AVG-trainingen

Auteur: Marco Boltjes

  • Gedrag personeel en cultuur van grote invloed op cybersecurity en privacy binnen jouw bedrijf

    Gedrag personeel en cultuur van grote invloed op cybersecurity en privacy binnen jouw bedrijf

    Bedrijven beheren een schat aan data over klanten, medewerkers en hun eigen werkprocessen. Data waarvan je niet wilt dat ze zomaar op straat komen te liggen. Niet alleen grote bedrijven, maar ook kleine bedrijven beschikken over serieuze hoeveelheden data die goed beschermd moeten worden. Vaak denken kleine bedrijven dat ze niet veel te verliezen hebben en nemen ze een stuk minder maatregelen voor cybersecurity en privacy. Voor bedrijven die minder maatregelen nemen om hun data te beschermen, is het goed om te weten dat het gedrag van het personeel en de cultuur binnen een bedrijf een grote invloed heeft op cybersecurity en privacy. Daarnaast denken kleine bedrijven bij de cyber beveiliging van data vaak alleen aan mogelijke dreigingen van buitenaf, terwijl het grootste deel van de datalekken juist intern ontstaan.

    Gedrag personeel en cultuur

    Cybersecurity en privacy valt uiteen in 2 belangrijke aspecten: techniek en awareness. Zijn beheerders zich bewust van alle aspecten van dataprotection? En hebben alleen geautoriseerde mensen toegang tot bepaalde gevoelige data? Neem gegevens over de gezondheid en persoonlijke situatie van medewerkers of klanten. Wie mogen die allemaal zien? Welke gegevens mag je wel en niet aan de leidinggevende beschikbaar stellen? Mag de werkgever camera’s inzetten om zijn medewerkers in de gaten te houden? Hoe wordt de privacy cultuur van binnen het bedrijf geborgd? Gaat het personeel van jouw bedrijf zorgvuldig om met persoonsgegevens? Als je de cybersecurity en privacy goed wil borgen, is het ook belangrijk om aandacht te besteden aan jouw personeel. Met alleen techniek, procedures en afvinklijstjes, ben je er nog niet. Zonder het juiste gedrag is jouw bedrijf nog steeds niet goed beschermd.

    cybersecurity bedrijf

    Menselijke fouten en cybersecurity

    De media staan vol met berichten over datalekken. Denk aan phishing, een verloren onbeveiligde USB-stick, een vergeten laptop zonder encryptie en een wachtwoord dat in verkeerde handen kwam. Menselijke fouten dus. Awareness over cybersecurity en privacy hangt samen met vier belangrijke aspecten: kennis, gedrag, cultuur en omgeving. Bij kennis moet je denken aan afspraken, processen, protocollen en prioriteit. Gedrag gaat over houding, zorgvuldigheid en motivatie. Cultuur heeft te maken met normen en waarden. Omgeving gaat over het individu, de groep en het bedrijf. Deze vier aspecten zijn belangrijk voor dataprotectie en privacy. Een gebrek aan bijvoorbeeld motivatie en nauwkeurigheid onder het personeel kan een negatieve invloed hebben op de bescherming van data binnen een bedrijf.

    Aanbevelingen gedrag personeel en cultuur

    Aanbeveling is om een securitybeleid op te stellen met duidelijke richtlijnen en protocollen.  Implementeer het securitybeleid en onderhoud het continu. Compliant worden, is een continu en duurzaam proces. Denk ook aan een communicatieplan en neem ook nieuwe medewerkers hierin mee. De mens is immers de zwakste schakel in de informatiebeveiliging. Maak een plan over welke middelen die je wil inzetten voor cyberawareness, bijvoorbeeld een nieuwsbrief, een e-learning of een phishing simulatie. Ga aan de slag met een programma dat past bij jouw doelgroep.

     

  • 5 redenen waarom jouw bedrijf een Privacy Officer (PO) moet hebben

    5 redenen waarom jouw bedrijf een Privacy Officer (PO) moet hebben

    Een goede cybersecurity is van groot belang voor álle bedrijven, groot of klein. Het aantal gevallen van cybercriminaliteit zoals phishing, hacking, social engineering is de afgelopen jaren wereldwijd fors toegenomen. Cybercrime vormt een groot probleem voor ondernemers. Hoe is de cybersecurity van jouw bedrijf geregeld? Hoe bescherm je jouw bedrijfsgegevens en de privacy van je klanten. Om de cybersecurity en privacy binnen jouw organisatie te regelen moet je securitymaatregelen nemen, zaken organiseren en privacyrisico’s in kaart brengen. Dat is het werk van een Privacy Officer (PO). Een PO helpt je met alle informatie die je nodig hebt over cybersecurity en de AVG. In dit artikel vind je 5 redenen waarom jouw bedrijf een Privacy Officer moet hebben.

    Het securitybeleid van jouw bedrijf

    Een Privacy Officer of een Security Officer zorgt voor grip op cybersecurity en privacy in jouw bedrijf. Hij of zij helpt je om te zien of er binnen jouw bedrijf voldoende maatregelen zijn getroffen om persoonsgegevens goed te beschermen. De PO helpt met het opstellen, actualiseren en bewaken van het securitybeleid. Denk hierbij aan zaken zoals het verwerkingsregister, dataminimalisatie, DPIA’s, datalekregister, privacyrechten van betrokkenen en informatiebeveiliging. Een securitybeleid is nodig om aan te tonen dat jouw bedrijf voldoet aan de Algemene verordening persoonsgegevens. Dat heet de verantwoordingsplicht.

    De Privacy Officer als aanspreekpunt

    De PO is het dagelijkse aanspreekpunt voor collega’s en externe partijen als het gaat om informatiebeveiliging en privacy. Denk aan zaken zoals adviezen over privacy compliance, adviezen bij het opstellen van werkprocessen en procedures, coördinatie rondom datalekken. Elk bedrijf krijgt wel een keer te maken met een datalek en is het dan belangrijk direct actie te ondernomen. Zo voorkom je dat de schade voor jouw bedrijf en andere betrokkenen zo klein mogelijk blijft. Soms moet een datalek ook gemeld worden aan de Autoriteit Persoonsgegevens (AP).

    Security awareness van jouw medewerkers

    In elk bedrijf heb je te maken met insider threats. Insider threats zijn datalekken die worden veroorzaakt door bewust of onbewust handelen van eigen personeel. Denk bijvoorbeeld aan een medewerker die per ongeluk belangrijke dossiers naar een verkeerde ontvanger verstuurt of een medewerker die geen phishingberichten kan herkennen. Eén van de taken van een Security Officer is om een doorlopende awareness programma op te zetten. Wanneer de cyberawareness van jouw personeel stijgt, loopt jouw bedrijf minder kans om getroffen te worden door een datalek of een cyberaanval.

    De Privacy Officer en DPIA’s

    Organisaties moeten een data protection impact assessment (DPIA) uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen. Een Privacy Officer heeft een belangrijke taak bij de uitvoering van DPIA’s. De PO adviseert over de noodzaak van een DPIA en is altijd betrokken bij de uitvoering ervan.

    Verwerkersovereenkomsten

    Vanuit de privacywetgeving moet een bedrijf zorgdragen voor de beveiliging van de persoonsgegevens die worden verwerkt, dit geldt dus ook wanneer persoonsgegevens worden verwerkt door een derde partij. Jouw bedrijf blijft namelijk te allen tijde de verwerkingsverantwoordelijke. Je moet goede afspraken maken met de verwerker om ervoor te zorgen dat ook hij/zij de juiste beveiligingsmaatregelen treft om de persoonsgegevens te beschermen. Doorgaans gebeurt dit in een verwerkersovereenkomst. De Security Officer ondersteunt en adviseert bij het opstellen en bijhouden van verwerkersovereenkomsten met externe partijen. Hij/zij zorgt ervoor dat een verwerkersovereenkomst wordt opgesteld volgens de eisen van de AVG.

    Ben je op zoek naar een praktische training voor Privacy Officer?

    Wij bieden online Privacy Officer trainingen voor verschillende branches: onderwijs, overheid, zorg en welzijn, zakelijk Nederland en kinderopvang. Al onze trainingen zijn praktisch van aard en bestaan uit herkenbare casussen. Je krijgt direct toepasbare handvatten toegereikt om gelijk aan de slag te kunnen. Tijdens de training mag je altijd vragen stellen. Onze trainingen gaan altijd samen met persoonlijke aandacht. Je kan beginnen wanneer je wil, je ontvangt een certificaat en je mag je vragen stellen tijdens de training. Deze training kan je heel goed combineren met je baan.

    Privacy Officer bedrijf

  • Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school gewaarborgd?

    Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school gewaarborgd?

    Scholen maken steeds vaker gebruik van softwareapplicaties om sport(resultaten) van kinderen bij te houden. Veel softwareapplicaties bieden ook de mogelijkheid om bijzondere persoonsgegevens zoals gezondheidsgegevens van kinderen te verwerken. Daarnaast kunnen verschillende partijen gebruikmaken van deze softwareapplicaties. Privacy experts die werkzaam zijn in het onderwijs komen ook overeenkomsten tegen waarin niet goed is beschreven wie verantwoordelijk is voor de verwerking van de persoonsgegevens in de software. Maakt jouw school ook gebruik van een softwareapplicatie voor bewegingsonderwijs? Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school dan gewaarborgd? Mag je als school of buurtsportcoach de gegevens van de kinderen wel gebruiken en is het toegestaan om ze te delen met partijen zoals een gemeente, sportvereniging of GGD?

    De rol van de school bij gegevensverwerking bewegingsonderwijs

    Vaak is er onduidelijkheid over de rol van een school bij gegevensverwerking op het gebied van bewegingsonderwijs. Wie is de verwerkingsverantwoordelijke? Wie is de verwerker? Volgens de privacywetgeving is de school altijd de verwerkingsverantwoordelijke en de softwareleverancier de verwerker. Voor de verwerking van bijzondere persoonsgegevens van leerlingen zoals gezondheidsgegevens moet de school altijd om toestemming vragen bij ouders/verzorgers (<16 jaar). Gelet op de aard en omvang van de gegevens, waaronder bijzondere persoonsgegevens, en het feit dat kinderen zijn aan te merken als kwetsbare personen, is het van groot belang dat scholen zorgvuldig omgaan met de verwerking van deze persoonsgegevens in een softwareapplicatie en de beginselen van de Algemene verordening gegevensbescherming (AVG) daarbij in acht nemen. Het is belangrijk dat de school goed in kaart brengt voor welk doel deze gegevens verwerkt worden en welke gegevens precies daarvoor noodzakelijk zijn. De school moet een juiste grondslag hebben voor de verwerking van deze persoonsgegevens.

    De rol van de softwareleverancier bij gegevensverwerking bewegingsonderwijs

    Bij gegevensuitwisseling bewegingsonderwijs heeft de softwareleverancier de rol van verwerker. De softwareleverancier verwerkt de persoonsgegevens in opdracht van de school. De verwerker mag deze gegevens niet voor eigen doeleinden gebruiken. In veel softwareapplicaties die bij bewegingsonderwijs worden gebruikt, kunnen ook gevoelige en bijzondere persoonsgegevens zoals gewicht, lengte, BMI, motorische vaardigheden en beweegvaardigheden worden verwerkt. De verwerker moet de gegevens voldoende beveiligen, rekening houdend met de huidige stand van de techniek en actuele (cyber)dreigingen. De school is verplicht een verwerkersovereenkomst af te sluiten met de verwerker. In die overeenkomst staan onder meer afspraken over de precieze opdracht van de gegevensverwerking en wat de softwareleverancier/ verwerker wel en niet mag doen met de verstrekte gegevens van de leerlingen.

    De rol van de buurtsportcoaches bij gegevensverwerking bewegingsonderwijs

    Op het gebied van bewegingsonderwijs werken scholen ook vaak samen met buurtsportcoaches. Buurtsportcoaches kunnen in dienst zijn bij een vereniging, een gemeente of ze kunnen ook ZZP’er zijn. Buurtsportcoaches die in loondienst zijn bij een school mogen de gegevens van de leerlingen wel inzien, omdat ze onder het rechtstreekse gezag en toezicht vallen van het schoolbestuur. Bij een buurtsportcoach die in dienst is bij een derde partij, zoals een vereniging of een gemeente moet er een overeenkomst afgesloten worden waarin alle belangrijke informatie over de samenwerking staat. De school zorgt ervoor dat in de overeenkomst expliciet wordt opgenomen dat de buurtsportcoach een geheimhoudingsplicht heeft en onder leiding en toezicht van de school gaat werken. Een ZZP-buurtcoach is in principe een verwerker. De school sluit dan een verwerkersovereenkomst met een geheimhoudingsplicht af met de ZZP-buurtcoach.

    Aandachtspunten gegevensverwerking bewegingsonderwijs

    • Het is erg belangrijk om als school het beheer over de software en de gegevensverwerking altijd in eigen hand te hebben.
    • Maak goede afspraken met buurtsportcoaches en andere externe partijen.
    • Deel nooit zomaar gegevens van leerlingen met andere partijen.
    • Zorg ervoor dat er uitdrukkelijke toestemming van ouders en leerling goed is geregeld.
    • Informeer ouders actief over de gegevensverwerking en over hun privacyrechten.
    • Bijzondere persoonsgegevens mag je alleen verwerken als je kunt baseren op een uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.
    • Houd er rekening mee dat de AVG van toepassing is op anonieme gegevens.

    De rol van de Functionaris gegevensbescherming en privacy officer bij gegevensverwerking bewegingsonderwijs

    De Functionaris gegevensbescherming en/of privacy officer heeft een belangrijke rol bij de gegevensverwerking bewegingsonderwijs. De school is afhankelijk van de kennis en kunde van deze privacy professionals. Wil jij een praktische opleiding volgen om je school te kunnen voorzien van goede adviezen? Wil je concrete handvatten om als Functionaris gegevensbescherming of als Privacy Officer aan de slag te gaan? Dan is een training van AVG-trainingen wel iets voor je. Onze trainingen zijn ontwikkeld door privacy professionals uit het werkveld. Onze privacy experts weten als geen ander hoe ze de complexiteit van juridisch taalgebruik moeten omzetten naar praktisch toepasbare handvatten.

    Nieuwsgierig naar de trainingen?

    gegevensuitwisseling bewegingsonderwijs

    Bronnen:

    Autoriteit Persoonsgegevens

    PO-RAAD

    Kennisnet

  • Spoofing herkennen en voorkomen

    Spoofing herkennen en voorkomen

    Je ontvangt een e-mail van een bekende organisatie zoals je bank of een overheidsinstantie. In het bericht wordt gevraagd om in te loggen om je gegevens veilig te stellen. Bij spoofing nemen cybercriminelen een andere identiteit aan om je vertrouwen te winnen. Je ontvangt bijvoorbeeld een phishingmail van een bestaand e-mailadres van een bekende organisatie. Hoe werkt spoofing? Wat is het en hoe kun je spoofing herkennen en voorkomen?

    E-mailspoofing 

    E-mailspoofing is een techniek die cybercriminelen bij phishingberichten gebruiken om het vertrouwen van mensen te winnen. Ze willen dat je gaat geloven dat het bericht afkomstig is van een bekende organisatie of persoon. Cybercriminelen maken gebruik van de nieuwste technieken om phishingberichten te maken en te versturen. Een phishingbericht kan er dus behoorlijk echt uitzien. Het is dus belangrijk om altijd voorzichtig te blijven en ervoor te zorgen dat je op tijd doorhebt dat je te maken hebt met een nep e-mailbericht.

    Websitespoofing

    Bij websitespoofing gaat het om een neppe website die precies lijkt op de officiële website van een bekende organisatie. Zelfs de link van de website lijkt bijna hetzelfde, maar als je goed oplet, zie je dat er een letter is omgewisseld of dat de spelling niet klopt. Op zo’n valse website kan malware staan die de bestanden op je computer kunnen vergrendelen. Check daarom altijd de URL. Als deze niet overeenkomt, heb je hoogstwaarschijnlijk te maken met een neppe website!

    Telefoonnummerspoofing

    Je wordt bijvoorbeeld door een medewerkers van een bekende organisatie gebeld met de mededeling dat jouw pasje bijna verloopt. Je moet het pasje en jouw pincode opsturen. Dit trucje kennen we intussen al. Maar cybercriminelen gaan steeds slimmer te werk. Ze bellen je als helpdeskmedewerker van een groot bekend bedrijf, zoals Microsoft. Je moet bijvoorbeeld een bestand downloaden om toegang te krijgen tot je computer of laptop. Ga niet in op verzoeken van personen die om jouw bankgegevens vragen. Blijf oplettend, want een medewerker van een bank zal nooit naar jouw pincode vragen.

    Hoe kun je spoofing voorkomen?

    Wees altijd alert! Spoofing zal nog lang blijven, omdat cybercriminelen steeds meer beschikking hebben over nieuwe technieken om hun werk te verfijnen. Je moet dus altijd alert zijn: leer phishing herkennen, maak nooit zomaar geld over, klik nooit zomaar op links en stuur nooit je pinpas op. Neem bij twijfel altijd contact op met de organisatie. Bel hen op via het telefoonnummer dat op hun website staat. Klik nooit op de link in het bericht, maar gebruik een zoekmachine om naar de website te gaan.

    Spoofing en medewerkers

    Ook medewerkers krijgen te maken met spoofing. Maak je medewerkers bewust van deze vorm van fraude. Wil je de kans op cyberdreigingen verkleinen en ben je op zoek naar een effectief awareness programma voor je organisatie? Wij hebben Privacy365 ontwikkeld voor organisaties die proactief aan de slag willen met cyberawareness van hun medewerkers. E-learning voor medewerkers met herkenbare casussen per branche en doelgroep, specialisatie trainingen voor leidinggevenden, posters, content voor nieuwsbrieven en een full-service Phishing simulatie.

    Spoofing herkennen

  • CDPO: een officiële beroepscertificering of gewoon een woordmerk?

    CDPO: een officiële beroepscertificering of gewoon een woordmerk?

    CDPO is de afkorting voor Certified Data Protection Officer. Aan ons wordt vaak de vraag gesteld of CDPO een officiële beroepscertificering is? En wat houdt het register Certified Data Protection Officers precies in? Ons antwoord is heel simpel: “De antwoorden op deze vragen, vind je in de kleine lettertjes. Certified Data Protection Officer (CDPO) is geen officiële beroepscertificering én het is ook niet officieel erkend door de Autoriteit Persoonsgegevens (AP) of een beroepsgroep. Het is gewoon een woordmerk.“

    CDPO en de Autoriteit Persoonsgegevens

    In de Guidelines on Data Protection Officers geven de Europese privacytoezichthouders uitleg over de rol en taken van een Data Protection Officer, ook bekend als Functionaris gegevensbescherming (FG). De Autoriteit Persoonsgegevens (AP) stelt geen eisen op opleidingsgebied en er bestaat geen FG/DPO – opleiding die door de AP is gecertificeerd. Er zijn geen privacy opleidingen die gecertificeerd zijn door de Autoriteit Persoonsgegevens (AP) of de Europese privacytoezichthouders. CDPO is dus ook niet gecertificeerd door de Autoriteit Persoonsgegevens, maar het is gewoon een woordmerk. Het label CDPO of een premium beroepscertificering voor Privacy Professionals zegt niets over de kwaliteiten of de ervaring van een DPO, want het zijn juist de functie-eisen die ertoe doen bij een Data Protection Officer. Volgens de AP heeft een DPO of FG bovengemiddelde vakkennis en vaardigheden op het gebied van privacywetgeving én de praktijk van gegevensbescherming nodig.

    Is er een officieel erkend register voor Data Protection Officers?

    Nee, er is nog geen officieel openbaar register voor Data Protection Officers beschikbaar dat is erkend door de Autoriteit Persoonsgegevens of een beroepsgroep. Een register is een lijst waarin staat wie welke training/ cursus heeft gevolgd. Elk opleidingsinstituut houdt zo’n lijstje bij, dat is een plicht. Dus ook aanbieders van DPO-trainingen. Het is dan ook jammer dat bepaalde aanbieders een vergoeding vragen voor het register/lijstje van hun organisatie.

    Waarom bieden wij geen Certified trainingen aan?

    AVG-trainingen biedt geen Certified -trainingen aan, omdat er geen erkende certificatie voor DPO’s bestaat. Wij hebben praktische opleidingen ontwikkeld waarin alle facetten van de AVG wordt uitgelegd aan de hand van theorie, casussen en praktische opdrachten. Je kunt direct aan de slag en wij garanderen altijd persoonlijke aandacht, ook na de opleiding. Een label CDPO of een premium beroepscertificering zegt niets over de kwaliteiten of ervaring van een DPO, want het zijn juist de functie-eisen en de beroepspraktijk die ertoe doen bij een DPO. Vaak zie je dat cursisten flink moeten betalen voor een woordmerk, maar is dat wel reëel? En waarom is het nodig om cursisten te laten betalen om in een register opgenomen te worden onder het mom van ‘je bent nu gecertificeerd DPO en ingeschreven in het register? In de praktijk bestaan er meerdere registers met DPO’s/ FG’s naast elkaar. Wat voor zin heeft het?

    Voor elke sector een eigen DPO-training

    Wij hebben voor elke sector een eigen DPO-training ontwikkeld. Een DPO heeft niet alleen kennis van nationale en Europese wet- en regelgeving voor gegevensbescherming nodig, maar ook kennis van de gegevensverwerkingen die de organisatie uit een bepaalde sector uitvoert. Kennis van de organisatie en de sector waarin die actief is, is van essentieel belang.

    CDPO geen officiele beroepscertificering

  • Checklist Cybersecurity

    Checklist Cybersecurity

    Sinds enkele jaren nemen cyberdreigingen wereldwijd toe. Cybercriminelen kunnen tegenwoordig veel sneller grote hoeveelheden phishing e-mails versturen door gebruik te maken van AI-tools. Cybercrime blijft een grote problematiek, nu en in de toekomst. Wil je de kans op cyberdreigingen verkleinen? Onderstaande Checklist Cybersecurity helpt je om je organisatie beter te beschermen en voor te bereiden.

    Checklist Cybersecurity

    Besteed regelmatig aandacht aan phishing

    Lees ook het artikel ‘Waarom je regelmatig aandacht moet besteden aan phishingmails’. Het gevaar van phishing en ransomware loert constant om de hoek. Elke organisatie groot en klein moet zich er vandaag de dag van bewust zijn dat het op ieder moment slachtoffer kan worden van een hack-aanval. Het is dus van groot belang je organisatie goed te beschermen tegen cybercrime. Cyberbeveiliging is een continu proces. Het volstaat niet om werknemers één keer te zeggen dat ze zorgvuldig moeten omgaan met data, niet op links in mails van onbekende afzenders moeten klikken. Je moet ze regelmatig trainen om hun awareness op peil te houden.

    Ben je op zoek naar een effectief awareness programma voor je organisatie?

    Lees eerst de 5 tips voor een effectief security awareness programma en ga aan de slag. Wij hebben Privacy365 ontwikkeld voor organisaties die proactief aan de slag willen met privacyawareness van hun medewerkers. Privacy365 is een totaalpakket dat je kunt inzetten om de boodschap over cybersecurity en privacy op verschillende manieren binnen jouw organisatie over te brengen. E-learning voor medewerkers met herkenbare casussen, specialisatie trainingen voor leidinggevenden, posters, content voor nieuwsbrieven, kennisbank AVG en een full-service Phishing simulatie.

  • Meer awareness verkleint de kans op cybercriminaliteit in het onderwijs

    Meer awareness verkleint de kans op cybercriminaliteit in het onderwijs

    Om cybercriminaliteit effectief te kunnen bestrijden, moeten schoolbesturen proactief aan de slag met informatiebeveiliging en privacy. Bijna dagelijks staan er berichten in de media over organisaties, waaronder ook onderwijsinstellingen, waarvan data zijn gestolen.  Denk ook aan ransomware-aanvallen waarbij systemen plat komen te liggen. Cybercriminaliteit voorkomen is een continue uitdaging, omdat cybercriminelen constant op zoek zijn naar zwakke plekken binnen een school. Ruim 90 procent van alle datalekken en cyberaanvallen komt voort uit menselijk handelen. Meer awareness is dus van groot belang om de kans op cybercriminaliteit in het onderwijs te verkleinen. 

    Phishing in het onderwijs

    Cybercriminelen moeten eerst een onderwijsinstelling binnendringen om gegevens te kunnen stelen of te versleutelen. Dit kan door bijvoorbeeld kwetsbaarheden in netwerken van scholen te gebruiken.  Maar cybercriminelen hebben nog meer manieren om een organisatie binnen te dringen. Ze komen onderwijsinstellingen namelijk veel vaker binnen via phishing. Phishing is een aanval waarbij een medewerker of leerling wordt verleid om belangrijke informatie te geven, zoals inloggegevens. Phishing gebeurt vaak via e-mails, maar hackers doen het ook via de telefoon, een sms of een app-bericht. Phishing-mails zijn al jaren favoriet. Medewerkers worden zo op slinkse wijze naar valse websites gelokt, waar vervolgens wordt gevraagd inloggegevens in te voeren. Op die manier vinden cybercriminelen snel een ingang tot het netwerk van de school.

    awareness cybercriminaliteit

    Datalekken in het onderwijs

    Een datalek kan iedereen gebeuren. Zeker in organisaties waar er dagelijks wordt gewerkt met veel persoonsgegevens. Een datalek kan vele vormen aannemen: het verlies van een apparaat met onversleutelde gegevens van je werk, een hack-aanval waarbij data zijn gestolen of gegevens van een leerling of een collega in een e-mail die bij een verkeerde persoon terecht komt. Daarom is voorkomen beter dan genezen. Onderwijsinstellingen moeten ervoor zorgen dat de awareness van hun medewerkers op orde is, zeker nu dreigingen zoals ransomware-aanvallen, phishing en DDoS-aanvallen steeds meer toenemen. Cybercriminaliteit ontwikkelt zich continu en nieuwe methoden om medewerkers en leerlingen te misleiden, duiken regelmatig op. Daarom is het belangrijk dat medewerkers in het onderwijs op de hoogte zijn van de laatste ontwikkelingen rondom cybercriminaliteit en voor welke gevaren zij moeten waken.

    Wil je een awarenesscampagne opzetten?

    Wil je een awarenesscampagne opzetten om medewerkers te helpen cyberdreigingen te herkennen en te werken volgens de eisen van de AVG? Heb je daarbij hulp of advies nodig? Wij bieden awareness trainingen voor elke doelgroep in het onderwijs. Privacy365 is een totaaloplossing die je kunt inzetten voor een awarenesscampagne. Privacy365 stimuleert gedragsverandering. Er ontstaat meer privacybewustzijn door herhaling. De trainingen bestaan uit theorie to-the-point, herkenbare casussen en uitlegfilmpjes. Daarnaast komen werknemers AVG-posters tegen op de werkvloer en lezen ze ook informatieve stukjes in de personeelsinfo. Deze vorm zorgt voor een snellere toename in AVG-kennis en bewustzijn rondom informatiebeveiliging en privacy.

    • Continue herhaling vergroot de awareness
    • Het kan eenvoudig en gefaseerd ingezet worden
    • Theorie to-the-point en herkenbare casussen zorgen voor een hogere betrokkenheid bij medewerkers
    • Geschikt voor nieuwe medewerkers
    • Ondersteuning en ontzorging
    • Managementtool (LMS) + aansluiting op ELO’s
    • Phishing Simulatie

     

     

  • Bescherming persoonsgegevens bij e-mails in de sector zorg en welzijn

    Bescherming persoonsgegevens bij e-mails in de sector zorg en welzijn

    Werk je in de sector zorg en welzijn? Dan is het belangrijk om steeds alert te zijn als je een mail verstuurt. Je moet altijd zorgvuldig omgaan met de persoonsgegevens van betrokkenen, vooral als je je mail richt aan meerdere personen of als het om medische en/of gevoelige gegevens gaat. Zorg- en welzijnsorganisaties zijn er verantwoordelijk voor dat hun medewerkers die gegevens veilig verstuurt. Ze moeten voor het e-mailen maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. Persoonsgegevens moeten in de sector zorg en welzijn goed beschermd worden.

    Gegevens mailen en uitwisselen binnen zorg- en welzijnsorganisaties

    Gegevens mailen en uitwisselen binnen zorg- en welzijnsorganisaties is een taak die elke medewerker uiterst voorzichtig moet aanpakken. Vooral als het gaat om medische en gevoelige gegevens van betrokkenen: daarvoor gelden strengere regels dan normaal. Net als voor gegevens die betrekking hebben op godsdienst of afkomst. Ook moet je extra voorzichtig zijn als je meerdere personen tegelijk mailt. Zet alle e-mailadressen dan altijd in de bcc, niet in de cc. Niet iedereen wil dat zijn of haar e-mailadres bekend wordt bij anderen. Wees ook alert als je bijlages meestuurt. Denk bijvoorbeeld aan het versleutelen van de persoonsgegevens in een e-mailbijlage.

    Verantwoordelijkheid zorg- en welzijnsorganisaties

    Voor de gevolgen van een datalek is de organisatie immers verantwoordelijk. Mochten persoonsgegevens of een medisch dossier(s) onverhoopt toch bij een verkeerde persoon terechtkomen, dan moet de organisatie het datalek melden bij de Autoriteit Persoonsgegevens (AP). In sommige gevallen moet zij de betrokkenen ook informeren en is zij verantwoordelijk voor de gevolgen. De AP onderzoekt dan wat er precies is gebeurd. Had de organisatie het datalek kunnen voorkomen? Hebben ze hun medewerkers voldoende uitleg gegeven of getraind? De verantwoordelijkheid ligt bij de zorg- of welzijnsorganisatie.

    bescherming persoonsgegevens zorg en welzijn

    Mailen van medische en gevoelige gegevens

    Medewerkers van zorg- en welzijnsorganisaties krijgen vaak te maken met het versturen van medische en/of gevoelige gegevens en dus met extra strenge regels met betrekking tot de AVG. Medewerkers die vanwege hun beroep met medische gegevens werken, zijn gebonden aan een geheimhoudingsplicht. Dat betekent dat zij in principe geen gegevens van een betrokkene aan anderen mogen verstrekken. Daarnaast moet de organisatie controleren wie er toegang heeft gehad tot persoonsgegevens. Zorg- en welzijnsorganisaties moeten daarom logbestanden maken en registreren wie wanneer welke informatie raadpleegt.

    Privacybewustwording medewerkers zorg- en welzijnsorganisaties

    Naast de technische beveiliging vraagt de AVG ook van bestuurders om de privacybewustwording van hun medewerkers te vergroten. Medewerkers moeten nadenken over vragen als: kan ik dit wel per mail versturen? En hoe kan ik dat het beste doen? Hoe moet ik handelen bij een datalek? Hoe herken ik phishingmails?  Welke privacyrechten zijn er? Hoe zit het dan met de verantwoordelijkheid van de medewerker als die een fout maakt? Stel, hij of zij stuurt per ongeluk een mail naar de verkeerde persoon? Dan moet de medewerkers dat melden bij zijn of haar leidinggevende. Privacybewustwording is van groot belang om persoonsgegevens in je organisatie veilig te houden.

     

  • De Autoriteit Persoonsgegevens maakt zich zorgen over het gebruik van Google-producten in het onderwijs

    De Autoriteit Persoonsgegevens maakt zich zorgen over het gebruik van Google-producten in het onderwijs

    In mei 2021 heeft de Autoriteit Persoonsgegevens (AP) geadviseerd om het gebruik van Google Workspace in het onderwijs niet voort te zetten, vanwege privacyrisico’s voor betrokkenen. In april 2023 heeft het ministerie van OCW laten weten dat het advies van de AP is opgevolgd met als resultaat dat veel risico’s zijn weggenomen. Echter is de AP nog steeds niet gerust. Het is voor de AP nog steeds niet duidelijk in hoeverre de vele risico’s zijn weggenomen. De Autoriteit Persoonsgegevens maakt zich zorgen over het gebruik van Google-producten in het onderwijs en verwacht van het ministerie van OCW dat nog vóór de start van het schooljaar 2023-2024 duidelijkheid te geven over het veilig voortzetten dan wel staken van het gebruik van Google-producten door onderwijsinstellingen.

    Google-producten onderwijs

    Het normenkader

    Leerlingen en studenten hebben volgens de AVG, het Handvest en het Verdrag over de rechten van het kind recht op specifieke bescherming van persoonsgegevens en moeten beschermd worden tegen schendingen van dat grondrecht. Onderwijsinstellingen en andere instanties die persoonsgegevens verwerken van kinderen moeten daarom bij het inschatten van de risico’s over de verwerking van persoonsgegevens in voldoende mate rekening houden met de specifieke (privacy)risico’s voor kinderen. De AP wil dat er nog vóór de start van het schooljaar 2023-2024 duidelijk wordt of onderwijsinstellingen Google-producten kunnen gebruiken volgens de vereisten van de Algemene verordening persoonsgegevens AVG.

    Word jij de toekomstige Privacy Officer (PO) of Functionaris gegevensbescherming (FG/DPO) van jullie onderwijsinstelling? Ben je op zoek naar een praktische en flexibele opleiding?

    Wij zijn dé experts op het gebied van informatiebeveiliging en privacy in het onderwijs. AVG-trainingen heeft jarenlange ervaring in het onderwijs en biedt trainingen voor elke doelgroep in het onderwijs. Kenmerken van onze trainingen: praktisch, theorie-to-the-point- casuïstiek, praktische handvatten, goede recensies, direct toepasbaar, vragen stellen tijdens de training, persoonlijke aandacht en een certificaat.

    Privacy Officer (PO)

    Functionaris gegevensbescherming/ Data Protection Officer

    Training cybersecurity & compliance voor IT-professionals

    Masterclass AVG op hoofdlijnen (speciaal voor bestuurders en andere leidinggevenden)

     

  • Waarom je regelmatig aandacht moet besteden aan phishingmails

    Waarom je regelmatig aandacht moet besteden aan phishingmails

    Tegenwoordig kunnen hackers veel sneller grote hoeveelheden phishing e-mails versturen door gebruik te maken van AI-tools. Het probleem bij phishing is dat de hackers achter de schermen steeds nieuwe manieren vinden om phishingmails te verspreiden. Phishing blijft een grote problematiek, nu en in de toekomst. Dus reden genoeg om regelmatig aandacht te besteden aan het herkennen van phishingmails. In de meeste hack-aanvallen is phishing de oorzaak en is het dus erg belangrijk om medewerkers te trainen in het herkennen van phishingberichten. Dit kun je vrij eenvoudig realiseren door gebruik te maken van phishing simulaties. In dit artikel vind je een aantal adviezen om mogelijke phishingberichten te herkennen.

    • E-mail van organisatie/instantie
      Veel phishingberichten worden in naam van banken of Overheid, zoals de belastingdienst of DigiD verstuurd.
    • “Klik hier om in te loggen” of “Klik hier voor meer informatie”
      Wees altijd alert bij e-mails met links. Klik nooit zomaar op een link.
    • Er is spoed”
      Let goed op als dit in een bericht staat. Het is een veelgebruikte tactiek om je op te jagen, zodat je minder alert bent.
    • “Let op! Belangrijk, Urgent, Prioriteit”
      Met deze begrippen kunnen hackers mensen op het verkeerde been proberen zetten. Wees alert.
    • Uitroepteken bij e-mailbericht
      Een collega kan urgentie aan een bericht geven door een (rood) uitroepteken aan de e-mail te geven. Hackers maken hier ook veel gebruik van.
    • Geen persoonlijke aanhef
      Een belangrijke e-mail bevat vaak een persoonlijke aanhef. Ontbreekt dit dan kan dat duiden op een phishingbericht. Dit hoeft natuurlijk niet altijd het geval te zijn. Tegenwoordig maken hackers gebruik van slimme technologieën.
    • Afzender e-mailadres ziet er vreemd uit
      Check altijd het e-mailadres van de afzender. Bij twijfel moet je contact opnemen met de afzender.
    • Onverwacht verzoek van bekende
      Krijg je een vreemd of onverwacht verzoek van een collega, familielid of een vriend(in)? Neem dan via een ander kanaal contact op met deze bekende om te controleren of het bericht klopt. Het kan oplichting zijn.
    • Offerte of factuur als bijlage
      Cybercriminelen gebruiken bijlagen (bijvoorbeeld PDF’s of Word-documenten) om malware te installeren. Het is belangrijk dat je bijlagen in mails niet opent als je niet weet wie de afzender is.
    Hoe kun je regelmatig aandacht besteden aan phishing?

    Het is erg belangrijk dat medewerkers weten hoe ze phishing kunnen herkennen en niet verleid worden door hackers om op verdachte links of bestanden te klikken. Vaak komt het door de onwetendheid van medewerkers dat organisaties slachtoffer worden van phishing-aanvallen. Als jouw medewerkers een phishing e-mail niet herkennen, klikken ze al snel op een link, met alle gevolgen van dien. Een awarenesscampagne biedt uitkomst. Wil je de medewerkers van jouw organisatie bewust maken van een mogelijke phishing aanval? Met ons Full-service Phishing Simulatie worden medewerkers getest op het herkennen van phishing e-mails. Medewerkers leren hoe ze moeten handelen als ze te maken krijgen met valse berichten en jouw organisatie krijgt direct controle op gehackte e-mail accounts.

    Wil je een presentatie op locatie of wil je vrijblijvend advies? Neem dan contact met ons op. Wij vinden persoonlijk contact erg belangrijk.

    phishingmails

     

Menu