avg

Inhoud De brede regelgeving van de Europese Commissie over de algemene bescherming van persoonsgegevens (GDPR) zal een sterke impact hebben op bedrijven binnen en buiten Europa. Vanaf 2018 moet elke organisatie die persoonlijke informatie over Europese burgers verzamelt, gebruikt of deelt, kunnen aantonen dat zij voldoet aan deze inmiddels fel omstreden regelgeving. Hieronder vallen ook de gebruikte technieken binnen het model en de infrastructuur van de organisatie, waarmee men de persoonlijke gegevens afschermt voor de buitenwereld. Het beschermen van persoonsgegevens moet op alle niveaus geïntegreerd zijn binnen de organisatiestructuur van de onderneming.    De beveiliging van een enorme hoeveelheid data In de Cloud wereld, die 24 uur per dag en zeven dagen per week doorgaat, zien gebruikers hun persoonlijke informatie als een levend systeem. Wat de meeste gebruikers echter niet beseffen is dat hun persoonlijke data intensief wordt gekopieerd, getest en beoordeeld door de organisaties die deze data in beheer hebben. Op deze wijze beoordelen ondernemers de persoonlijke gegevens op integriteit en volledigheid. Een dergelijk integriteitsproces biedt de ondernemers de mogelijkheid om bepaalde gegevens, zoals de financiële status, de woonomstandigheden, de burgerlijke staat en het surfgedrag van de gebruikers, te rangschikken. Hierna worden deze gerangschikte gegevens intern gebruikt en vaak aangeboden en benaderd door derden. Zo kunnen kleinere ondernemingen, bijvoorbeeld op basis van een abonnement, gebruik maken van persoonsgegevens door simpel op de site van de aanbieder in te loggen met een gebruikersnaam en een wachtwoord.   Veranderingen in de interne organisatie De nieuwe regelgeving van de Europese Commissie zal dit patroon aanzienlijk doen veranderen. In de nabije toekomst zal elke software-ontwikkelaar zich terdege bewust moeten zijn van zijn verantwoordelijkheden als databasebeheerder. Een probleem hierbij is dat dit concept of denkpatroon voor veel software-ontwikkelaars geheel onbekend is. Vaak ontwikkelen zij applicaties op basis van innovaties en creativiteit waarbij de beveiliging van de gegevens ondergeschikt is. Alhoewel er bij ondernemers enige verantwoordelijkheid bestaat als het gaat om het beheren en het beveiligen van persoonlijke informatie, zal de nieuwe regelgeving deze ondernemers werkelijk aansprakelijk stellen als het gaat om het beveiligen van persoonsgegevens. Ondernemers worden hierdoor gedwongen om flink te investeren in opleiding, training en technologie zodat zij kunnen voldoen aan de eisen en de regelgeving van de Europese commissie. Voor veel bedrijven zal dit betekenen dat zij hun organisatiestructuur volledig moeten aanpassen zodat zij een data-first model kunnen hanteren.   Investering in technologie Op dit moment wordt geschat dat ongeveer 90 procent van de persoonsgegevens wordt bewaard in kopieën. De eerste stap, in het naleven van de regelgeving van de Europese commissie, is het inventariseren van zowel de productieve als de niet-productieve omgeving zodat men weet waar deze data zich bevindt. De stap die hierop volgt is de aanschaf van de technologie die de mogelijkheid biedt om de verspreide data te lokaliseren en te beveiligen. Dit zal tot een noodzakelijke investering leiden in technologieën waarmee men de bestaande gegevens en de latere kopieën kan afschermen en pseudonimiseren. In het geval van een inbreuk op deze persoonlijke data zullen deze investeringskosten echter verbleken ten opzichte van de mogelijke boete van vier procent van de totale omzet van de onderneming.   Conclusie Gezien de steeds toenemende kansen en de ernst van de inbreuk op persoonlijke gegevens is het van groot belang dat ondernemingen duidelijk aangeven dat zij de regelgeving van de Europese commissie naleven en zij zeer zorgvuldig met de persoonlijke gegevens omgaan. Hiervoor zullen deze bedrijven binnen hun totale organisatiestructuur een databeveiligingsstrategie moeten implementeren waarmee men de persoonlijke gegevens maximaal beveiligt zodat het risico voor hun gebruikers minimaal is. Door te pleiten voor de invoering van deze voorzorgsmaatregelen stuurt de Europese commissie aan op een waarborg dat de persoonlijke gegevens beveiligd zijn of onbruikbaar worden gemaakt indien cybercriminelen succesvol inbreuk maken op de bedrijfssystemen. Met deze regelgeving worden ondernemingen beter beschermd tegen de financiële gevolgen en het reputatieverlies als er inbreuk op de persoonlijke gegevens plaatsvindt. De Europese commissie verwacht als tegenprestatie echter wel dat de zakelijke markt gaat investeren in het beschermen van bedrijfsdata en persoonlijke gegevens van de gebruikers.Bron: bitMIND

Inhoud Na vier jaar onderhandelen is er in Europa een nieuwe dataprotectie overeenkomst. In Straatsburg hebben de lidstaten van de EU hun goedkeuring gegeven aan wetgeving voor de verwerking van privégegevens en richtlijnen voor de handhaving van die wet op justitieel niveau. Sinds 1 januari geldt in Nederland de meldplicht datalekken. Daarmee loopt Nederland tamelijk voorop in Europa. Deze week is de Europese variant goedgekeurd door het Europees parlement. De overige Europese lidstaten krijgen nu nog twee jaar de tijd om hun wet- en regelgeving in lijn te brengen met de Europese wetteksten. Voor consumenten betekent de regulering: Het recht om vergeten te worden. Het recht om je gegevens naar een andere dienstverlener over te zetten. Het recht te weten of je gegevens gehackt zijn. Voor organisaties etekent de regulering: De plicht om nadrukkelijk toestemming te vragen van betrokken personen voor het verwerken van privégegevens. De plicht om privacybeleid helder en begrijpelijk uit te leggen. Strenge handhaving en boetes tot 4 procent van de totale internationale jaaromzet bij overtreding. Met name dat laatste is een verschil met de regelgeving die Nederland inmiddels zelf al heeft opgesteld (in Nederland geldt vanaf 1 januari 2016 een boete van maximaal 820.000 euro tegemoet zien voor iedere keer dat een organisatie in gebreke blijft bij de bescherming van privacygevoelige gegevens). Maar de grootste winst zit in het feit dat er nu eindelijk zicht is op een uniform Europees databeschermingsbeleid.Uniform "Door de General Data Protection Regulation wordt goede uniforme databescherming nu een realiteit in de hele EU”, zegt Jan Philipp Albrecht van de Deense Groenen, die deze wetgeving door het Europees Parlement wist te loodsen. “Burgers kunnen nu zelf beslissen welke persoonlijke informatie ze willen delen en voor bedrijven komt er nu ook eindelijk duidelijkheid. Deze nieuwe wet zorgt voor vertrouwen, juridische eenduidigheid en eerlijke concurrentie.”Encryptie Volgens Pieter Lacroix, Managing Director Sophos Nederland, betekent deze wetgeving opnieuw werk aan de winkel voor veel organisaties. Voor zover dat nog niet gebeurd is onder druk van de meldplicht datalekken, zullen bedrijven nu snel moeten nagaan wat de impact van deze regels zal zijn voor hun Europese business. Zijn advies: "Wacht niet tot alle lidstaten hun wetgeving hebben aangepast, maar maak van databescherming een bestuurstaak. Laat je adviseren waar nodig, en zorg dat alle data die in je bedrijf omgaat proactief beschermd wordt, door encryptie toe te passen en alle beveiligingsoplossingen in de organisatie voortdurend up-to-date te houden. En houd er rekening mee dat deze wetgeving geldt voor alle bedrijven die gegevens bewaren over Europese burgers, ongeacht of zo’n bedrijf zelf een Europese basis heeft of niet."  Bron: biplatform.nl

Inhoud De Meldplicht Datalekken, die per 1 januari 2016 inging, is voor veel Nederlandse organisaties een moeilijk dossier. Een privacy officer kan helpen orde op zaken te stellen. De komst van de Meldplicht Datalekken was al lang duidelijk. Toch werden pas begin december de puntjes op de i gezet, toen het College Bescherming Persoonsgegevens (CBP) zijn richtsnoeren na een consultatieronde formaliseerde tot het Beleidskader Meldplicht Datalekken. Enkele weken daarvoor gaf Udo Oelen, hoofd toezicht private sector van het CBP, al tips over maatregelen die organisaties moeten nemen om te voldoen aan hun meldplicht.   Beveilig de persoonsgegevens binnen de organisatie. Zog voor goed incidentenbeheer. Bepaal duidelijk wie in de organisatie datalekken zal beoordelen en eventueel melden bij het CBP. Dat voorkomt dat men “als een kip zonder kop” gaat rondrennen als de nood aan de man is. Denk na over hoe betrokkenen geïnformeerd moeten worden bij een lek. Wat moeten ze weten? Hoe minimaliseert het bedrijf de gevolgen? Denk na over hoe om te gaan met signalen van de buitenwereld over mogelijke datalekken. Hoe reageert het bedrijf in de media? Hoe zorgt het bedrijf voor responsible disclosure? Maak en controleer afspraken met de partijen die voor de organisatie gegevens bewerken. Wees er zeker van dat deze partijen tijdig laten weten dat er een lek bij hen is en controleer of zij dat melden bij het CBP. In die afspraken moet follow-up na het afhandelen van het lek geregeld zijn.   Privacy officer aanstellen De persoon uit de derde tip van Oelen die beoordeelt of sprake is van een datalek en dat dan meldt, is in steeds meer organisaties de privacy officer. Vooral grote organisaties hebben al privacy officers in dienst, met de komst van de meldplicht stellen steeds meer bedrijven iemand met deze functie aan. Rachel Marbus vervult die rol bij de NS. Zij gaf tijdens het Privacy Congres praktische aanwijzingen voor het privacyproof maken van een organisatie. "Voordat een bedrijf bekijkt of het kan voldoen aan de wet, moet het bepalen welk bedrijf het wil zijn; wat zijn de privacywaarden? Het zou zo kunnen zijn dat het bedrijf makkelijk kan voldoen aan de wet, maar dat dit tegen de eigen waarden in gaat." NS heeft het al snel zwaar in de publieke opinie, vindt Marbus. Als er maar iets misgaat, wordt dat snel breed uitgemeten in de media. "De koppen zijn heel snel negatief over de NS. Positieve zaken als een prijs die we wonnen voor ons privacybeleid zijn vervolgens bijna nergens te lezen." Waarmee ze maar wil zeggen dat een bedrijf goed moet realiseren hoe het publiek denkt over het bedrijf in combinatie met privacy. "Houd de eigen waarden op het gebied van ethiek en privacy goed in het oog. NS is in dit opzicht zeer risicomijdend. We blijven ruim binnen de regels van de wet. En na de problemen rond de aanbesteding in Limburg is zelfs sprake van een zerotolerancebeleid. Voor mij is dat makkelijk. Nee zeggen, is nu geen enkel probleem. Al mist NS daardoor wel kansen en innovaties." De NS bestaat uit verschillende zelfstandig opererende bedrijfsonderdelen. De directie van de NS Groep NV is de verantwoordelijke voor de Wet bescherming persoonsgegevens. Elk bedrijfsonderdeel heeft één of meer information security officers (ISO's). Er is bovendien een chief information security officer (CISO). Marbus is de privacy officer die namens de directie zorgt voor privacy compliancy en werkt daarbij nauw samen met de CISO. Zij is bovendien het enige aanspreekpunt voor het CBP. Dat voorkomt misverstanden. "Er wordt vanuit de NS 'maar met één stem met het CBP gesproken. Daarnaast is het voor mij erg makkelijk dat privacy compliancy bij de directie is ondergebracht. Mijn adviezen zijn bindend."   Voorwaarden voor goed beleid Marbus heeft een duidelijk beeld van wat belangrijk is voor een privacy officer om goed te kunnen functioneren. Een privacy officer moet: Het lef én het mandaat hebben om nee te zeggen "Dat mandaat is essentieel. De privacy officer kan een olifantshuid hebben en een rechte rug, maar zonder dat mandaat is deze functie een farce. Dan is jouw nee geen nee en betekent Jouw stem níets." Creativiteit en flexibiliteit hebben "Nadat de privacy officer nee heeft gezegd moet de privacy officer in staat zijn alsnog mee te denken naar een ja als iets op een andere manier gedaan kan worden." Ogen en oren in het bedrijf hebben "De privacy officer kan dit niet alleen doen. Zorg voor privacy ambassadeurs in de organisatie. Dat zijn de ISO's, maar weet ook wie de mensen zijn op de werkvloer die hierbij goed kunnen helpen." Regelmatig audits doen 'Audits leggen bloot wat mis kan gaan en ze bieden een goedkeurend stempel dat de privacy officer bij onderhandelingen een sterkere positie geeft." Een privacy spreekuur houden  "Een keer per maand mag iedereen bij mij binnenlopen met een vraag over prívacy. Ik krijg machinisten binnen, mensen met heel wilde plannen die nog niet op papier staan. Daardoor kan ik al vroeg met ze meedenken. Dat helpt nieuwe producten privacy vriendelijk te maken." Marbus waarschuwt dat ondernemingen binnen de grenzen van de wet moeten blijven. "Want het CBP zit er bovenop, zeker bij grote organisaties." Toch is het CBP geen boeman, zegt ze. “Ze consulteren betrokken partijen, organiseren rondetafelgesprekken, schuiven aan bij expertgroepen. Ze willen horen welke problemen wij als grote bedrijven hebben en ze willen horen wat wij van het CBP vinden. Ze denken mee na incidenten zodat het probleem goed opgelost kan worden."Auteur: Tanja de Vrede, Automatiseringsgids

Inhoud Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.   De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.   Toekomstige regelgeving Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.   Hoe privacy by design implementeren? Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.   Voordelen van privacy by design De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.   Waarom privacy by design omarmen? Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.   Dreigende reputatieschade De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.   Vertrouwen consument vergroten Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.Auteurs: Marc Elshof & Barry BreedijkHoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?

Inhoud Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging, zegt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016. Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is dan ook alles mee gezegd. De meeste risico’s schuilen in de menselijke factor. Nederlandse gemeenten hebben overigens betrekkelijk vaak een veiligheidsfunctionaris in dienst, maar deze heeft vaak niet de juiste papieren. De uitkomsten zijn volgens de opstellers van het rapport zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.   Ketenpartners “Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want je neemt een risico”, zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. “Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden.” Gemeenten moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. “De medewerker die een usb-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden,” zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. “De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt.”   Datalekken bij driekwart gemeenten Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42% ging dit om privacygevoelige informatie. Zo’n 14% kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld. Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. “Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling.”Bron: IT ExecutiveWeten hoe u deze risico’s rond informatiebeveiliging nu op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen. Van risico analyse tot awareness.

Inhoud Bedrijven hebben steeds vaker te maken met cyberdreiging, bedrijfsspionage en -sabotage. Security-teams zijn zich hiervan bewust en richten zich op het beperken van de impact door er bijvoorbeeld voor te zorgen dat de aanvallers het beoogde doel niet bereiken. Maar hoe kan een security-team nog succesvol zijn in een tijdperk waarin cyberaanvallen aan de orde van de dag zijn? Is het mogelijk om daar een plan voor te ontwikkelen of blijven we achter de feiten aanlopen? Welke tools en technologie zijn beschikbaar die nodig zijn om succes te boeken? En hoe kan de beveiliging verbeteren en daadwerkelijk waarde leveren voor het bedrijf? RSA, de security-divisie van EMC, heeft een rapport gepubliceerd dat inzicht geeft in de grote verschuiving in de wereld van informatiebeveiliging. De Security for Business Innovation Council (SBIC) pleit enerzijds voor drie belangrijke focusgebieden waarop bedrijven moeten focussen. Daarnaast bevat het rapport een reeks aanbevelingen voor sterkere bescherming tegen dreiging wat tevens ten goede komt aan de productiviteit van de organisatie. Security-specialisten De SBIC bestaat uit een groep security-specialisten van de duizend grootste bedrijven ter wereld. Deze bespreken belangrijke security-vraagstukken en onderzoeken hoe het gebruik van informatiebeveiliging ingezet kan worden om bedreigingen aan te pakken en innovatie te stimuleren. Om de beveiliging te versterken, benoemt het SBIC drie strategische gebieden waarin bedrijven moeten investeren: weerstand tegen cyberdreigingen, optimalisatie gebruikerservaring en cloud-security. Het SBIC concludeert dat nieuwe technologieën niet snel genoeg worden ontwikkeld en geïmplementeerd. Security-teams zijn nog te veel gericht op het beperken van de impact in plaats van te focussen op nieuwe technologie om makkelijker aanvallen te detecteren en te reageren. Gebaseerd op dit advies geeft het council drie concrete aanbevelingen om bedrijven te helpen nieuwe technologieën succesvol toe te passen en de investeringen in security te maximaliseren:1. Kijk ten minste drie jaar vooruit Door het gebruik van SWOT-analyses, afgestemd met IT en de business, en accountants erbij te betrekken, creëert u een Big Data-strategie voor de hele organisatie. Hierdoor kunnen organisaties plannen maken en bepalen welke security-maatregelen genomen moeten worden om bescherming te bieden tegen een dynamisch cyberlandschap.2. Het bereiken van een groter geheel door integratie De investering in security-technologie betaalt zich vaak pas echt uit bij het aansluiten en consolideren van informatie uit verschillende toepassingen. Technologieën die nu beschikbaar zijn, maken het makkelijker om systemen te integreren zoals data analyse, security intelligence en GRC-platformen.3. Meer waarde realiseren door vastgelegde ontwikkelingen Security-teams die bekend zijn met de valkuilen van veranderingen in technologie, financiële tekortkomingen en het falen van nieuwe producten, adviseren duidelijk afgesproken benaderingen bij de implementatie van nieuwe technologie om proactief de risico’s te kunnen beheren.Bron: DatacenteredHoe succesvol is uw security-team in dit tijdperk waarin cyberaanvallen aan de orde van de dag zijn en welke concrete aanbevelingen heeft u?

Inhoud De Europese Privacywetgeving, in Nederland officieel bekend als de Algemene Verordening Gegevensbescherming (AVG), is op 14 april goedgekeurd door het Europees Parlement. Maar wat betekent het precies voor Nederlandse woningcorporaties? CorporatieGids.nl ging in gesprek met Rani Honcoop, Juriste en Business Consultant bij Audittrail, over wat corporaties moeten doen om te voldoen aan deze wet. “Wanneer corporaties tot dusver weinig aandacht hebben geschonken aan de bescherming van persoonsgegevens, staat hen een flinke klus te wachten.” “Tot 13 april was de Europese richtlijn uit 1995 nog van kracht,” begint Rani. “Die is in 2001 omgezet naar de Wet bescherming persoonsgegevens (Wbp). Maar deze richtlijn was toe aan vervanging, vanwege bijvoorbeeld snelle technologische veranderingen, het bevorderen van uniforme gegevensbeschermingsregels binnen de EU en het versterken van rechten van individuen. Dat moet gebeuren met de Algemene Verordening Gegevensbescherming, ook wel de General Data Protection Regulation (GDPR) in het Engels.”    Twee jaar Rani geeft aan dat de wet in de lente van 2016 in werking zal treden, twintig dagen na publicatie in het Staatsblad (datum publicatie nog onbekend). Corporaties hebben vervolgens twee jaar om de regels te implementeren. “Dat klinkt lang, maar wanneer corporaties nog niet veel tijd aan de bescherming van persoonsgegevens hebben besteed, kan dat erg veel werk zijn. De Algemene Verordening Gegevensbescherming komt op veel punten overeen met de aangepaste Wet bescherming persoonsgegevens die op 1 januari 2016 in werking trad. Maar dat betekent niet dat een corporatie stil kan zitten. Nieuwe regels gaan bijvoorbeeld over hoe bedrijfsprocessen worden ingericht, hoe deze processen omgaan met persoonsgegevens en wat de rechten van betrokkenen zijn.” “In de praktijk betekent dat onder andere de documentatie over de verwerking van persoonsgegevens verplicht is. Ook moeten corporaties privacyaspecten meenemen bij de ontwikkeling van nieuwe diensten, processen of systemen, krijgen betrokkenen de mogelijkheid een digitale kopie van hun persoonsgegevens aan te vragen en wordt de onafhankelijkheid van nationale toezichthouders vergroot. De aanstelling van een Data Protection Officer (de Engelse benaming voor de Functionaris voor de Gegevensbescherming) is voor corporaties geen verplichting. Desalniettemin raad ik corporaties wel sterk aan om een Privacy Officer aan te stellen vanwege de maatschappelijke en wettelijke veranderingen van dit onderwerp: privacy wordt nu eenmaal belangrijker gevonden dan voorheen.”   Meer inzicht en controle Door de nieuwe wetgeving moeten corporaties meer inzicht en controle krijgen over de persoonsgegevens binnen hun organisatie. “Het aanstellen van een Privacy Officer levert een bijdrage aan het overkoepelende toezicht van de privacyaspecten en het privacybeleid. Hiermee zal privacy een onderdeel worden van de organisatiecultuur.”   Hoge boetes Wanneer corporaties de eerdergenoemde regels niet op de juiste manier naleven, kan hen grote boetes worden opgelegd. De boetes van de Algemene Verordening Gegevensbescherming kunnen oplopen tot twintig miljoen euro, of vier procent van de wereldwijde jaaromzet. Hoger dan de 8,2 miljoen euro boete bij het niet naleven van de Wet bescherming persoonsgegevens. “Toch zal in geval van overtreding vaak eerst een bindende aanwijzing worden gegeven, voordat er wordt overgegaan tot het opleggen van een boete. De overtreder krijgt dan de mogelijkheid om binnen een gestelde termijn hieraan te voldoen.”   Grote inhaalslag Het niet naleven van de nieuwe Europese Privacywet is volgens Rani vooral iets dat onbewust gebeurt. “Bewerkersovereenkomsten en recht op inzage zijn voorbeelden van regels die al sinds 2001 geïmplementeerd hadden moeten worden. We krijgen vaak de vraag van klanten of dit iets nieuws is. Het is niet een kwestie van niet willen, maar een kwestie van niet weten. Omdat er nu veel aandacht is voor privacy gaan er bij corporaties belletjes rinkelen. Maar omdat dit al in 2001 had gemoeten, hebben corporaties een grote inhaalslag in een korte periode voor de boeg. Daarnaast zijn financiële middelen beperkt, en met de eerdergenoemde boetes in het achterhoofd is dit voor corporaties het omslagpunt om te investeren in privacy.” Autoriteit Persoonsgegevens (AP), toezichthouder van zowel de Wbp als de AVG, heeft daarnaast met haar agenda voor 2016 bekendgemaakt extra te letten op de beveiliging van persoonsgegevens. Volgens Rani betekent dit dat ernstige datalekken aanleiding kunnen zijn voor een extra controle. “Hierdoor kan een corporatie in een negatief daglicht komen te staan. Aan de andere kant; een incident betekent niet altijd dat een corporatie fout heeft gehandeld of nalatig is geweest. Er moet sprake zijn van een adequate beveiliging, en vanwege die open definitie is de inrichting een lastige opgave. Wat heeft mijn organisatie op dit moment nodig, en welke maatregelen dienen wij te implementeren?”   Ondersteuning Rani vertelt dat Audittrail corporaties helpt om zich voor te bereiden op de nieuwe wet. “Bijvoorbeeld met een nulmeting op de organisatie. Deze toont de stand van zaken met betrekking tot privacy, en laat zien hoe een corporatie zichzelf kan verbeteren. Indien de eerste stappen al zijn gezet, kunnen wij door middel van ons Privacy Update Pakket bepaalde privacyonderwerpen adviseren. Denk hierbij aan het opstellen van een doelbestemmingenlijst en het trainen of ondersteunen van de Privacy Officer. Zo kan een corporatie zich optimaal voorbereiden op de nabije komst van de AVG.”In samenwerking met Mavim heeft Audittrail het ISMS framework ontwikkeld. Lees hier meer over de voordelen van het ISMS framework of download de factsheet.

Inhoud Het management van veel Nederlandse bedrijven denkt te lichtvoetig over de eisen die de GDPR aan organisaties stelt. Slechts een kwart van hen is betrokken bij de compliance van deze regelgeving en een aanzienlijk deel weet niet welke persoonsgegevens zij precies moeten beschermen. Daarop duidt onderzoek van Trend Micro. Paradoxaal genoeg is er aardig wat kennis aanwezig over GDPR in het algemeen. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelf kennis genomen van enkele exacte regels. Zes op de tien Nederlandse bedrijven zegt dat hun data niet veiliger opgeslagen kan worden.   Persoonsgegevens? Er heerst nogal wat onduidelijkheid over welke ‘persoonsgegevens’ goed beschermd moeten. Dat begint al bij de inventarisatie. Bijna een kwart van de Nederlandse respondenten kan niet aangeven welke persoonsgegevens ze hebben opgeslagen en waar. Van alle Nederlandse respondenten weet vervolgens 22 procent niet dat een geboortedatum geclassificeerd moet worden als een ‘persoonsgegeven’ en meer dan de helft van de Nederlandse IT-beslissers ziet informatie in hun e-mail marketingdatabases onterecht niet als persoonsgegeven. Voor wat postadressen aangaat, stijgt dat percentage tot 71 procent en voor e-mailadressen zelfs tot een alarmerende 78 procent. Organisaties die dergelijke gegevens – die hackers vaak genoeg munitie geven voor identiteitsdiefstal – niet goed beveiligen, riskeren hoge boetes. Meer dan 60 procent weet niet dat het hierbij om bedragen gaat die tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. Een opvallende kwart van de ondervraagde organisaties in Nederland maakt zich echter niet druk over een mogelijke sanctie. “Het ontbreken van kennis over GDPR, dat duidelijk naar voren komt in dit onderzoek, is schokkend. Geboortedata, e-mailadressen, marketingdatabases en postadressen zijn allemaal belangrijke klantgegevens en het is zorgelijk dat zo veel Nederlandse organisaties dat, ondanks het zelfvertrouwen, gewoon niet weten”, zegt Rik Ferguson, VP Security Research van Trend Micro. “Als organisaties deze gegevens niet beschermen, nemen ze niet alleen hun klanten niet serieus, ze zijn zeker niet klaar voor GDPR.”   Verantwoordelijkheden Op de vraag wie verantwoordelijk is voor het verlies van grote hoeveelheden EU-data bij of door Amerikaanse aanbieders wist slechts 10 procent het correcte antwoord: beide partijen dragen evenveel verantwoordelijkheid, iets minder dan het wereldwijde gemiddelde van 14 procent. Bijna de helft van de Nederlandse organisaties denkt dat de boete betaald moet worden door de data-eigenaar, een kwart denkt dat de verantwoordelijkheid overzee ligt. Ook hebben Nederlandse beslissers niet helder voor ogen wie intern verantwoordelijk is voor compliance aan deze regelgeving. Een kwart denkt dat de CEO verantwoordelijk is, een iets groter percentage vindt dat het in handen is van de CISO en/of het security team. Slechts 10 procent van de Nederlandse hogere managers houdt zich echter actief met dit onderwerp bezig. “Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is”, zegt Ferguson. “Het voorbereiden op GDPR is een enorme klus. Van investeren in state of the art technologie tot en met het implementeren van regels rondom dataprotectie en notificaties. Die voorbereiding is echter nutteloos als bedrijven niet weten om welke data het precies gaat en wie daarvoor verantwoordelijk is.” De GDPR verplicht bedrijven om de benodigde, moderne technologie te implementeren om goed om te kunnen gaan met risico’s. Toch heeft slechts 20 procent van de Nederlandse bedrijven geavanceerde technologie in huis om indringers op hun netwerk op te kunnen sporen. 26 procent heeft encryptietechnologie geïnstalleerd en 16 procent van de Nederlandse ondernemingen heeft geïnvesteerd in technologie die datalekken moet voorkomen.Bron: Felix Speulman, IT ExecutiveMeer weten over GDPR/AVG en hoe Mavim uw organisatie daarbij kan helpen? Lees meer op onze website of download de whitepaper "In 5 stappen voldoen aan de GDPR/AVG"

Inhoud   Sinds wanneer hebben we het eigenlijk over privacy? Hoe lang speelt dit vraagstuk al? We kunnen natuurlijk teruggaan tot de Romeinse tijd. De Romeinen bouwden bijvoorbeeld hun toiletten met een heel open karakter. De latrines waren open ruimtes met banken aan de zijkant met daarin gaten. Men kon zijn of haar behoefte doen terwijl het gesprek gewoon verder ging. Hoe zo privacy? Maar goed, dat is een ander soort privacy natuurlijk. Hoewel, we zeggen vandaag de dag in onze gedragscode wel iets over wat je wel of niet zou mogen bespreken in een publieke ruimte.   Het wissen van informatie is onmogelijk Het is niet gemakkelijk om de ontwikkelingen binnen het privacydomein te volgen en dat vervolgens uit te leggen aan de gemiddelde leek. Wat wel langzamerhand begint door te dringen is dat we in een onomkeerbaar proces terecht zijn gekomen. Het uitzetten of wissen van informatie op internet lijkt onmogelijk te zijn. Ik verwacht niet dat de nieuwe privacy wet in Europa(Algemene Verordening voor bescherming van persoonsgegevens (AVG) of General Data Protection Regulation (GDPR)) die in mei 2018 in werking zal gaan daar iets aan verandert. Ondanks dat er een soort van ‘right to be erased’ in is opgenomen. In juli 2000 werden we al ruw wakker geschud toen bleek dat er een Europees spionage systeem Echelon zou bestaan. Tegenwoordig weten we niet beter dat spionage en afluisteren standaardpraktijken zijn van praktisch alle overheden ter wereld. Door de onthullingen van Snowden is het bestaan van dit Echelon spionagenetwerk in 2015 bevestigd aan de hand van enkele documenten van de NSA.   Niet meer anoniem Als je anoniem wilt zijn in de huidige maatschappij kun je niet meer naar de grote stad verhuizen en je onderdompelen in de mensenmassa. Alles wordt daar geregistreerd. Je zult nu juist naar het platteland moeten gaan en je te voet of per fiets verplaatsen. En natuurlijk alle elektronische gadgets voorgoed achterlaten, en dat is voor veel mensen een uitdaging. Dat werd mooi geïllustreerd in het tv-programma ‘Hunted’ waarbij deelnemers moesten proberen om uit de handen van ‘rechercheurs’ te blijven. Binnenkort komt er een nieuwe serie van afleveringen van ‘Hunted’.   Wel of geen sleepnet? In Amerika werd begin 2017 door het Amerikaanse Senaat een wet aangenomen die het mogelijk maakt voor Internet Service Providers om al het internetverkeer van haar gebruikers individueel te analyseren en door te verkopen aan commerciële partijen. Maar ook in Nederland lijkt informatie steeds vaker openbaar te worden. Denk maar aan de introductie van de zogenaamde ‘sleepwet’ en het referendum wat daarover zal gaan plaatsvinden. Het gaat hierbij om wijzigingen in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Deze wet uit 2002 volstaat volgens de rijksoverheid niet meer. Het is natuurlijk logisch dat met de enorm snelle technologische ontwikkelingen ook wetten regelmatig aangepast moeten worden.  Ik denk dat veel Nederlanders wel kunnen instemmen met het grootste deel van deze wet. Het lijkt immers logisch dat er een bevoegdheid moet komen om chatberichten van bijvoorbeeld een terrorist te onderscheppen, als er serieuze verdenkingen zijn uiteraard. Het probleem van deze wet zit onder andere in het feit dat veel informatie als ‘bijvangst’ ook beschikbaar komt en langere tijd bewaard kan worden. De AIVD zelf nuanceert dit door te stellen dat er juist meer controle en toezicht is ingebouwd en dat veel van de bijvangst direct weer wordt verwijderd. Ik denk niet dat het verstandig is om een referendum te houden over de gehele sleepwet. Feit is wel dat dit referendum er komt. Maar hoe kun je over zo een complexe wet de bevolking om een Ja/Nee gaan vragen? Ik verwacht dat de wet met aanpassingen op het toezicht er uiteindelijk toch wel zal komen, ongeacht de uitkomst van het referendum.Door: Jeroen Veraart Meer weten over de AVG? Lees hier meer over hoe u met het AVG framework aantoonbaar in control komt! Of meld u aan voor het webinar 'In 5 stappen voldoen aan de AVG'  

Inhoud Vrijdag 25 mei 2018 zal bij de meeste woningcorporaties rood omcirkeld staan in de agenda. Op die datum wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Welke stappen moeten corporaties nemen om aan de privacywet te voldoen, en hoe borg je de aanpassingen binnen de organisatie? Een gesprek met Mitchel Kooyman, Business Consultant Informatiebeveiliging en Privacy bij Audittrail: “Wees je bewust dat de tijd begint te dringen.” In de praktijk ziet Mitchel dat corporaties vaak nog verschillende stappen moeten zetten om aan de nieuwe wetgeving te voldoen. “Corporaties zijn zich bewust van de naderende startdatum en weten dat maatregelen nu getroffen moeten worden. Er is alleen nog vraag naar ‘hoe’ deze stappen genomen moeten worden. En daarbij is de AVG geen simpele of gemakkelijke wetgeving. Het is complexe materie waarbij specialistische kennis nodig is om het juist te implementeren in organisaties. Het kan dan ook niet in een aantal weken gebeuren: het implementeren heeft een tijdslijn van enkele maanden.”   Motivatie Volgens Mitchel wil je als corporatie naar je huurders toe aan de regels voldoen. “Je wil hen beschermen tegen identiteitsfraude, en in het nieuws komen dat gegevens gelekt zijn kan grote imagoschade betekenen. Daarnaast wil je niet tegen een boete aanlopen: deze kunnen zo 20.000.000 euro of vier procent van de wereldwijze jaaromzet bedragen. Ook zien wij dat corporaties die nog gebruikmaken van papieren archieven de naderende wet aangrijpen om dit te digitaliseren. Op die manier heeft het een positieve invloed op de datakwaliteit.”   Nulmeting is de basis Op de vraag wat het voldoen aan de AVG lastig maakt, zegt Mitchel: “De nieuwe wetgeving is een moderne vervanging van de Wbp, maar een stuk strakker ingeregeld. Zo wordt een privacybeleid verplicht, moet er een verwerkingenregister zijn en moeten procedures voor rechten van betrokkenen ingericht en bekend zijn.” Een nulmeting is de basis om te voldoen aan de AVG. “Op die manier weet de corporatie waar het momenteel staat,” legt Mitchel uit. “Op basis daarvan kunnen vervolgstappen worden bepaald en in welke volgorde deze moeten worden uitgevoerd. Verder is het wenselijk voor elke organisatie een privacy officer aan te stellen en heeft men baat bij een ‘werkgroep privacy’. Zo’n werkgroep zorgt ervoor dat je met medewerkers van verschillende afdelingen kan sparren en dat verschillende onderdelen tegelijkertijd kunnen worden aangepakt, waardoor je sneller kunt voldoen aan de AVG.”    Borgen van privacy “De meeste corporaties geven aan dat het traject naar AVG-gereedheid zo’n zes tot acht maanden in beslag neemt. De tijd dringt, zeker als je nagaat dat er nog veel moet gebeuren bij de meeste corporaties. En zelfs wanneer je als corporatie voldoet aan de wetgeving, ben je nog niet klaar met het traject. Om de privacywetgeving binnen de organisatie te borgen, is het belangrijk dat je het continu blijft verbeteren. Via een PDCA-traject (Plan, Do, Check en Act) kijk je steeds waar processen geoptimaliseerd kunnen worden.”    AVG-framework Om corporaties te helpen AVG-compliant te zijn en te blijven, heeft Audittrail samen met Mavim een AVG-framework ontwikkeld. “Compliant zijn betekent niet alleen dat er zaken uit de AVG ingeregeld zijn, maar ook dat deze geborgd worden. Dit kan met het framework door het in de organisatie te verankeren en mee te nemen in de eerdergenoemde PDCA-cyclus. Een voorbeeld hiervan is het verwerkingenregister. Dit kan per proces of processtap ingevuld worden en er kan een rapportage over worden uitgedraaid. Wanneer stappen in het proces veranderen, kan dit worden doorgevoerd in het framework en in het register voor dat proces. Ook het privacybeleid kan worden opgenomen met een opsteldatum, een revisiedatum en een verantwoordelijke. Dit kan gepubliceerd worden in het Mavim-portaal, waarbij elke medewerker het beleid kan zien en zijn of haar opmerkingen hierover kan geven. Ook dit kan gebruikt worden om het beleid continu te verbeteren en privacy écht te borgen in de organisatie. Al met al een tooling waarmee inzichtelijk wordt wat het niveau is van de organisatie ten opzichte van de AVG en wat er nog gedaan moet worden.” “Daarbij helpen wij corporaties ook met het uitvoeren van de privacy-nulmeting. Dit valt onder de Quickstart Implementatie AVG. Het plan dat uit de nulmeting voortkomt bevat onze bevindingen en geeft een lijst met stappen om aan de wetgeving te voldoen. Dit geeft een corporatie een ‘to do-lijst’, waarmee het in de hoofdlijnen het traject naar compliancy kan aflopen.”   Onderdeel maken Mitchel sluit af door te herhalen dat de tijd voor corporaties om te voldoen aan de AVG begint te dringen. “De klok tikt en de AVG is geen simpele wetgeving. Het is complex en kost tijd om in zijn geheel te implementeren. Afhankelijk van de inzet van medewerkers, de bereidheid voor verandering en de vrijgemaakte tijd kan de implementatie van de AVG enkele maanden duren. Begin met een nulmeting en krijg een goed overzicht van welke stappen je nog moet nemen. Neem daarna de tijd om de veranderingen te borgen, zodat je niet alleen voldoet aan de regelgeving maar privacy onderdeel maakt van je organisatie.” Bron: Audittrail.nl | Auteur: Johan van den Beld, CorporatieMedia Benieuwd welke stappen u nog moet nemen om te kunnen voldoen aan de AVG/GDPR? Wat de impact van deze vernieuwde wetgeving op uw organisatie is? Meld u dan aan voor het Webinar 'In 5 stappen voldoen aan de AVG/GDPR'.