AVG-trainingen

Auteur: Marco Boltjes

  • Wat doet een Privacy Officer?

    Wat doet een Privacy Officer?

    Steeds meer organisaties en bedrijven erkennen dat er voldoende aandacht besteed moet worden aan cybersecurity en privacy. Een goed ingericht informatiebeveiligingsbeleid is erg belangrijk om de continuïteit van de bedrijfsvoering te waarborgen en reputatieschade te voorkomen.

    Om grip te krijgen én te houden op privacy en informatiebeveiliging, stellen veel organisaties een Privacy Officer (PO) aan. Deze professional zorgt ervoor dat de organisatie bewust en verantwoord omgaat met persoonsgegevens, processen compliant zijn met de AVG, en medewerkers weten wat hun rol is in het beschermen van data.

    Hoewel het aanstellen van een Privacy Officer niet wettelijk verplicht is (in tegenstelling tot de Functionaris Gegevensbescherming), is het sterk aan te raden voor organisaties om wel Privacy Officer aan te stellen.

     

    Wat doet een Privacy Officer (PO) binnen een organisatie?

    De Privacy Officer is het dagelijkse aanspreekpunt voor privacy en informatiebeveiliging. Hij of zij vertaalt wet- en regelgeving naar praktische richtlijnen, begeleidt afdelingen bij het veilig verwerken van gegevens en zorgt ervoor dat privacy onderdeel is van de organisatiecultuur.

     

    De kerntaken van een Privacy Officer:
    Aanspreekpunt voor collega’s

    De PO beantwoordt vragen van medewerkers over privacy, gegevensverwerking en informatiebeveiliging. Denk aan situaties waarin collega’s twijfelen of ze persoonsgegevens mogen delen met een externe partij.

    Inrichten van procedures en werkprocessen

    De Privacy Officer helpt bij het opstellen en verbeteren van processen, zoals het afhandelen van inzageverzoeken van betrokkenen, het toekennen van toegangsrechten of het veilig verwijderen van data.

    Bewustwording en training

    De PO speelt een actieve rol in cybersecurity awarenessprogramma’s. Bijvoorbeeld door trainingen te organiseren over phishing of datalekpreventie.

    Uitvoeren van risicoanalyses

    Regelmatig worden risicoanalyses (DPIA’s) uitgevoerd om in kaart te brengen waar persoonsgegevens risico lopen en welke maatregelen nodig zijn.

    Beoordelen van verwerkersovereenkomsten

    De PO beoordeelt of externe partijen (zoals softwareleveranciers of cloudproviders) voldoen aan de juiste beveiligings- en privacyvoorwaarden.

    Beveiligingstoetsen uitvoeren

    Samen met de Security Officer (SO) beoordeelt de Privacy Officer of IT-leveranciers voldoen aan de vereiste beveiligingseisen en of er verbeteringen nodig zijn.

    Adviseren over privacy compliance

    De PO ondersteunt het management met advies over naleving van de AVG, bewaartermijnen, dataminimalisatie en gegevensbescherming.

    Bijhouden van het verwerkingsregister

    Alle verwerkingen van persoonsgegevens worden vastgelegd in een verwerkingsregister dat de Privacy Officer actueel houdt.

    Coördineren van datalekken

    Als er een datalek plaatsvindt, zorgt de PO dat het correct wordt gemeld, onderzocht en afgehandeld volgens de procedures.

    Samenwerking met de Functionaris Gegevensbescherming (FG)

    De Privacy Officer werkt nauw samen met de FG of DPO, die toezicht houdt op naleving van de AVG. De PO verzorgt de operationele uitvoering; de FG bewaakt de onafhankelijkheid en rapporteert aan het bestuur.

     

    Praktijkvoorbeelden
    • Onderwijssector: Een Privacy Officer in een schoolbestuur helpt bij het verwerken van leerlinggegevens en het naleven van het Normenkader Informatiebeveiliging en privacy.
    • Zorginstelling: De PO zorgt dat patiëntgegevens alleen toegankelijk zijn voor bevoegde zorgprofessionals en begeleidt DPIA’s bij nieuwe digitale zorgtoepassingen.
    • Gemeente of overheidsorganisatie: De Privacy Officer adviseert over toegangsrechten tot basisregistraties en controleert of datadeling met externe partijen AVG-proof is.
    • MKB-bedrijf: Een PO ondersteunt bij het opstellen van beleid rondom camera’s, personeelsgegevens en de beveiliging van klantinformatie.

     

    Privacy Officer worden?

    Wil je zelf Privacy Officer worden of je kennis verdiepen?
    AVG-trainingen biedt de Opleiding Privacy Officer, een praktijkgerichte training waarin je leert hoe je privacy en informatiebeveiliging in jouw organisatie kunt implementeren.

     

    Waarom kiezen voor onze opleiding?
    • Direct toepasbare kennis: Leer werken met DPIA’s, verwerkersovereenkomsten en het verwerkingsregister.
    • Herkenbare praktijkvoorbeelden: De opleiding bevat cases per branche, zoals onderwijs, zorg, overheid en MKB.
    • Flexibel leren of klassikaal: Volg de e-learning Privacy Officer op je eigen tempo of kies voor een klassikale training.
    • Verdiepende modules: Voor wie wil doorgroeien is er een vervolgopleiding tot Functionaris Gegevensbescherming (FG).

     

     

  • Hoe cyberveilig is jouw school in 2023?

    Hoe cyberveilig is jouw school in 2023?

    Ook in 2023 zullen Nederlandse onderwijsinstellingen in toenemende mate onder druk staan van cybercriminaliteit. Gewoon één simpele, onschuldige klik op een verkeerde link, kan je school al helemaal op haar kop zetten. Zo is vlak voor de kerstvakantie Stichting Openbaar Primair Onderwijs Zoetermeer (OPOZ) slachtoffer geworden van een hack-aanval. Volgens het schoolbestuur zijn er e-mails vanuit accounts van medewerkers verstuurd. Het gaat om phishingmails. Op de website datalekt.nl kun je een overzicht vinden van andere datalekken in het onderwijs. Het betreft datalekken die het nieuws hebben gehaald. De voorspelling is dat cybercriminelen nog gerichter de infrastructuur van organisatie gaan aanvallen. Cybersecurity hangt niet meer alleen af van de IT-beveiliging, maar ook medewerkers spelen hier een belangrijke rol in. Hoe maak jij je school cyberveilig in 2023? Hoe maak jij je docenten en andere medewerkers bewust van hun rol op het gebied van cybersecurity en privacy?

    Medewerker als belangrijke factor

    Veel scholen hebben fors geïnvesteerd in hun beveiligingstechnologie en denken ze dus niet meer ten prooi te vallen aan cybercriminelen. Helaas! Er is meer nodig dan techniek om ervoor te zorgen dat onbevoegden toegang krijgen tot gegevens die je als school verwerken. Wil je je school echt beschermen tegen cyberaanvallen? Begin dan bij je medewerkers. Uit verschillende studies is gebleken dat 95 procent van alle succesvolle cyberaanvallen worden veroorzaakt door menselijke fouten. Menselijke fouten zoals klikken op besmette links, hergebruiken van wachtwoorden of onzorgvuldig omgaan met persoonsgegevens. Hoe alert zijn de docenten en andere medewerkers op verdachte mails? Gebruiken ze sterke wachtwoorden? Hoe gaan ze om met sociale media? Weten ze waarop ze moeten letten als ze notities verwerken in een leerlingdossier? Wat weten ze over de inzagerechten van ouders? Weten ze welke gegevens ze wel of juist niet mogen delen met andere partijen?

    Hoe kun je je school cyberveilig maken?

    Er is niet één specifieke oplossing om gegevens te beschermen tegen cybercriminelen. Een combinatie van verschillende benaderingen is de beste manier om je organisatie naar een cyberveilig bestaan te leiden. Zie het awareness programma Privacy365 – Onderwijs als voorbeeld. Wanneer er te weinig aandacht wordt geschonken aan de kern van cybersecurity, oftewel de bewustmaking van je medewerkers, kunnen ook de daaropvolgende lagen jouw organisatie niet meer volledig beschermen tegen mogelijke cyberdreigingen. Menselijke fouten kunnen namelijk alleen voorkomen worden door voldoende awareness te creëren over de gevaren van onzorgvuldig handelen. Daarnaast kun je ze leren hoe wél te reageren op verdachte mails en andere gevaren.

    Medewerkers voortdurend bewustmaken

    Tegenwoordig moet elke onderwijsinstelling ervoor zorgen dat haar medewerkers voldoende opgeleid zijn om de verschillende privacyrisico’s en cyberdreigingen te herkennen. Ze moeten er adequaat op kunnen reageren. Dit kan alleen gerealiseerd worden door cybersecurity en privacy continu en op verschillende manieren en momenten onder aandacht te brengen van je medewerkers.

    Advies nodig?

    Wil je een bewustwordingscampagne opzetten en heb je daarbij advies nodig. Neem dan vrijblijvend contact met ons op. We helpen je graag.

    cyberveilig school

  • Hoe een datalek eenvoudig voorkomen kan worden binnen jouw gemeente

    Hoe een datalek eenvoudig voorkomen kan worden binnen jouw gemeente

    Een datalek bij een gemeente is altijd vervelend en in de ergste gevallen zijn de gevolgen ervan niet heel fraai. Volgens de website datalekt.nl waren er in december 2022 totaal tien datalekken bij verschillende Nederlandse overheidsorganisaties, waaronder gemeenten. Deze datalekken zijn grotendeels veroorzaakt door fouten van medewerkers. Zo kregen drie aanvragers van de TOZO-regeling bij de gemeente Leeuwarden per ongeluk een Excel-bestand met allerlei gegevens over andere aanvragers toegezonden. Het is altijd vervelend wanneer gevoelige gegevens en zeker van een grote groep in handen terechtkomt van onbevoegden. Houd ook in gedachten dat alleen grote datalekken het nieuws halen. Hoeveel datalekken er precies zijn, kunnen we nooit weten. Maar we kunnen wel onze best doen om de kans op datalekken te verkleinen. Hoe zorg je als gemeente ervoor dat personeel zorgvuldig omgaat met privacygevoelige informatie? Hoe voorkom je datalekken binnen jouw gemeente en zorg je voor meer privacy awareness op de werkvloer?

    Elke gemeente verwerkt voor haar wettelijke taken veel vertrouwelijke informatie, zoals gegevens over zorg, inkomen, werk, veiligheid en andere gevoelige gegevens. De beveiliging van al deze gegevens hangt niet meer alleen af van de IT-beveiliging van de gemeente, maar ook medewerkers spelen daar een belangrijke rol in. Een simpele klik op de verkeerde link kan al genoeg zijn om de hele organisatie plat te leggen. Het is daarom van essentieel belang om medewerkers bewust te maken van hun rol op het gebied van informatiebeveiliging. Hoe maak je als gemeente de juiste keuzes op het gebied van cyberawareness?

    Aandachtspunten cybersecurity awareness campagne

    Uit verschillende studies is gebleken dat bijna 70 procent van succesvolle cyberaanvallen vermeden kunnen worden. En dat kan simpelweg door aandacht te besteden aan de bewustwording van medewerkers over cyberdreigingen en zorgvuldige omgang met persoonsgegevens op de werkvloer. Wel moet je rekening mee houden dat je medewerkers niet overlaadt met te veel trainingen, zoals nanolearning. Al die minitrainingen kunnen medewerkers als vervelend gaan ervaren en roept het onderwerp weerstand op. Alles wat ‘te’ is, is niet goed. Daarnaast moet je ook nagaan of de manier van trainen wel effectief is voor een complex onderwerp als cybersecurity en privacy. Bij informatiebeveiliging en privacy gaat het om drie belangrijke aspecten: techniek, menselijke factor en beleid (wet- en regelgeving). Deze drie aspecten vormen een geheel en kan niet in de vorm van nanolearning aangeboden worden. Nanolearning is een nano-onderdeel van een security- en privacybewustwordingscampagne en dus niet zo zeer geschikt voor cyberawareness. Nanolearning kun je vergelijken met een poster. Je wordt heel even herinnerd aan een micro-onderdeel, bijvoorbeeld ‘sterke wachtwoorden’. Maar je moet wel eerst begrijpen waarom het belangrijk is om sterke wachtwoorden te gebruiken (het geheel). Medewerkers moeten eerst het geheel begrijpen.

    Privacy365 – Overheid

    Met behulp van Privacy365 – Overheid kun je medewerkers eerst trainen aan de hand van een e-learning, vervolgens breng je kleine stukjes cybersecurity content regelmatig onder de aandacht van het personeel. Dat doe je door middel van posters, nieuwsbrieven en werkoverleg. Je kunt ook Phishing simulatie opnemen in je bewustwordingscampagne. Nieuwe medewerkers kunnen heel eenvoudig opgenomen worden in het programma. De combinatie en integratie van verschillende manieren van leren geeft niet alleen voor het individueel niveau, maar ook voor het organisatieniveau de beste resultaten in termen van competenties, zorgvuldig handelen en cultuurverandering.

    Elke doelgroep een eigen training

    Iedere medewerker heeft op zijn/haar eigen manier te maken met informatiebeveiliging en privacy. Daarom hebben we voor elke doelgroep een eigen training passend bij de functie van de medewerker.

    Kies voor volledige ontzorging

    Wil jij ook jouw gemeente wapenen tegen cyberaanvallen en wil je daarbij volledig ontzorgd worden? Neem dan nu contact op met één van onze experts of download de brochure Privacy365 – Overheid voor meer informatie.

    datalek gemeente

  • Geen wetenschappelijk bewijs dat nanolearning werkt voor security awareness trainingen

    Geen wetenschappelijk bewijs dat nanolearning werkt voor security awareness trainingen

    Helaas is er nog geen wetenschappelijk bewijs aanwezig dat nanolearning een effectieve methode is om security- en privacyawareness te creëren binnen een organisatie. Nanolearning, ook wel nugget genoemd, zijn traininkjes van ongeveer 3 minuten. In onze swipe- en scrollcultuur kan nanolearning wel handig zijn om bepaalde lesstof in kleine hapklare brokken aan te bieden, maar je moet er rekening mee houden dat het niet geldt voor alle thema’s. Het thema security- en privacyawareness is een complex thema en dus niet geschikt voor nanolearning. Bij cyberawareness gaat het om drie belangrijke aspecten: techniek, menselijke factor en beleid (wet- en regelgeving). Deze drie aspecten vormen een geheel en kan niet als nanolearning aangeboden worden. Nanolearning is eigenlijk een nano-onderdeel van een security- en privacybewustwordingscampagne. Een nanolearning kun je vergelijken met een poster. Je wordt heel even herinnerd aan een micro-onderdeel, bijvoorbeeld ‘sterke wachtwoorden’. Maar je moet wel eerst begrijpen waarom het belangrijk is om sterke wachtwoorden te gebruiken (het geheel).

    Voorbeeld waarom nanolearning niet werkt voor cybersecurity- en privacyawareness

    De marketing medewerker ‘Penny’ richt direct marketing aan Nederlandse functionarissen gegevensbescherming (FG’s), privacy officers, security managers en andere privacy professionals om een product te promoten. Er wordt een klacht ingediend tegen het bedrijf van ‘Penny’ voor misbruik van gegevens van betrokkenen voor direct marketing. Uit nader onderzoek blijkt dat ‘Penny’ de e-mailadressen en andere gegevens van deze privacy professionals zonder toestemming via de websites heeft verzameld. Penny volgt security awareness training via nanolearning. Ze heeft geen complete training (of e-learning) gevolgd en een toets gemaakt. Dit heeft als gevolg dat ze alleen leert over oppervlakkige onderdelen. Ze mist het geheel, namelijk je moet altijd rekening houden met de privacyrechten van betrokkenen, je moet toestemming vragen en dat moet je ook op de juiste manier doen.

    Kun je binnen drie minuten iets leren?

    Volgens Schunk (2012) is leren een duurzame verandering in gedrag of in het vermogen om je op een bepaalde manier te gedragen. Mensen leren op verschillende manieren (Simons, 2000). Leren is niet alleen een individueel proces met individuele resultaten, maar evenzeer een sociaal proces waarvan de resultaten bestaan uit sociaal gedeelde betekenissen. Leren is iets bestuderen, actief verwerken, informatie toepassen en reflecteren. Krijg je dat binnen drie minuten voor elkaar (nanolearning)? Je kunt wel een video van drie minuten bekijken om kennis te activeren, maar verder is de toepasbaarheid van nanolearning vrij beperkt. Het is jammer dat de werkelijke definitie en bedoeling van nanolearning door bepaalde organisaties op een verkeerde manier wordt uitgelegd. Nanolearning is een nano deel van het leerproces.

    Cybersecurity awareness en verschillende manieren van leren

    Leren gebeurt op verschillende manieren: ervaringsleren, zelf-gestuurd leren, begeleid leren en samen leren. Cybersecurity en privacy is een complex thema. Het doel van cybersecurity- en privacybewustwording is gedragsverandering om persoonsgegevens in je organisaties veilig te houden en onnodige boetes te voorkomen. Zo heeft de AP in 2020 een boete van 525.000 euro uitgedeeld aan de KNLTB voor het gebruiken van persoonsgegevens van leden zonder hun toestemming. In een security en privacy awareness campagne moet er aandacht zijn voor wat, hoe en waarom. Als impliciete aannames over leren die zijn gebaseerd op slechts één nano onderdeel van het leerproces, is de kans groot dat belangrijke onderdelen van het thema cybersecurity en privacy onopgemerkt of onbegrepen blijven.

    Wij ontwikkelen onze trainingen daarom in samenwerking met verschillende professionals, waaronder een vakdidacticus. Iemand die nadenkt over kennisoverdracht, het aanleren van vaardigheden en inzicht. Een breder begrip van leren zoals dat plaatsvindt is van essentieel belang om sturing te kunnen geven aan het gewenste leren in hedendaagse organisaties.

    In Privacy365 is nagedacht over de manier waarop iemand leert:

    • Training (e-learning): zelfstandig
    • Content voor nieuwsbrief, posters en veelgestelde vragen cybersecurity en privacy: kennis activeren en toepassen, interactie
    • Toolbox voor leidinggevende: leren door sociale interactie
    • Elke doelgroep een eigen training: elke medewerker heeft op zijn/haar eigen manier te maken met cybersecurity en privacy. Daarom hebben we voor elke doelgroep en elke branche een eigen training passend bij de functie.

    Het combineren en integreren van verschillende manieren van leren geeft niet alleen voor het individueel niveau, maar ook voor het organisatieniveau de beste resultaten in termen van competenties, productief handelen en cultuurverandering.

    Wil je meer weten over Privacy365 of wil je succesvol een cybersecurity en privacy awarenesscampagne opzetten? Neem vrijblijvend contact met ons op. We helpen en ontzorgen je graag op dit gebied.

     

     

  • Het verschil tussen geanonimiseerde en gepseudonimiseerde persoonsgegevens

    Het verschil tussen geanonimiseerde en gepseudonimiseerde persoonsgegevens

    Ken jij het verschil tussen geanonimiseerde en gepseudonimiseerde persoonsgegevens? Waarom is het belangrijk dat medewerkers van jouw organisatie het verschil tussen anonimiseren en pseudonimiseren wel kennen? Moet je rekening houden met de AVG? Lees dit artikel om antwoorden te krijgen op de vragen.

    Gepseudonimiseerde persoonsgegevens

    Pseudonimisering van gegevens is een beveiligingsmaatregel waarbij persoonsgegevens op zodanige wijze wordt verwerkt dat de gegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Voor veel doelen en analyses is het niet belangrijk om de persoon of personen achter de gegevens te kennen. Op gepseudonimiseerde persoonsgegevens is de AVG wel van toepassing, omdat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat onbevoegden geen koppeling kunnen maken met het bestand met aanvullende gegevens.

    Voorbeeld: Wanneer je als auteur niet wil dat mensen weten dat jij een boek hebt geschreven, gebruik je daarvoor een pseudoniem. Zo ongeveer werkt dit idee in data-analyse. In data-analyse is pseudonimiseren een proces waarbij identificeerbare gegevens worden vervangen door een code. Je kunt bijvoorbeeld zien dat iemand in december een verre reis heeft geboekt en diegene in april een weekendje in Nederland heeft geboekt. Maar je ziet niet wie die persoon is.

    Medewerkers en gepseudonimiseerde persoonsgegevens

    Medewerkers die werken met gepseudonimiseerde persoonsgegevens, moeten rekening houden met de ontwikkeling van nieuwe databronnen en -methoden waarmee pseudonieme gegevens alsnog te herleiden zijn. Denk daarbij aan externe bronnen zoals de Basisregistratie Personen, de Kamer van Koophandel, het Kadaster, de Telefoongids, Facebook en Twitter. Met gepseudonimiseerde gegevens die bijvoorbeeld een datum, locatie of tijd bevatten, kan er een koppeling gemaakt worden met andere beschikbare gegevens. Medewerkers moeten zich van bewust zijn van het feit dat de AVG van toepassing is op gepseudonimiseerde persoonsgegevens.

    In de sectoren onderwijs en zorg wordt er veel gewerkt met gepseudonimiseerde persoonsgegevens. In het onderwijs wordt bijvoorbeeld de NAW-gegevens van een leerling in een dossier door een uniek leerlingnummer vervangen. De te bespreken gegevens worden dan gekoppeld aan het leerlingnummer in plaats van aan de NAW-gegevens. Hierdoor is het voor onbevoegden niet zichtbaar wie de betrokkene is waar de te bespreken gegevens aan toebehoren. Alleen degene die de koppeling kan maken tussen de NAW-gegevens van de leerling en het unieke leerlingnummer is in staat om de gegevens te koppelen aan de geïdentificeerde leerling.

    Geanonimiseerde persoonsgegevens

    Anonieme gegevens zijn gegevens die niet terug te voeren zijn op een geïdentificeerde of identificeerbare natuurlijke persoon. Deze gegevens zijn hebben helemaal geen betrekking meer op individuen. Bij anonimisering mogen dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon. De AVG is niet van toepassing op volledig geanonimiseerde gegevens.

    Met security-awarenesstrainingen maak je je medewerkers weerbaar tegen cyberaanvallen. Benieuwd naar de mogelijkheden? Neem dan contact met ons op.

     

  • 5 tips om meer cyberawareness binnen jouw gemeente te kweken

    5 tips om meer cyberawareness binnen jouw gemeente te kweken

    Insider threats heb je in elke organisatie. Insider threats zijn incidenten die worden veroorzaakt door bewust of onbewust handelen van eigen medewerkers. Denk bijvoorbeeld aan een medewerker die per ongeluk dossiers naar een verkeerde ontvanger verstuurt of een secretaresse die toegang heeft tot veel meer gegevens dan zij nodig heeft voor haar werk. Of een medewerker die phishingberichten niet kan herkennen. Een gebrek aan cyberawareness onder medewerkers kan ertoe leiden dat belangrijke data en persoonsgegevens door een menselijke fout of door een hackaanval op straat komen te liggen. Phishing is bijvoorbeeld één van de meest doordringende cyberdreigingen, met verschillende methoden die die cybercriminelen gebruiken om informatie van organisaties te stelen. Voor elke gemeente is het daarom noodzakelijk om doorlopende cyberawareness op de agenda te plaatsen. Het creëren van awareness op het gebied van cybersecurity en privacy kan voor veel gemeenten een uitdaging zijn. Hoe creëer je gedragsverandering om cyberdreigingen en privacyrisico’s binnen jouw gemeente te verkleinen? In dit artikel delen wij enkele succesvolle en interessante aanvliegroutes die andere organisaties in gang hebben gezet om doorlopende cyberawareness binnen hun organisatie te kweken.

    1 Nulmeting cyberawareness

    Een nulmeting cyberawareness geeft je inzicht in het actuele cybersecurity en privacy awareness niveau van medewerkers en potentiële beveiligingsrisico’s. Hoe cyberbewust zijn medewerkers binnen jouw gemeente? Zijn zij op de hoogte van het informatiebeveiligingsbeleid dat binnen de gemeente geldt? Zijn zij op de hoogte van hun verantwoordelijkheden en rollen die ze hebben op het gebied van cybersecurity en privacy en handelen ze er ook naar? De nulmeting is een goede basis voor een meetbare gedragsverandering en actiepunten voor een doorlopende awarenessprogramma.

    2 Verantwoordelijkheid lijnmanagers

    Voor het creëren van doorlopende cyberawareness binnen een gemeente is het bundelen van krachten belangrijk. Cybersecurity en privacy geldt voor alle processen binnen een gemeente. Het beperkt zich niet alleen tot de IT-afdeling, maar heeft betrekking op het bestuur, lijnmanagers, medewerkers, bezoekers, enzovoorts. De basis voor een doorlopende cyberawarenessprogramma binnen een gemeente begint bij het beleggen van verantwoordelijkheden. In de praktijk zien we vaak dat lijnmanagers niet worden meegenomen in het cyberawarenessprogramma of ze krijgen weinig tot geen ondersteuning om hun rol goed uit te kunnen voeren. De rol van lijnmanagers wordt vaak onderschat. Een lijnmanager is het interne gezicht van zijn afdeling. Hij of zij heeft veruit de grootste invloed op de gedragsverandering van de medewerkers van zijn of haar afdeling. Dat veel organisaties er niet in slagen om hun lijnmanagers te betrekken in cybersecurity en privacy is een gemiste kans. Het is van belang om in dialoog te gaan met lijnmanagers en ze te betrekken bij het cyberawarenessprogramma. De lijnmanager moet eerst helder krijgen wat cyberawareness toevoegt aan waarde voor de gemeente. Alleen met de juiste training, kennis, vaardigheden en attitude zal een lijnmanager in staat zijn om de betrokkenheid van zijn of haar afdeling te vergroten.

    3 Aanpak in fases

    Het is van belang om het awarenessprogramma in behapbare brokken op te delen. Het opsplitsen van de activiteiten in het cyberawarenessprogramma in fasen helpt je om in gecontroleerde stappen naar het resultaat toe te werken. Herhaling is een krachtige manier om de boodschap over cybersecurity en privacy te laten beklijven. Een cyberawarenessprogramma moet niet ingevoerd worden als een eenmalige actie, maar juist als regelmatig terugkerende activiteiten. Alleen dan wordt cyberawareness onderdeel van het DNA van de gemeente. Cyberawareness is niet iets eenmaligs en vereist veel herhaling.

    4 Voor elke doelgroep een eigen cybersecurity awareness training

    Een solide cyberawarenessprogramma bestaat uit verschillende middelen. Denk aan een combinatie met bijvoorbeeld trainingen, posters, nieuwsbrieven, werkoverleg, FAQ, enzovoorts. Daarnaast is personalisatie voor medewerkers van belang. Elke medewerker heeft op zijn of haar eigen manier te maken met cybersecurity en privacy. Daarom moeten medewerkers trainingen aangeboden krijgen die gekoppeld zijn aan hun verantwoordelijkheid, rol, niveau en afdeling.

    5 Simuleer cyberdreigingen

    Datalekken komen helaas vaker voor dan dat we zouden willen. Een ongeluk zit vaak in een klein hoekje. Het analyseren van gedrag van medewerkers bij bepaalde cyberdreigingen kan enorm leerzaam zijn. Een goed starpunt hierbij is phishingsimulatie. Een goed uitgevoerde phishingsimulatie legt namelijk duidelijk de kwetsbaarheden bloot over hoe cybercriminelen van buitenaf toegang kunnen krijgen tot gevoelige gegevens van de gemeente. Medewerkers worden niet alleen geconfronteerd met hun eigen handelen, maar dragen zelf bij aan positieve gedragsverandering. Ze leren in deze situaties wat gewenst gedrag is, om zo toekomstige cyberdreigingen te herkennen en te voorkomen.

    Kies voor volledige ontzorging

    Versterk de cybersecurity en privacy van jouw gemeente met onze totaaloplossingen. Wanneer de cyberawareness van jouw medewerkers stijgt, loopt jouw gemeente minder kans om getroffen te worden door een datalek of cyberaanval. Onze oplossing Privacy365 Overheid en full-service Phishing Simulatie maken van jouw medewerkers een human firewall.

    • Privacy365 Overheid is beschikbaar als alles-in-één-pakket
    • De invoering verloopt simpel en je kan opschalen wanneer je wilt
    • Inclusief managementtool voor inzicht in het kennis- en bewustzijnniveau van jouw medewerkers

     

    Wij ontzorgen gemeentes volledig: van nulmeting tot de invoering van phishingsimulaties, denk ook aan trainingen voor lijnmanagers of Privacy Officers. We hebben alles in huis. Laat ons weten wat de wensen zijn en wij doen het werk. Neem contact met ons op voor meer informatie.

     

  • DPIA Microsoft Teams, OneDrive en SharePoint Online én de mitigerende maatregelen

    DPIA Microsoft Teams, OneDrive en SharePoint Online én de mitigerende maatregelen

    SLM Rijk heeft een Data Protection Impact Assessement  (DPIA) laten uitvoeren op de gegevensverwerking via Microsoft Teams, OneDrive en SharePoint Online. Denk hierbij aan Microsoft Teams (samenwerken en videobellen) in combinatie met OneDrive (cloudopslag) en SharePoint (documentenbeheer). Uit deze DPIA is gebleken dat er één hoog privacyrisico en zes lage privacyrisicos bestaan voor de verwerking van persoonsgegevens bij het gebruik deze diensten. Organisaties kunnen mitigerende maatregelen nemen om deze risico’s te beperken.

    Hoog risico Microsoft Teams, OneDrive en SharePoint Online

    Het hoge risico gaat over de verwerking van zeer gevoelige en bijzondere persoonsgegevens via Microsoft Teams, OneDrive en SharePoint Online. Dit vanwege de mogelijke toegang door opsporings- en inlichtingendiensten in de Verenigde Staten. Via de Amerikaanse wetgeving kan er toegang tot gevoelige en bijzondere persoonsgegevens gevorderd worden, omdat Microsoft een Amerikaans bedrijf is.

    Welke mitigerende maatregelen kunnen organisaties nemen tegen dit hoge risico?

    • Wissel geen gevoelige en bijzondere persoonsgegevens uit via Teams-gesprekken die niet en-to-end versleuteld zijn.
    • Het gebruik van Double Key Encryption wordt aangeraden voor bestanden met gevoelige of bijzondere persoonsgegevens die zijn opgeslagen in OneDrive/SharePoint, opnamen van Teams-gesprekken.
    • Maak gebruik van Customer Lockbox om andere opgeslagen persoonsgegevens te beschermen.
    • Schakel E2EE standaard in voor een-op-een gesprekken in Teams en instrueer eindgebruikers om ook zelf E2EE in te schakelen.
    • Maak privacybeleid voor Teams en OneDrive voor interne en gastgebruikers. Stel regels op voor het delen van bestanden en beeldmateriaal. Informeer medewerkers en gastgebruikers goed en laat ze deze regels accepteren door middel van de voorwaarden die door Azure AD worden opgelegd.

    Lage privacyrisico’s Microsoft Teams, OneDrive en SharePoint Online

    In de onderstaande tabel staan zes lage privacyrisico’s die zijn geïdentificeerd én de mitigerende maatregelen die worden geadviseerd op basis van de uitkomsten van de DPIA.

    [table id=1 /]

    Implementatieadvies

    Om organisaties te helpen, geeft het team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rij, aanvullend op de adviezen in de DPIA, de volgende implementatieadviezen:

    1. Gebruik een pop-up met spelregels die nieuwe of externe deelnemers moeten accepteren, over de omgang met bijzondere persoonsgegevens. Bijvoorbeeld: deel geen bijzondere persoonsgegevens in de chat en bestanden. Zo’n pop-up kan getoond worden via de Azure AD. Dat is de laatste tip bij het hoge risico in de DPIA.
    2. Informeer deelnemers voor de meeting (tenzij het absoluut nodig is dat deelnemers in beeld zijn) op de mogelijkheid om hun camera uit te zetten als zij het vervelend vinden om zichtbaar in beeld te komen.
    3. Maak beleid over cloudopnames van vergaderingen en bepaal een bewaartermijn. Hoe korter de bewaartermijn, hoe kleiner de kans dat gegevens kunnen worden opgevraagd door Amerikaanse opsporings- en inlichtingendiensten. Microsoft schrijft op https://docs.microsoft.com/en-us/microsoftteams/cloud-recording dat het volgens haar klanten bijna nooit gebeurt dat opnames ouder dan 60 dagen worden teruggekeken.
    4. Neem bij een opname niet de galerij met deelnemers en de chats op.

     

    Bronnen

    Rijksoverheid

    Ministerie van Justitie en Veiligheid

  • De vijf meest gehoorde en onterechte excuses van ondernemers om geen aandacht te besteden aan cybersecurity en privacy awareness

    De vijf meest gehoorde en onterechte excuses van ondernemers om geen aandacht te besteden aan cybersecurity en privacy awareness

    Uit het nieuwe BlackBerry Threat Report 2022 blijkt dat cybercriminelen steeds vaker samenwerken om mkb-bedrijven te hacken. Midden- en kleinbedrijven blijven volgens dit onderzoek een epicentrum voor cybercriminelen, omdat cybercriminelen steeds meer gaan samenwerken. Desondanks zijn er nog steeds ondernemers die weigeren te investeren in cybersecurity en privacy awareness. Het idee dat mkb-bedrijven niet interessant zijn voor cybercriminelen, is heel erg achterhaald. 1 op de 5 mkb-bedrijven krijgen te maken met cybercriminaliteit. Het verhogen van cybersecurity en privacy awareness is daarom essentieel voor mkb-bedrijven. Hieronder de vijf meest gehoorde en onterechte excuses van ondernemers om geen aandacht te besteden aan cybersecurity en privacy awareness:

    1             We zijn te klein, dus niet interessant voor cybercriminelen

    Elke organisatie is een potentieel slachtoffer. Voor cybercriminelen maakt het niet uit hoe groot of klein een organisatie is. Ondernemers in het mkb zijn in het bezit van bank-, creditcard- en persoonlijke gegevens die zeer aantrekkelijk zijn voor cybercriminelen. Het is naïef om te denken dat een cybercrimineel jouw organisatie niet interessant zou vinden.

    2             Mijn IT-leverancier regelt de beveiliging voor ons

    Risicomanagement houdt in dat bedrijven passende maatregelen nemen voor de specifieke risico’s die voor dat bedrijf gelden. Het is dan ook van belang dat niet enkel technische maatregelen worden genomen, maar ook maatregelen gericht op het menselijk handelen binnen de organisatie. Of het nu gaat om bewust handelen om fouten te voorkomen (sterke wachtwoorden gebruiken, niet zomaar klikken op phishingmails, goed opletten tijdens het versturen van e-mails) of het vanzelfsprekend vinden om je aan bepaalde afspraken te houden (geen usb-sticks gebruiken, clear desk of je laptop niet in de auto laten liggen); de menselijke factor is in grote mate bepalend voor cybersecurity en privacy.

    3             Wij hebben goede back-ups

    We hebben goede back-ups, en als we door ransomware worden getroffen, herstellen we gewoon alles. Dus wat is dan het probleem? Back-ups zijn natuurlijk noodzakelijk, maar een goede back-up is nog geen oplossing tegen ransomware. Het herstellen van de infrastructuur van een computer met een back-up is een lastige klus en het proces kan lang duren. Gestolen data, blijven gestolen. De kans blijft bestaan dat er toch privacygevoelige gegevens op het dark web belandt.

    4             Wij werken volledig in de cloud

    Veel ondernemers realiseren zich onvoldoende dat hun data ook in de cloud vatbaar is voor ransomware. Het aantal ransomware-aanvallen in de cloud stijgt. De gevolgen van een ransomware-aanval in de cloud zijn desastreus. Veel ondernemers gebruiken de cloud voor hun gehele bedrijfsvoering en/of voor hun back-ups.

    5             Er is weinig tot geen budget

    Of je te maken hebt met een bedrijf met 10 of 300 medewerkers, er is bijna altijd te weinig budget voor cybersecurity en privacy. Bedrijven digitaliseren in een hoger tempo dan ooit hun bedrijfsvoering en dienstverlening. Digitalisering biedt vele voordelen, maar bedrijven stellen zich daarmee ook in toenemende mate bloot aan cybercriminaliteit. Het is van belang om ook budget te reserveren voor cybersecurity en privacy.

    Uit wereldwijde statistieken blijkt dat steeds meer organisaties te maken krijgen met cybercriminaliteit. Je kent als ondernemer ongetwijfeld de verhalen over ransomware-aanvallen uit de media. Complete bedrijfsnetwerken worden platgelegd waardoor alles stilvalt en pas na betaling van losgeld kan er herstart worden. De verwachting is dat steeds meer organisaties slachtoffer zullen worden. Meer bewustwording is nodig.

    Privacy365 Zakelijk Nederland – compleet pakket voor doorlopende privacybewustzijn

    Er ontstaat meer privacybewustzijn door herhaling. De trainingen van Privacy365 Zakelijk Nederland bestaan uit theorie to-the-point, herkenbare casussen en uitlegfilmpjes. Daarnaast komen werknemers AVG-posters tegen op de werkvloer en lezen ze ook informatieve stukjes in de personeelsinfo. Deze vorm van microlearning zorgt voor een snellere toename in AVG-kennis en bewustzijn rondom cybersecurity en privacy.

    • Continue herhaling zorgt voor een toename in AVG-kennis en privacybewustzijn
    • Het kan eenvoudig en gefaseerd ingezet worden
    • Theorie to-the-point en herkenbare casussen zorgen voor een hogere betrokkenheid bij medewerkers
    • Phishing en ransomware herkennen en voorkomen
    • Volledig afgestemd op de werkpraktijk van jouw werknemers
    • Praktische indeling in meerdere thema’s en onderwerpen
    • E-learning, dus altijd en overal toegankelijk

     

  • 5 belangrijkste privacyrisico’s in relatie tot onzorgvuldig gedrag van medewerkers in het onderwijs

    5 belangrijkste privacyrisico’s in relatie tot onzorgvuldig gedrag van medewerkers in het onderwijs

    Door de groeiende cyberdreiging moeten veel scholen zich beter gaan beveiligen. Vooral het onderwijs is onvoldoende voorbereid op cyberaanvallen. De Autoriteit Persoonsgegevens (AP) heeft de trends en privacyrisico’s voor gegevensbescherming in het onderwijs in kaart gebracht. Aan de hand van deze bevindingen heeft de onderwijssector aanbevelingen ontvangen van de AP om gegevens van leerlingen, ouders en medewerkers te beschermen tegen cyberdreigingen. Technische maatregelen zijn niet genoeg om een school te beschermen tegen cyberdreigingen en privacyrisico’s. Het belang van de menselijke factor moet niet worden onderschat. Medewerkers moeten ook bewust gemaakt worden van het belang van informatiebeveiliging en privacy. In dit artikel besteden we aandacht aan 5 belangrijkste privacyrisico’s in relatie tot onzorgvuldig gedrag van medewerkers in het onderwijs.

    1. Wachtwoorden

    Wachtwoorden zijn al geruime tijd in omloop als beveiligingsmaatregel, maar helaas werkt deze maatregel niet altijd. Er zijn nog steeds medewerkers die dezelfde 2 of 3 wachtwoorden voor meerdere accounts gebruiken. Ook zien we nog steeds in organisaties wachtwoorden voorbijkomen die makkelijk te kraken zijn. Er zijn ook organisaties waar complete systemen met slechts één wachtwoord worden beveiligd. Scholen moeten meer aandacht besteden aan hun wachtwoordbeleid en hun medewerkers trainen in het gebruik van sterke wachtwoorden en meerfactorauthenticatie.

    1. Onbeveiligd versturen van bijlagen in een e-mail

    Bij veel medewerkers is nog niet voldoende besef aanwezig van de gevaren van het versturen van privacygevoelige en/of bijzondere persoonsgegevens via de e-mail. Aan het verzenden van gegevens via e-mail zitten risico’s. Wil je bijvoorbeeld persoonsgegevens over leerlingen, ouders of collega’s via e-mail versturen? Dan ben je er als medewerker verantwoordelijk voor dat je die gegevens veilig verstuurt. Een ander belangrijk aandachtspunt is dat je als medewerker moet nagaan of het écht noodzakelijk is en of het toegestaan is om gegevens te delen met derden.

    1. Phishing herkennen en voorkomen

    Zelfs als veel e-mails worden tegengehouden door spamfilters en andere beveiligingsmaatregelen, kunnen er altijd valse mails in postvakjes verschijnen. Dan is de medewerker aan zet. De mens is de zwakste schakel als het gaat om gegevensbescherming. Phishing berichten worden steeds beter en cybercriminelen verplaatsen zich ook naar andere media. Een medewerker hoeft maar één moment niet op te letten en de gevolgen kunnen groot zijn voor een school. Het openen van een e-mailbijlage of het klikken op een linkje kan voor een school grote gevolgen hebben, zoals het functioneren van alle digitale processen, hoge kosten, imagoschade en diefstal van gegevens. Het is dus belangrijk om medewerkers weerbaar te maken tegen phishing en andere privacyrisico’s in het onderwijs.

    1. Werk en privé

    Steeds meer werknemers gebruiken één apparaat voor zowel zakelijk als privégebruik. Medewerkers die in het weekend nog even een zakelijke mail sturen met hun eigen smartphone. Of een medewerker die juist overdag op het werk nog even snel bioscoopkaartjes bestelt op de werklaptop. Ook gebeurt het weleens dat de kinderen of de partner gebruikmaakt van de werklaptop van de werknemer. Het is goed om te beseffen dat de school normaal gesproken verantwoordelijk is voor eventuele schade die ontstaat door bijvoorbeeld virussen of ransomware. Leest een werknemer zakelijke e-mails op zijn eigen smartphone? Opent hij/zij daarbij zonder het te beseffen een besmette bijlage? Dan draait de school zelf op voor de eventuele gevolgen en privacyrisico’s die hierdoor ontstaan aan het schoolnetwerk. Bewustwording en voorlichting op dit gebied is zeker geen overbodige luxe. Een goede beveiliging begint dan ook bij goede voorlichting en training van medewerkers op het gebied van device- en databeveiliging.

    1. Sociale media

    Medewerkers uit het onderwijs zijn heel actief op sociale media. Er wordt informatie gedeeld en besproken. Mentoren die casussen op Facebook bespreken, hun e-mailadressen bij ‘opmerkingen’ plaatsen voor gratis lesmateriaal, enzovoorts. Hackers maken dankbaar gebruik van deze gegevens. Laat medewerkers zich bewust zijn van hun eigen handelen op sociale media. Bespreken ze wel eens een casus van hun werk op sociale media? Dan moeten ze beseffen dat mensen (leerlingen, ouders en collega’s) zich hierin kunnen herkennen. Ze moeten ervoor zorgen dat mensen voldoende anoniem blijven. Alleen een fictieve naam gebruiken, is onvoldoende.

    Heb je ontzorging nodig op het gebied van privacybewustwording?

    Voor het onderwijs hebben we voor elke doelgroep een eigen cybersecurity en privacy training ontwikkeld. Zeer compleet en aantrekkelijk geprijsd.

     

  • 6 goede voornemens voor cybersecurity en privacy!

    6 goede voornemens voor cybersecurity en privacy!

    Het team van AVG-trainingen is weer actief! In december 2021 publiceerden we het artikel Wat is er gebeurd in 2021 op het gebied van cybersecurity en privacy?. Het aantal cybersecurityincidenten groeit met de dag. Bij deze aanvallen gebruiken cybercriminelen ransomware of phishing. In 2022 staan organisaties voor de uitdaging om zich proactief te beschermen tegen cyberdreigingen. Om zich hiertegen te beschermen, dienen organisaties hun kijk op cybersecurity en privacy dan ook te veranderen. Daarom beginnen we vandaag met 6 goede voornemens voor cybersecurity en privacy in 2022.

    1. Gebruik sterke wachtwoorden

    Sterke wachtwoorden helpen voorkomen dat onbevoegden toegang krijgen tot systemen, bestanden, programma’s en andere bronnen. Een sterk wachtwoord is moeilijk te raden of te kraken zijn. We zien nog steeds in organisaties wachtwoorden voorbijkomen die makkelijk te kraken zijn of dat wachtwoorden worden hergebruikt. Hergebruik van wachtwoorden maakt het voor cybercriminelen eenvoudig om op meerdere accounts tegelijk in te breken. Door te voorkomen dat wachtwoorden op meerdere websites worden gebruikt, is je organisatie beter beschermd tegen hackers. Een sterk wachtwoord:

    • Is zo lang mogelijk;
    • Bevat geen eigennaam, gebruikersnaam of bedrijfsnaam;
    • Bevat geen volledig woord;
    • Verschilt in belangrijke mate van vorige wachtwoorden;
    • Bevat kleine letters, hoofdletters, cijfers en symbolen.

    1. Pas twee-factor authenticatie toe

    Er zijn nog steeds organisaties waar complete systemen met slechts één wachtwoord worden beveiligd. Ze moeten steeds meer gaan beseffen dat een slechte beveiliging kan leiden tot vervelende datalekken. Het is dus van belang om moderne techniek, zoals tweefactor-authenticatie (2FA) te gebruiken om persoonsgegevens te beveiligen. Ook moeten medewerkers bewust gemaakt worden van het feit dat tweefactor-authenticatie (2FA) verplicht is bij de verwerking van gevoelige persoonsgegevens. Geef directe prioriteit aan tweefactor-authenticatie (2FA). Organisaties kunnen ook een flinke boete krijgen van de AP voor een slechte beveiliging.

    1. Maak regelmatig back-ups van systemen

    Het verlies van belangrijke zakelijke gegevens door een hack-aanval, een probleem met een computer of het crashen van een harde schijf kan vervelende gevolgen hebben voor de organisatie. Bedenk met jullie team van welke data back-ups noodzakelijk zijn en hoelang u deze bewaard moet worden. Test ook met regelmaat het terugzetten van de back-ups, zodat jullie zeker weten dat de bedrijfsvoering van jullie organisatie bij dataverlies maar beperkt wordt verstoord.

    1. Installeer updates

    Voor de meeste systemen die in een organisatie worden gebruikt, is het van belang om deze updates zo snel mogelijk te installeren. Sommige software biedt de mogelijkheid deze automatisch te laten updaten. Daarnaast is het raadzaam om voor kritieke systemen de update eerst in een testomgeving uit te voeren, voordat je deze implementeert in de productieomgeving. In sommige gevallen is een update voor een kwetsbaarheid nog niet beschikbaar. In zulke gevallen is het raadzaam om mitigerende maatregelen te treffen. Vervang software en apparaten die niet meer door de leverancier ondersteund worden. Hierdoor voorkom je veel narigheid.

    1. Toegangsrechten

    Geef werknemers alleen toegang tot systemen en de data die ze écht nodig hebben voor het uitvoeren van hun taak. Beperk ook de toegang van belangrijke accounts tot het noodzakelijke. Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Richt processen in voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers. Geef nieuwe medewerkers alleen toegang tot accounts en de middelen die ze écht nodig hebben. Blokkeer accounts van vertrekkende medewerkers, verwijder ongebruikte accounts, deactiveer serviceaccounts en activeer ze alleen wanneer onderhoud plaatsvindt.

    1. Verhoog kennis en privacybewustzijn in alle lagen

    Door de kennis en het privacybewustzijn in alle lagen binnen de organisatie te vergroten, wordt de doorstroom van op bestuursniveau vastgesteld gegevensbeschermingsbeleid naar andere lagen van de organisatie gerealiseerd. De gevolgen van een hack-aanval kunnen heel vervelend zijn voor een organisatie. 95% van alle datalekken en cyberaanvallen ontstaat door menselijk handelen. Het is daarom belangrijk om alle medewerkers (van leidinggevende tot vrijwilligers) cyberbewust te maken. Ze moeten zorgvuldig omgaan met persoonsgegevens en privacyrisico’s leren herkennen zoals phishing, ransomware en malware.

     

     

     

Menu