AVG-trainingen

Auteur: Marco Boltjes

  • Hackers en juice jacking-aanvallen

    Hackers en juice jacking-aanvallen

    Je smartphone opladen aan een openbaar oplaadstation in een luchthaven of een winkelcentrum is niet altijd zo veilig. De Amerikaanse FBI waarschuwt voor juice jacking-aanvallen, een nieuwe aanvalstechniek die in opkomst is. Juice-jacking is een cyberaanval waarbij hackers openbare USB-oplaadpoorten gebruiken om toegang te krijgen tot gegevens op smartphones of om malware te installeren. Wees dus voorzichtig met openbare oplaadstations en WiFi-netwerken.

    Wat kun je doen om jezelf te beschermen tegen juice jacking-aanvallen?

    Een juice jacking-aanval is moeilijk te detecteren. Je merkt verdachte activiteiten als het kwaad is geschied. Denk daarbij aan aankopen die niet hebt gedaan, trage smartphone, vreemde oproepen, enzovoort. Installeer altijd een virusscanner op je smartphone en tablet en download alleen van vertrouwde bronnen. De veiligste maatregel om jezelf te beschermen tegen juice jacking is om alleen op te laden via jouw eigen apparatuur. Jouw eigen computer bijvoorbeeld of gebruik een powerbank van jezelf.

     

    hackers en juice jacking aanvallen

  • Een app installeren is kinderlijk eenvoudig, maar let ook op de privacyrisico’s

    Een app installeren is kinderlijk eenvoudig, maar let ook op de privacyrisico’s

    Tegenwoordig maakt men volop gebruik van allerlei applicaties die worden aangeboden. Er zijn veel apps die best wel handig zijn. Een app installeren gaat kinderlijk eenvoudig, maar ze brengen ook privacyrisico’s met zich mee. De meest opvallende cyberaanval die afgelopen jaar de gewone internetgebruikers trof, was het FluBot-virus. Duizenden smartphones werden in een mum van tijd met dit virus besmet, omdat gebruikers zonder controle een applicatie installeerden. Op die manier kon het virus zich ongemerkt verspreiden naar alle contacten van de slachtoffers. FluBot is misschien het eerste, maar zal zeker niet het laatste virus zijn dat smartphones zal besmetten. Hoe gaan jouw medewerkers om met applicaties? Weten ze al waarop ze moeten letten als ze een applicatie willen installeren?

    Risico’s apps en zakelijke devices

    Werknemers hebben vaak een vrije keuze in welke apps ze installeren op hun (zakelijke) devices. Echter verzamelen veel applicaties steeds meer data en vragen ze uitgebreide permissies, waardoor het lastig wordt om het overzicht te houden op deze applicaties. Dit brengt privacyrisico’s met zich mee en dat kan een negatief effect hebben op jouw bedrijfsvoering. Je wil niet dat onbevoegden toegang hebben tot jouw bedrijfsgeheimen en personeelsbestand door apps. Cybercriminelen proberen via apps inloggegevens te achterhalen, waarmee ze toegang kunnen krijgen tot het bedrijfsnetwerk.

    Maak je medewerkers bewust van cyberdreigingen

    Ben je op zoek naar een e-learning cyber awareness voor je medewerkers? In de e-learning van Privacy365 wordt ook aandacht besteed aan de privacyrisico’s van een app. Wil je een keer vrijblijvend in gesprek met een privacy expert? Of wil je meer informatie over privacy awareness trainingen? Neem dan contact met ons op. We helpen je graag.

    privacyrisico's apps

     

  • 5 tips voor een effectief security awareness programma

    5 tips voor een effectief security awareness programma

    Organisaties moeten technische en organisatorische maatregelen treffen om aan de AVG te kunnen voldoen. Een heldere boodschap die veel organisaties te horen krijgen van hun accountant. Er zijn zelfs organisaties die vanaf 2023-2024 verplicht zijn om in hun jaarverslag expliciet aandacht te besteden aan cybersecurity en privacy. Onder de organisatorische maatregelen valt ook security awareness van personeel onder. Het bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers is geen optie, maar een wettelijke verplichting. In dit artikel geven we 5 tips voor een effectief security awareness programma.

    1)Bepaal het doel van het security awareness programma

    Het is van belang om vooraf met het goed na te denken over het doek dat jullie bereiken met het programma. Wat willen bereiken en hoe? Nodig een privacy expert uit die ervaring heeft op dit gebied om jullie te adviseren.

    2)Nulmeting awareness niveau personeel

    Met een nulmeting breng je het awareness niveau van je personeel in kaart. De uitkomst van een nulmeting geeft je concrete actiepunten en weet je ook waarop je moet letten in de toekomst.

    3)Betrek leidinggevenden

    Wees ervan bewust dat directie en leidinggevenden een cruciale rol spelen in de uitvoering van een security awareness programma. Echte cultuurverandering moet van binnenuit komen en daarvoor heb je leidinggevenden nodig die inspireren en mensen uitnodigen om met elkaar in gesprek te gaan over cybersecurity en privacy. Door training maak je leidinggevenden bewust van hun rol en voorbeeldfunctie op het gebied van informatiebeveiliging en privacy.

    4)Houd rekening met de verschillende doelgroepen

    Eén standaard training voor de hele organisatie is niet verstandig. Voor een effectief security awareness programma moet je rekening houden met verschillende doelgroepen. Wil je succes boeken, dan moeten de awareness trainingen afgestemd zijn op de functies/verantwoordelijkheden van jouw medewerkers. Een leidinggevende heeft bijvoorbeeld op een heel manier te maken met cybersecurity dan een secretaresse.

    5)Doorlopende security awareness

    Cybersecurity en privacy is een complex thema. Het doel van een awarenessprogramma is gedragsverandering realiseren om persoonsgegevens in je organisaties veilig te houden en onnodige datalekken en boetes te voorkomen. Herhaling is een krachtige manier om de boodschap over informatiebeveiliging en privacy te laten beklijven. Een cyberawarenessprogramma moet niet een eenmalige actie zijn, maar juist een regelmatig terugkerende activiteit. Verwerk de boodschap op verschillende manieren of verdeel ze in stukken. Voorbeelden van mogelijkheden zijn: e-learning, posters, nieuwsbrieven, werkoverleg, enzovoorts. Alleen dan wordt cyberawareness onderdeel van het DNA van jouw organisatie. Bekijk de mogelijkheden van Privacy365 voor een doorlopend en compleet programma.

    Wil je een stap verder? Kies dan voor de phishing-simulatietest

    Wil je een stap verder met je awarenesscampagne? Kies dan voor een phishing-simulatietest. Een goed uitgevoerde phishingsimulatie legt namelijk duidelijk de kwetsbaarheden bloot over hoe hackers van buitenaf toegang kunnen krijgen tot gevoelige gegevens van de gemeente. Medewerkers worden niet alleen geconfronteerd met hun eigen handelen, maar dragen zelf bij aan positieve gedragsverandering. Ze leren hoe ze moeten handelen om zo toekomstige cyberdreigingen te herkennen en te voorkomen.

    security awareness programma

     

  • Toetsingskader IBP en privacybewustwording medewerkers

    Toetsingskader IBP en privacybewustwording medewerkers

    Privacybewustwording is een belangrijk onderdeel van het toetsingskader IBP vo en po. Het toetsingskader IBP, ook wel het normenkader Informatiebeveiliging en privacy genoemd, wordt ingezet om te bepalen waar een school nu staat en welke maatregelen moeten worden genomen om aan de normen te voldoen. Eén van deze normen is het creëren van continue privacybewustwording bij medewerkers. Schoolbesturen zijn vanaf schooljaar 2023/2024 verplicht om in hun jaarverslag expliciet aandacht te besteden aan informatiebeveiliging en privacy (IBP). Cybersecurity en privacy is niet alleen iets voor de ICT-afdeling, maar een verantwoordelijkheid van de hele organisatie, van het bestuur tot en met de leraar in de klas. Daarom moet er aandacht besteed worden aan de professionalisering van het personeel binnen scholen. Werk jij als privacy professional in het onderwijs en ben je op zoek naar een oplossing voor privacybewustwording van medewerkers om aan het normenkader ‘bewustwording en professionalisering’ te kunnen voldoen? Wij ondersteunen en ontzorgen scholen volledig op dit gebied. We bieden trainingen voor elke groep binnen het onderwijs. Geen algemene trainingen, maar trainingen die passen bij de functie van de medewerker.

    Vrijblijvendheid is geen optie voor privacybewustwording

    Vrijblijvendheid is geen optie als het gaat om cybersecurity en zorgvuldige omgang met persoonsgegevens op de werkvloer. Door kennis te nemen van de belangrijkste eisen en verplichtingen vanuit de AVG, begrijpen medewerkers beter waarom ze hun gedrag moeten veranderen. Door goede training over cybersecurity en privacy wordt de urgentie ervan voor medewerkers zichtbaar. Hierdoor groeit de persoonlijke verantwoordelijkheid die een medewerker voelt. Verder is het van essentieel belang dat ook leidinggevenden het thema Informatiebeveiliging en privacy omarmen en ze vanuit een voorbeeldfunctie draagvlak creëren bij de rest van het team.

    Tips voor het opzetten van een privacybewustwordingsprogramma

    Ben je al begonnen met een awarenessprogramma of ben je met team aan het oriënteren? Om van een privacybewustwordingsprogramma een geslaagde actie te maken, is het van belang om daar vooraf goed over na te denken. Wat willen jullie bereiken met het awarenessprogramma? Op welke manieren willen jullie medewerkers bewust maken? Kies je voor een algemene training voor iedereen of kies je voor rolspecifieke trainingen? Hoe willen jullie meten of het doel van het programma is behaald?

    toetsingskader IBP

    Privacybewustwording en herhaling

    De kracht van herhaling is erg belangrijk als je een verandering teweeg wil brengen in je organisatie. Medewerkers zullen een boodschap sneller herinneren als de boodschap vaker wordt herhaald. Het is dus van belang dat ze de boodschap over cybersecurity en privacy niet één keer horen, maar zo vaak mogelijk. Herhaal de boodschap niet continu op dezelfde manier, maar zet verschillende middelen in om de boodschap over te brengen. Verwerk de boodschap dus op verschillende manieren of verdeel ze in stukken. Voorbeelden van mogelijkheden zijn: e-learning, posters, nieuwsbrieven, werkoverleg, enzovoorts. Door de boodschap verschillende manieren te herhalen, zullen medewerkers die sneller onthouden en begrijpen en zal het awareness programma dus ook succesvoller zijn.

    Heb je ondersteuning nodig voor het opzetten van een privacybewustwordingsprogramma voor jouw schoolbestuur?

    Wij hebben Privacy365 ontwikkeld voor scholen die proactief aan de slag willen met privacybewustwording van hun medewerkers. Privacy365 is een totaalpakket dat je kunt inzetten om de boodschap over cybersecurity en privacy op verschillende manieren binnen jouw organisatie te herhalen. E-learning voor medewerkers met herkenbare casussen, specialisatie trainingen voor leidinggevenden, posters, content voor nieuwsbrieven, kennisbank AVG en een full-service Phishing simulatie.

  • Wat is de rol van een Data Protection Officer bij een DPIA?

    Wat is de rol van een Data Protection Officer bij een DPIA?

    Onder de Algemene verordening gegevensbescherming (AVG) moet de verwerkingsverantwoordelijke een data protection impact assessment (DPIA) uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Een DPIA geeft inzicht in de risico’s die gegevensverwerking binnen een organisatie oplevert voor betrokkenen, zoals medewerkers. De verwerkingsverantwoordelijke moet bij het uitvoeren van een DPIA het advies van de Data Protection Officer inwinnen . In dit artikel lees je meer over de rol van de Data Protection Officer (DPO) bij een DPIA.

    Verantwoordelijkheid

    Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om een data protection impact assessment (DPIA) uit te voeren als dat noodzakelijk is. Op grond van de AVG moet een verwerkingsverantwoordelijke een DPIA uitvoeren wanneer:

    • zijn organisatie systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking;
    • zijn organisatie op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt;
    • zijn organisatie op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied.

     

    De Autoriteit Persoonsgegevens heeft ook een lijst van soorten verwerkingen ontwikkeld waarvoor het uitvoeren van een DPIA verplicht is. De lijst is niet uitputtend.

    Rol van de Data Protection Officer (DPO)

    De verwerkingsverantwoordelijke mag aan de Data Protection Officer advies vragen over de volgende zaken:

    • of het wel of niet nodig is om een DPIA uit te voeren;
    • of de onderzoeksmethode die de organisatie wil gaan gebruiken, geschikt is voor de DPIA;
    • of de organisatie de DPIA zelf kan uitvoeren of daarvoor een externe partij ingeschakeld moet worden;
    • welke waarborgen nodig zijn om de risico’s voor betrokkenen te beperken;
    • of het resultaat van de DPIA in overeenstemming is met de AVG.

     

    Advies van de Data Protection Officer

    De verwerkingsverantwoordelijke moet in het rapport over de DPIA opnemen wat de DPO heeft geadviseerd. Ook moet de verwerkingsverantwoordelijke documenteren wat hij met het advies van deDPO heeft gedaan en dit opnemen in het verwerkingsregister.

    Bronnen:

    Autoriteit Persoonsgegevens

    Data Protection Officer (DPO) en DPIA

  • Verschil Privacy Officer en Data Protection Officer

    Verschil Privacy Officer en Data Protection Officer

    Organisaties hebben een grote verantwoordelijkheid als het gaat om informatiebeveiliging en de naleving van de AVG. Op dit gebied zijn er diverse functies te onderscheiden, zoals de Privacy Officer en de Data Protection Officer of de functionaris gegevensbescherming (FG). Maar hoe verhouden de functies Privacy Officer en de Data Protection Officer zich tot elkaar en kun je ze combineren?

     

    Wat doet een Privacy Officer?

    De Privacy Officer zorgt voor continuïteit op het gebied van cybersecurity en privacy en is ook verantwoordelijk voor het actualiseren en bewaken van het securitybeleid binnen de organisatie en het ondersteunen van de uitvoering.  In dit artikel kun je lezen wat een PO nog meer doet in een organisatie.

     

    Wat doet een Data Protection Officer of Functionaris gegevensbescherming?

    De Data Protection Officer is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). In dit artikel kun je lezen wat een DPO nog meer doet in een organisatie.

     

    Privacy Officer versus Data Protection Officer

    • Het grootste en zeker ook het belangrijkste verschil is dat een DPO verantwoordelijk is voor het toezicht houden op de naleving van de AVG en de Privacy Officer niet.
    • De Privacy Officer (PO) is verantwoordelijk voor het vormgeven en bewaken van het securitybeleid binnen de organisatie. De DPO houdt toezicht op de toepassing en naleving van het securitybeleid.
    • De Data Protection Officer mag geen instructies ontvangen van de verwerkingsverantwoordelijke over hoe hij zijn taken als DPO moet uitvoeren. De PO is verantwoordelijk voor de eerstelijnsadvisering en adviseert de verwerkingsverantwoordelijke, leidinggevenden en andere medewerkers over cybersecurity- en privacyvraagstukken.
    • De Privacy Officer levert een actieve bijdrage aan het verhogen van de awareness van medewerkers. De Data Protection Officer kan gevraagd en ongevraagd de PO voorzien van adviezen voor het creëren van awareness omtrent cybersecurity en privacy.
    • De DPO moet signaleren en rapporteren, terwijl de PO meer een operationele rol heeft. Hij of zij gaat aan de slag met de adviezen van de DPO.
    • Een belangrijke taak van de Privacy Officer is om risico’s in kaart te brengen. Denk daarbij ook aan DPIA’s.

     

    Functies combineren?

    Hoewel beide functies veel overeenkomsten hebben, is het raadzaam om ze niet te combineren. Door combinatie van deze functie kan de onafhankelijke rol van de DPO wel degelijk in het gedrang komen. De Autoriteit Persoonsgegevens stelt dat de FG binnen de organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit om belangenverstrengeling te voorkomen.

  • Dag van de Privacy 2023: de beste docu’s over cybersecurity & privacy

    Dag van de Privacy 2023: de beste docu’s over cybersecurity & privacy

    Op 28 januari 2023 is het weer de Dag van de Privacy. Het doel van deze dag is om Europese burgers te informeren over hun privacyrechten betreffende het gebruik van hun persoonsgegevens door overheidsorganisaties, bedrijven en andere organisaties. Ook worden organisaties en bedrijven aangespoord actief aan de slag te gaan met cybersecurity en privacy. Aangezien de Dag van de Privacy dit jaar op een zaterdag is, hebben wij een selectie gemaakt van tien documentaires over cybersecurity en privacy die je zeker eens gezien moet hebben. Het kijken van documentaires levert altijd interessante gesprekken en discussies met anderen op, zeker op de werkvloer. Veel kijkplezier.

    1) The Social dilemma (2020)

    Deze mix van documentaire en drama onderzoekt de gevaarlijke impact van sociale netwerken, met technische experts die over hun eigen creaties zelf aan de bel trekken.

     2) The Great Hack (2019)

    Deze documentaire gaat over het databedrijf Cambridge Analytica dat in de nasleep van de Amerikaanse presidentsverkiezingen van 2016 een symbool werd voor de duistere kant van social media.

    3) iHuman (2019)

    Deze documentaire neemt de kijker mee in de toekomst van artificial intelligence. Artificiële intelligentie, macht en sociale controle. Hoe gaan we als wereldwijde samenleving om met AI? En wat voor soort maatschappij willen we hiermee creëren?

    4) Addicted to My Phone (2018)

    Door het aanbieden van gratis apps op smartphones krijgen bedrijven toegang tot ons persoonlijke leven. We verkopen vaak zonder na te denken onze privacy om gebruik te mogen maken van ‘gratis online diensten en producten’.

    5) Risk (2017)

    Documentairemaker Laura Poitras portretteert Julian Assange, de oprichter van WikiLeaks, en toont hoe de onthulling van duizenden documenten zijn leven en dat van zijn medewerkers op z’n kop zet.

    6) Zero Days (2016)

    Alex Gibney gaat in Zero Days op zoek naar de hackers die enkele jaren geleden de malware Stuxnet verspreidden, een virus zo krachtig dat geen computer ertegen bestand bleek. En zo komt hij een cyberoorlog op het spoor waarbij Amerika, Israël, Iran en het Verenigd Koninkrijk betrokken zijn.

    7) Citizenfour (2014)

    In Citizenfour, de Oscarwinnende documentaire van Laura Poitras, vertelt Edward Snowden voor het eerst zijn verhaal. Het zijn onthullingen over de enorme hoeveelheid gegevens die de inlichtingendienst verzamelde over Amerikanen en mensen over de hele wereld. Deze onthulling sloeg in als een bom. Deze documentaire gaat terug naar het begin van het verhaal.

    8) Terms and Conditions May Apply (2013)

    Deze documentaire gaat over de gebruiksvoorwaarden en het privacybeleid verbonden aan websites, telefoontjes en apps. Je gaat in goed vertrouwen akkoord met de gebruiksvoorwaarden en het privacybeleid, zelf als het betekent dat je daarmee misschien wel je ziel verkoopt. Waar ga je eigenlijk werkelijk mee akkoord als je de button ‘akkoord’ hebt aangeklikt?

    9) Panopticon: illusie van privacy (2013)

    Documentaire van Peter Vlemmix over privacy en de opkomst van de ‘controlestaat’. In deze documentaire wordt gekeken naar de manieren waarop onze privacy onder druk staat.

    10) Hacking Democracy (2006)

    In deze documentaire zie je hoe kwetsbaar computers zijn, dezelfde computers die 80% van alle stemmen van stad, staat en federale verkiezingen telt. Als men zegt dat de stemmen niet veilig zijn, zegt men dan ook dat de democratie niet veilig is?

    Dag van de Privacy

  • De adviserende rol van de Data Protection Officer

    De adviserende rol van de Data Protection Officer

    Eén van de voornaamste taken van de Data Protection Officer (DPO) of functionaris gegevensbescherming (FG) is het geven van advies over informatiebeveiliging en privacy. De verwerkingsverantwoordelijke is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. De DPO adviseert op zijn/haar beurt over hoe gegevensverwerkingen rechtmatig, behoorlijk en transparant kunnen plaatsvinden, rekening houdend met de principes van privacy by design en privacy by default. De Data Protection (DPO) is er niet verantwoordelijk voor of zijn/haar adviezen wel of niet worden uitgevoerd. Wel moet hij of zij en de verwerkingsverantwoordelijke van de organisatie samen vastleggen wat er met de adviezen van de DPO gebeurt. De verwerkingsverantwoordelijke moet onderbouwen waarom bepaalde adviezen eventueel niet zijn overgenomen (‘comply or explain’). Met zijn adviserende rol ziet de Data Protection Officer toe op de juiste naleving van de AVG. Waarop moet je als DPO letten als je feedback geeft? Hoe ga je om met weerstand?

    Steun en confrontatie

    Een DPO mag zich niet laten meeslepen door de verwerkingsverantwoordelijke. Wanneer een verwerkingsverantwoordelijke bijvoorbeeld bepaalde onderwerpen vermijdt, moet de DPO dat ook niet doen, maar die juist bespreekbaar maken. Een goede DPO durft te confronteren en durft aan te geven waar er verbetering mogelijk is. Organisaties hebben bevestiging en steun nodig op het gebied van informatiebeveiliging en de inrichting van de AVG. Ze hebben het recht om te weten of de dingen die ze doen wel of niet werken. Deze ‘steun’ dient wel gegeven te worden, ook al wordt er niet om gevraagd. Een Data Protection Officer moet vaardig en bekwaam zijn om binnen de organisatie een cultuur van informatiebeveiliging te ontwikkelen.

    Feedback

    Wanneer je als DPO feedback of advies geeft, gebeuren er twee dingen: ten eerste geef je steun en ten tweede ga je een confrontatie aan. Door feedback of advies enkel te beschouwen als confrontatie, bijvoorbeeld door de verwerkingsverantwoordelijke, worden spanningen verhoogd en wordt de kans dat er actie wordt ondernomen steeds kleiner. Het is van belang ook steun te geven. Stel dat een DPO zijn organisatie adviseert over het wachtwoordbeleid en de verwerkingsverantwoordelijke dit advies ziet als een confrontatie. Dan is het moeilijk samenwerken. Het is dus van belang dat je als DPO jouw advies op zo’n manier overbrengt en dusdanig onderbouwt, dat de organisatie begrijpt waarom een verandering nodig is.

    Zonder oordeel

    Verder is het belangrijk om in je feedback oordelen te vermijden. Gebruik geen woorden als zwak, sterk, incompetent, besluiteloos, dictatoriaal, enzovoorts. Vermijd zeker ook vage stereotypen. Feedback en advies moet zo beschrijvend, concreet en neutraal mogelijk zijn.

    Weerstand

    Het is voor een DPO in zijn of haar adviserende rol niet altijd makkelijk om conclusies, adviezen en aanbevelingen te presenteren aan een organisatie. Er kan elk moment weerstand ontstaan. Voor een DPO is het goed om te weten dat kritiek en weerstand niet persoonlijk bedoeld is. Vat het daarom niet persoonlijk op. Benoem de weerstand op een neutrale en concrete wijze, zodat je meer informatie kunt krijgen over de weerstand die is ontstaan. Weerstand overwinnen is één van de moeilijkste dingen voor een DPO.

    rol dpo

  • Wat doet een Data Protection Officer (DPO)?

    Wat doet een Data Protection Officer (DPO)?

    Wat doet een Data Protection Officer (DPO)?

    In Nederland zijn organisaties in bepaalde situaties verplicht een Data Protection Officer (DPO) aan te stellen. Een DPO of functionaris gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de naleving van de Algemene verordening gegevensbescherming (AVG). Vanuit de wet worden er duidelijke eisen gesteld aan de positionering van een Data Protection Officer. Wil je een DPO aanstellen? Of ambieer je deze functie? Dan is het handig om te weten wat een Privacy Officer doet in een organisatie?

    Kennisniveau

    Van een DPO wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van de AVG, van de praktijk van databeveiliging en van de betreffende organisatie. Kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming is een vereiste. Hij of zij moet dus voor een goed overzicht van de betreffende informatie eerst informatie verzamelen, want kennis van de organisatie en de sector waarin die actief is, is van essentieel belang. Welke gegevens verwerkt de organisatie? En hoe is de bescherming van deze gegevensverwerkingen geregeld? Daarnaast kan de DPO door middel van een privacyscan onder medewerkers belangrijke informatie verzamelen over de omgang met persoonsgegevens op de werkvloer. Denk hierbij aan vragen over de bescherming van persoonsgegevens, applicaties die worden gebruikt voor bijvoorbeeld videoconferencing, privacybeleid, het herkennen van phishing, het wachtwoordbeleid en datalekken.

    Kerntaken van de Data Protection Officer samengevat

    1. Adviseren (gevraagd en ongevraagd)
    2. Toezien op naleving van de AVG
    3. Samenwerking met en contactpunt van de Autoriteit Persoonsgegevens
    4. Optreden als contactpunt voor betrokkenen

     

    Advies

    Op grond van de verzamelde informatie gaat de DPO deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen. Vervolgens wordt er advies gegeven. Het is van essentieel belang dat hij of zij onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie en rekening moet houden met de volgende zaken:

    • Hij of zij mag geen instructies ontvangen van de verwerkingsverantwoordelijke over de manier waarop er advies wordt uitgebracht of over de uitvoering van zijn/haar taken.
    • Ook mag hij/zij geen taken of plichten uitvoeren die in strijd zijn met zijn eigen taken als interne toezichthouder. Er mag geen belangenconflict ontstaan.
    • Onafhankelijkheid van de DPO is erg belangrijk.
    • Een DPO heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Hij of zij mag bijvoorbeeld niet ontslagen worden, vanwege het uitbrengen van een advies waarmee de leidinggevende het niet mee eens is.

     

    Zichtbaar

    Een Data Protection Officer moet zichtbaar zijn. Medewerkers en andere betrokkenen moeten hem of haar op een eenvoudige manier kunnen bereiken. Heldere communicatie aan alle medewerkers over de benoeming van de DPO mag niet ontbreken.

    Wil je Data Protection Officer worden?

    Wil je een carrièreswitch maken? Of wil je een praktische verdieping in je werk? Vergroot je kennis en vaardigheden die horen bij deze functie met een online training. Praktisch, flexibel, persoonlijke aandacht tijdens én na de training, certificaat, direct toepasbaar en makkelijk te combineren met je huidige baan.

    Voor elke branche een eigen DPO-training met herkenbare casussen:

    Zorg en Welzijn

    Onderwijs

    Zakelijk Nederland

    Overheid

    Kinderopvang

    wat doet een DPO?

     

  • Autorisatiebeheer: onmisbaar voor veilige informatieverwerking binnen je organisatie

    Autorisatiebeheer: onmisbaar voor veilige informatieverwerking binnen je organisatie

    In elke organisatie is het belangrijk om toegangsrechten goed te regelen. Vanaf het moment dat een medewerker in dienst komt tot aan het moment dat hij of zij vertrekt, moet duidelijk zijn wie toegang heeft tot welke informatie, systemen en ruimtes.

    Een goed ingericht autorisatiebeheer voorkomt dat onbevoegden toegang krijgen tot privacygevoelige gegevens of bedrijfsinformatie. Toch blijkt autorisatiebeheer in de praktijk vaak een lastige en tijdrovende klus. Gelukkig helpt een autorisatiematrix om structuur aan te brengen en inzicht te krijgen in de rechten van iedere gebruiker.

    In dit artikel lees je stap voor stap hoe je autorisatiebeheer opzet, hoe je een autorisatiematrix maakt en waarom dit een belangrijk onderdeel is van AVG-compliance en informatiebeveiliging.

     

    Wat is autorisatiebeheer?

    Autorisatiebeheer is het proces waarin wordt vastgelegd wie binnen een organisatie toegang heeft tot welke systemen, applicaties, gegevens, ruimtes of gebouwen. De rechten worden toegekend op basis van functie, rol en verantwoordelijkheden.

    Een goed autorisatieproces voorkomt dat medewerkers meer rechten hebben dan noodzakelijk, het zogenoemde ‘need-to-know-principe’. Dat betekent: alleen toegang tot de informatie die iemand écht nodig heeft om zijn of haar werk uit te voeren.

    Voorbeeld

    • Een financieel medewerker heeft toegang tot het boekhoudsysteem, maar niet tot de HR-dossiers.
    • Een ICT-beheerder heeft toegang tot technische instellingen, maar mag geen persoonsgegevens bewerken.
    • Een docent kan bij leerlinggegevens, maar niet bij financiële informatie van de school.

     

    De 10 stappen voor effectief autorisatiebeheer
    1. Inventariseer alle systemen en locaties

    Begin met een overzicht van alle applicaties, systemen en fysieke ruimtes. Noteer wie er toegang heeft en op welke manier. Denk hierbij ook aan externe partijen, zoals leveranciers of stagiairs.

    1. Maak gebruikersgroepen aan

    Verdeel gebruikers op basis van functie of afdeling, bijvoorbeeld ‘Financiën’, ‘HR’, ‘ICT’, ‘Marketing’. Per groep bepaal je welke toegang zij nodig hebben.

    ???? Tip: gebruik het need-to-know-principe: geef alleen toegang die strikt noodzakelijk is.

    1. Beoordeel huidige toegangsrechten

    Bekijk welke rechten medewerkers nu hebben en beoordeel of deze nog kloppen. Vaak blijken ex-medewerkers of oud-stagiairs nog toegang te hebben tot systemen  en dat is een groot risico voor datalekken.

    1. Koppel rollen aan rechten

    Breng in kaart welke rechten horen bij specifieke functies. Zo kan een afdelingsmanager meer inzage krijgen dan een medewerker, maar niet automatisch alle beheerdersrechten.

    1. Breng speciale toegangsrechten in beeld

    Sommige medewerkers hebben extra rechten nodig (zoals systeembeheerders). Beperk dit aantal zoveel mogelijk en leg vast wie deze rechten heeft en waarom.

    1. Stel de autorisatiematrix op

    De autorisatiematrix is het hart van je autorisatiebeheer. Hierin leg je vast:

    • Naam van de applicatie
    • Eigenaar en beheerder van de applicatie
    • Gebruikersrollen
    • Rechten per rol/gebruiker
    • Datum laatste controle (versiebeheer)

    Zo zie je in één oogopslag wie toegang heeft tot wat en waarom.

    1. Laat de autorisatiematrix controleren

    Laat de verantwoordelijke afdelingsmanager of applicatiebeheerder de matrix beoordelen. Zo borg je dat de informatie klopt en actueel blijft.

    1. Toepassing: rechten toekennen

    Na goedkeuring kun je de rechten daadwerkelijk instellen in de systemen. Houd wijzigingen bij in de autorisatiematrix én in de administratie van je informatieveiligheidssysteem.

    1. Controleer periodiek

    Voer regelmatig controles uit, bijvoorbeeld elk kwartaal. Controleer of de rechten nog overeenkomen met de actuele functies en verantwoordelijkheden.

    1. Verbeter continu met de PDCA-cyclus

    Gebruik de PDCA-cyclus (Plan-Do-Check-Act) om je autorisatieproces continu te verbeteren.

    • Plan: bepaal beleid en verantwoordelijkheden
    • Do: voer wijzigingen door
    • Check: controleer of alles nog klopt
    • Act: pas aan waar nodig

     

    Zo blijft je organisatie AVG-proof en veilig.

     

    Waarom autorisatiebeheer belangrijk is voor de AVG?

    De Algemene verordening gegevensbescherming (AVG) schrijft voor dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. Autorisatiebeheer is één van die maatregelen.

    Zonder goed beheer van toegangsrechten loop je risico op datalekken of onbevoegde inzage, wat kan leiden tot meldplicht bij de Autoriteit Persoonsgegevens of zelfs boetes.

    Voorbeeld:

    Een HR-medewerker die per ongeluk toegang houdt tot medische dossiers na een functiewijziging. Dit is een voorbeeld van een datalek.
    Met een actuele autorisatiematrix kun je dit eenvoudig voorkomen.

     

    Autorisatiebeheer en de rol van de Privacy Officer

    Een goed functionerend autorisatiebeheer is een belangrijk onderdeel van het werk van een Privacy Officer (PO). Deze functionaris bewaakt de naleving van privacyregels binnen de organisatie en adviseert over gegevensbescherming.

    Tijdens de opleiding Privacy Officer leer je:

    • hoe je autorisatiebeheer opzet;
    • hoe je een autorisatiematrix beheert;
    • hoe je risico’s analyseert;
    • en hoe je medewerkers bewust maakt van privacy en security.

     

    De opleiding is geschikt voor professionals in IT, HR, compliance of beleid die een bredere rol willen spelen op het gebied van privacy en informatiebeveiliging.

    Wil je meer weten over de Opleiding Privacy Officer of de klassikale opleiding Functionaris Gegevensbescherming?
    ???? Bekijk het opleidingsaanbod van AVG-trainingen met praktijkgerichte modules, actuele casussen en begeleiding door ervaren trainers.

     

     

Menu