te gaan. Dit blijkt ook uit boetes die binnen de EU binnen één kwartaal zijn vergaard door ondernemingen. Bewust omgaan met privacy risico’s is nodig om aan te kunnen tonen dat je zorgvuldig en adequaat de geregistreerde persoonsgegevens beschermt en behandeld. Op die manier ben je in controle van de privacy risico’s die grote gevolgen kunnen hebben voor je klanten of onderneming.

NewDay heeft reeds diverse mkb organisaties mogen bijstaan met het:

 

  • Gereed maken voor de AVG
  • Leveren van Privacy Functionarissen
  • Leveren van Data Protection Officer en Functionaris Gegevensbescherming

 

Organisaties die NewDay bijvoorbeeld al heeft mogen bijstaan zijn:

 

 

 

 

 

 

 

Heeft u vragen over uw AVG privacy risico’s? Lees dan verder op onze website of neem contact op met NewDay, wij staan u graag te woord.

Privacy New Day

Cyber security en video conference software; wat is veilig en tips voor veilig gebruik.

Tijdens de coronacrisis maakt het gebruik van video conference applicaties een sterke groei door. Het doel van het gebruiken van een applicatie is echter niet alleen het vergaderen, maar vergaderen op een veilige manier. Een degelijke veiligheid, ofwel cyber security, is niet eenvoudig te ontwikkelen. Daarnaast moeten de intenties van de leveranciers aansluiten op jouw behoefte van cyber security. Welke applicaties voldoen nu echter aan de huidige technische eigenschappen en intenties?

Een voorbeeld van een applicatie die een harde strijd voert om aan te tonen dat zij de juiste intenties én een degelijke cyber security hebben is Zoom. De website Cnet houdt bij hoe dat verloopt en het levert een aantal interessante technische- en functionele beveiligingsvraagstukken op.

Adviezen

Er worden online veel vergelijkingen gemaakt, waarbij de nadruk vaak ligt op het gebruiksgemak van de applicatie en de eventueel aanvullende functionaliteiten. Doeltreffende vergelijkingen die zich uitsluitend richten op cyber security zijn lastig te vinden. Wel bestaan er artikelen die de best beveiligde en encrypted software opsommen. Als men een keuze wil maken voor een video conference applicatie is het zinvol deze na te gaan. Om dit te vergemakkelijken zijn er enkele suggesties onderaan toegevoegd.

Best practices

Naast de opsommende artikelen bestaan er ook verdere algemene software- en gebruikstips. Een simpel maar effectief voorbeeld is het grote belang alle relevante software te updaten. Daarnaast kan ook het gebruik van VPN of secure cloud storage kan in deze tijd uitkomst bieden. Als de video vergadering veilig is, hoeft dat namelijk niet zeggen dat al het gevaar geweken is. Wanneer de inbelgegevens van een veilige vergadering op straat komen te liggen kunnen ongenode gasten in sommige gevallen namelijk alsnog meeluisteren. Omdat gebruikers fouten kunnen maken, is het zinvol richtlijnen op te stellen voor de video vergaderingen. Een aantal handige richtlijnen, van specialist highfive, zijn:

  • Gebruikers die een video willen opslaan van de video conference moeten van alle deelnemers goedkeuring krijgen. Zo voorkom je onwenselijk gevoelige informatie te delen.
  • Persoonlijke mobiele gegevensdragers mogen niet gebruikt worden om vergaderingen op te nemen. Een persoonlijke gegevensdrager valt niet onder de security- en gebruiksregels waar een zakelijk apparaat wel onder valt. Deze regels kunnen waardevol zijn bij het veilig houden van informatie.
  • Gevoelige informatie moet uitsluitend besproken worden in daartoe bedoelde vergaderingen met de juiste personen. Let dus op wat je overlegt in algemene vergaderingen. Er kunnen immers personen aan deelnemen die, bijvoorbeeld vanwege functiescheiding, geen toegang mogen hebben tot de informatie.
  • Verwijder data welke op de achtergrond zichtbaar kunnen zijn. In sommige applicaties kan de camera worden ingesteld om alleen de persoon waar te nemen. Zo voorkom je gevoelige informatie te delen met personen.
  • Camera en microfoons worden uitgeschakeld wanneer ze niet in gebruik zijn. Hiermee kun je borgen dat er geen onbedoelde informatie wordt verspreid door bijvoorbeeld iemand die even binnenloopt voor een kort overleg.
  • Het op afstand bedienen van camera’s is alleen toegestaan voor gebruikers die hier expliciet goedkeuring voor hebben gekregen. Op deze manier kan niemand gebruik maken van de camera voor doeleinden die niet wenselijk zijn.

Naast de voorgaande tips is het belangrijk om zoals gebruikelijk sterke wachtwoorden te gebruiken, virusscanners te updaten en te monitoren, en phishing berichten te herkennen en uit te sluiten. Verdere uitgebreide informatie kun je onderaan deze blog vinden in de twee toegevoegde links die praktische en bruikbare informatie bieden.

T.Goossens, Associate

New Day Risk Services

 

Links:

Artikel Zoom:

https://www.cnet.com/news/zoom-every-security-issue-uncovered-in-the-video-chat-app/

Cyber security best practice:

https://highfive.com/blog/5-steps-for-secure-video-conferencing

https://vpnoverview.com/internet-safety/business/work-safely-from-home/

Encrypted conference software:

https://techbriefly.com/2020/04/01/the-best-secure-and-encrypted-video-conference-software/

https://windowsreport.com/encrypted-video-conferencing-tools/