AVG-trainingen

Auteur: Marco Boltjes

  • Cyberdreigingen in zorg en welzijn: zo herken je de 8 grootste risico’s

    Cyberdreigingen in zorg en welzijn: zo herken je de 8 grootste risico’s

    Cyberdreigingen leggen een enorme druk op de productiviteit van organisaties in de sector zorg en welzijn. Bovendien merken veel organisaties dat het herstellen van verloren data vaak veel langer duurt dan verwacht. Tegelijkertijd spelen menselijke fouten een grote rol bij incidenten rond informatiebeveiliging en privacy. Denk bijvoorbeeld aan medewerkers die onbedoeld privacygevoelige gegevens delen of die een phishingbericht niet herkennen. Hierdoor ontstaan situaties waarin cybercriminelen eenvoudig kunnen binnendringen.

    Een eerste stap in het voorkomen van cyberdreigingen en privacyrisico’s is het tijdig herkennen ervan. Daarom is het essentieel om te weten wanneer er sprake is van een cyberdreiging en hoe medewerkers daar alert op kunnen reageren. In dit artikel staan de acht meest voorkomende cyberdreigingen en privacyrisico’s in de sector zorg en welzijn, inclusief de belangrijkste signalen.

    8 soorten cyberdreigingen en privacyrisico’s herkennen

    Hieronder staan de acht cyberdreigingen en privacyrisico’s waar organisaties in zorg en welzijn regelmatig mee te maken krijgen.

     

    1. Phishing herkennen en voorkomen

    Phishing is een veelvoorkomende vorm van digitale oplichting. Cybercriminelen versturen valse berichten via e-mail, WhatsApp, sociale media of sms, met als doel slachtoffers naar een nepwebsite te lokken. Vervolgens geven medewerkers vaak ongemerkt inloggegevens, bankinformatie of andere privacygevoelige data af. Soms maken slachtoffers zelfs geld over aan criminelen die zich voordoen als bekenden.

    Belangrijke signalen van phishing:

    • Berichten waarin wordt gevraagd om op links te klikken of gegevens in te voeren.

    • E-mails met bijlagen van onbekende of opvallende afzenders.

     

     

    2. Hergebruik van wachtwoorden

    Wanneer medewerkers hetzelfde wachtwoord gebruiken voor meerdere accounts, ontstaat direct een ernstig beveiligingsrisico. Zodra een cybercrimineel toegang krijgt tot één account, bestaat de kans dat alle gekoppelde accounts worden misbruikt.

    Signalen die wijzen op mogelijk misbruik:

    • Onbekende activiteiten in accounts.

    • Meldingen dat accounts zijn verwijderd.

    • Inlogpogingen op vreemde tijdstippen of vanaf onbekende IP-adressen.

     

     

    3. Interne dreigingen herkennen en voorkomen

    De menselijke factor blijft de zwakste schakel binnen cybersecurity en privacy. Medewerkers kunnen informatie delen via telefoon of e-mail zonder dit te beseffen. Daarnaast verliezen zij soms laptops of smartphones met gevoelige gegevens of gebruiken zij zwakke wachtwoorden. Hierdoor ontstaat ruimte voor phishing, ransomware, sabotage, fraude en datadiefstal.

    Signalen van interne dreigingen:

    • Zakelijke e-mails die naar privé-adressen worden doorgestuurd.

    • Privéapparaten die worden gebruikt voor werk.

    • Ontevreden medewerkers die toegang hebben tot gevoelige informatie.

    • Medewerkers die datalekken niet herkennen of niet melden.

     

    4. Business Email Compromise of social engineering 

    Bij Business Email Compromise richten cybercriminelen zich op het manipuleren van menselijk gedrag. Ze gebruiken overtuigende e-mails die lijken te komen van leidinggevenden, leveranciers of collega’s. Hierdoor creëren zij druk om direct te handelen.

    Signalen van BEC en social engineering:

    • Verzoeken om geld over te boeken, vooral wanneer het om spoedbetalingen gaat.

    • Uitleg over investeringen, overnames of exclusieve deals waarmee urgentie wordt gecreëerd.

     

     

    5. Spoofing herkennen en voorkomen

    Bij spoofing nemen cybercriminelen een valse identiteit aan. Ze sturen bijvoorbeeld een phishingmail vanaf een adres dat lijkt op het adres van een bekende organisatie of zelfs op het eigen e-mailadres van de ontvanger.

    Belangrijke signalen:

    • E-mails met een afzenderadres dat niet overeenkomt met de echte afzender.

    • Websites die sterk lijken op officiële sites maar subtiele afwijkingen bevatten.

    • Telefoontjes vanaf Nederlandse nummers die toch afkomstig zijn uit het buitenland.

    • Druk om direct actie te ondernemen, zoals geld overmaken of systeemtoegang geven.

     

     

    6. DDoS-aanval herkennen en voorkomen

    Bij een DDoS-aanval bestoken criminelen servers of netwerkapparaten met enorme hoeveelheden verzoeken. Daardoor raken websites en diensten onbereikbaar, wat kan leiden tot ernstige (imago)schade.

    Signalen van een DDoS-aanval:

    • Servers die plotseling enorme hoeveelheden gelijktijdige verzoeken ontvangen.

    • Websites die niet meer bereikbaar zijn of extreem traag reageren.

    • Aanvallen die verlopen via botnets met geïnfecteerde computers.

     

     

    7. Dreiging via derde partijen of supply chain-dreiging 

    Veel zorg- en welzijnsorganisaties werken met tientallen externe leveranciers. Een zwakke beveiliging bij één van deze partijen kan cybercriminelen de kans geven om via een achterdeur toegang te krijgen tot vertrouwelijke bedrijfsgegevens.

    Signalen van supply chain-risico’s:

    • Facturen die opeens in afwijkende formats binnenkomen.

    • Meldingen over gewijzigde IBAN-nummers zonder duidelijke verklaring.

     

     

    8. Malware herkennen

    Malware is kwaadaardige software die apparaten binnendringt, gegevens steelt, versleutelt of verwijdert. In ernstige gevallen kan malware een volledig systeem platleggen.

    Signalen van malware:

    • Apparaten die plotseling trager worden.

    • Browsers die automatisch worden omgeleid.

    • Toenemende aantallen pop-ups.

    • Programma’s die niet meer goed functioneren.

    • Onverklaarbaar hoog dataverbruik.

     

    Privacybewustwording en NEN 7510

    Het Ministerie van VWS verplicht zorginstellingen om informatiebeveiliging en privacy aantoonbaar op orde te hebben. Hoewel NEN 7510-certificering niet verplicht is, moeten organisaties wel laten zien dat hun beveiligingsprocessen voldoen aan de normen van de Inspectie Gezondheidszorg en Jeugd (IGJ). Om dit te bereiken, is een goed opgeleide en privacybewuste organisatie van groot belang.

    Daarom is het belangrijk dat medewerkers begrijpen welke cyberdreigingen en privacyrisico’s relevant zijn. Door de juiste kennis te combineren met praktische vaardigheden vergroten organisaties de weerbaarheid van hun medewerkers én verkleinen zij de kans op datalekken.

    Wij hebben verschillende AVG-trainingen ontwikkeld die zorg- en welzijnsorganisaties ondersteunen bij privacybewustwording. De kracht van deze trainingen zit onder andere in praktijkgerichte casuïstiek, compacte theorie, flexibiliteit, certificering en directe toepasbaarheid. Voor elke professional is er een passende training die aansluit bij zijn of haar werkpraktijk. Tijdens én na de training bieden we persoonlijke begeleiding.

     

     

  • 5 feiten over iapp-trainingen en iapp-examens

    5 feiten over iapp-trainingen en iapp-examens

    De voordelen van iapp-trainingen kun je vaak in het Engels op de websites van de aanbieders vinden. Dat is prima, maar zou het niet reëler zijn om ook de andere kant van de medaille te laten zien. Dat scheelt veel vragen en weten mensen waar ze aan toe zijn. We hebben daarom een overzicht gemaakt van feiten (voor- en nadelen) over de iapp-trainingen.

    Investeer slim en voordelig in je carrière als privacy professional. Maar wees ook kritisch in wat je nodig hebt als Nederlandse privacy professional en wat je feitelijk aangeboden krijgt door Amerikaanse partijen.

    1. Certificatie iapp-trainingen

    De iapp-trainingen zoals CIPP/E, CIPM en CIPT zijn niet geaccrediteerd door de Autoriteit Persoonsgegevens, maar door het American National Standards Institute (ANSI). Een Amerikaanse organisatie met een hoofdkwartier in Washington. Er zijn aanbieders die beweren dat een iapp-certificaat nationaal erkend is, dus in Nederland erkend zijn door privacy professionals. Echter klopt er hier niks van. In dit artikel van ICT-recht lees je ook dat er geen opleiding bestaat die door de AP is gecertificeerd.

    *Privacy professionals die werkzaam zijn in Nederlandse organisaties, moeten zich afvragen of ze een accreditatie van Amerikaanse organisatie nodig hebben om hun verantwoordelijkheid op het gebeid van informatiebeveiliging en privacy te tonen. Wellicht is zo’n accreditatie voor privacy professionals die werkzaam zijn in Amerikaanse bedrijven of andere internationale organisaties wel een must. Voor een Data Protection Officer of Functionaris gegevensbescherming in Nederland is het Nederlands Genootschap van Functionarissen (NGFG) zeker raadzaam. Je bent dan lid van een Nederlands netwerk, je hebt te maken met Nederlandse praktijkvoorbeelden en je krijgt kennis en producten aangeboden die je direct kunt toepassen. In een Amerikaans netwerk zal dat toch anders zijn. Privacy professionals die werkzaam zijn in het onderwijs hebben veel meer aan Kennisnet, dan een Amerikaans netwerk van privacy professionals.

    1. Lesmateriaal en examens iapp-trainingen zijn niet in het Nederlands beschikbaar

    Het is goed om te weten dat het lesmateriaal en examens van CIPP/E, CIPM en CIPT niet beschikbaar zijn in het Nederlands.

    *Houd er rekening mee dat de taal een barrière kan vormen. Ook wordt er gezegd dat het CIPT-examen niet onderschat moet worden. Je moet flink aan de bak om de leerstof goed te kunnen begrijpen, want alleen oefenen met examenvragen en het bestuderen van de theorie blijkt niet voldoende te zijn. Op de website van iapp staat ook dat een training geen garantie geeft dat je voor een CIPP/E, CIPM en CIPT examen zal slagen.

    1. Voorbereidingstijd examens iapp-trainingen moet je niet onderschatten

    Zoals hierboven aangegeven, moet je flink aan de bak om je goed voor te bereiden voor een iapp-examen. Het Engelstalige examen bestaat uit 90 meerkeuzevragen en duurt 150 minuten. Iapp geeft aan rekening dient te houden met minimaal 30 uur aan examenvoorbereiding voor het CIPP/E examen. Om examen te mogen doen is het IAPP lidmaatschap vereist. Check altijd goed of dit inbegrepen is in de training, want anders moet je dit zelf betalen.

    1. Geen inzage in onjuiste antwoorden van een iapp-examen

    Je krijgt geen inzage in je foute antwoorden. Je krijgt ook niet te zien hoeveel antwoorden je correct hebt beantwoord.

    *Het kan best lastig zijn als je niet weet welke fouten je hebt gemaakt tijden een CIPP/E, CIPM en CIPT examen. Zeker als je 375 US dollar moet betalen voor een herexamen. Informeer ook altijd goed hoeveel herkansingen je mag maken en wat gebeurt er als je de herkansing(en) niet haalt. Informeer ook of de Nederlandse aanbieder jou hierin verder begeleidt of word je doorgestuurd naar iapp en moet je alles zelf uitzoeken.

    1. Voordelen van iapp-trainingen

    Lees ook de voordelen van iapp-trainingen. Die zijn via de websites van de aanbieders vaak in het Engels te vinden. Heb je als privacy professional veel te maken met internationale samenwerkingen waarbij veel persoonsgegevens worden verwerkt, dan is kan een iapp-training een goede optie zijn. Neem wel alles eerst goed door, laat je goed informeren en zorg ervoor dat je ook genoeg tijd reserveert voor de training, voorbereiding en het examen.

    Waarom bieden wij geen IAPP-trainingen aan?

    AVG-trainingen biedt geen IAPP-trainingen aan, omdat het niet is gecertificeerd door de Autoriteit Persoonsgegevens. Onze FG’s hebben praktische opleidingen voor Functionaris Gegevensbescherming (FG) ontwikkeld waarin alle facetten van de AVG wordt uitgelegd aan de hand van theorie, casussen en praktische opdrachten. Met onze opleidingen kunnen FG’s/DPO’s direct aan de slag en wij garanderen altijd persoonlijke aandacht, ook na de opleiding.

    Bronnen: iapp, ICT-recht, Autoriteit Persoonsgegevens, NGFG, Kennisnet
  • Het CIPP/E certificaat is niet gecertificeerd door de Autoriteit Persoonsgegevens

    Het CIPP/E certificaat is niet gecertificeerd door de Autoriteit Persoonsgegevens

    Wat houdt een CIPP/E certificaat precies in? Is een CIPM-certificaat gecertificeerd door de Autoriteit Persoonsgegevens? Is een IAPP-training écht nodig om als privacyexpert aan de slag te gaan? Deze vragen worden heel vaak aan ons gesteld en dat is niet gek. Er zijn namelijk verschillende partijen die IAPP-trainingen aanbieden. De belangrijke feiten over de IAPP-trainingen zijn vaak in de kleine lettertjes te vinden. Zoals de vraag of een certificaat van een CIPP/E training, CIPM training of een CDPO training door de Autoriteit Persoonsgegevens is gecertificeerd. Onthoud dat Het CIPP/E certificaat niet gecertificeerd is door de Autoriteit Persoonsgegevens.

    IAPP-trainingen en de Autoriteit Persoonsgegevens

    In de Guidelines on Data Protection Officers geven de Europese privacytoezichthouders bijvoorbeeld uitleg over de rol en taken van een Functionaris gegevensbescherming (FG). Hierin wordt uitgelegd wat een FG moet weten en kunnen. De Autoriteit Persoonsgegevens (AP) stelt geen eisen op opleidingsgebied. Er bestaat geen FG/DPO opleiding MKB of zorg- en welzijn die door de AP is gecertificeerd. Er zijn geen privacy opleidingen die gecertificeerd zijn door de Autoriteit Persoonsgegevens (AP) of de Europese privacytoezichthouders. De IAPP-trainingen zijn dus ook niet gecertificeerd door de Autoriteit Persoonsgegevens. Daarmee is Het CIPP/E certificaat niet gecertificeerd door de Autoriteit Persoonsgegevens.

    Inhoud van een CIPP/E training

    Het is ook belangrijk en slim om kritisch te kijken naar de inhoud van een bijvoorbeeld CIPP/E training. Wat krijg je precies voorgeschoteld tijdens zo’n training? Is het lesmateriaal in het Nederlands of in het Engels beschikbaar? Aan de hand van de inhoud kun je kritische vragen aan jezelf stellen:

    • Wat heb je precies nodig om aan de slag te kunnen als privacyexpert?
    • Kun je wel uit de voeten met het lesmateriaal in het Engels?
    • In hoeverre verschilt deze training van andere trainingen?
    • Heb je CIPP/E certificaat écht nodig om je werk goed te kunnen doen, zeker als Het CIPP/E certificaat niet gecertificeerd door de Autoriteit Persoonsgegevens is?

    De kosten van CIPP-trainingen

    Een CIPP-training is vaak duurder dan een training van een Nederlandse organisatie. U moet bijvoorbeeld betalen voor een Preparation Course. Vervolgens betaalt u voor het examen en voor IAPP-lidmaatschap apart. Alles bij elkaar opgeteld, wordt een flink bedrag dat u moet betalen. De International Association of Privacy Professionals (IAPP) is in Amerika gevestigd. Dus heeft u ook te maken met Amerikaanse regels en wetgeving. Op de website van iapp is het ook even schrikken als u de IAPP Refund and Credit Policy leest. Stel dat u niet in staat bent om een training bij te wonen, dan krijgt u uw geld niet terug. Het bedrag wordt omgezet als krediet voor toekomstige IAPP-aankopen. Het krediet blijft twee jaar geldig. Ook hier is het zeer aan te bevelen om de voorwaarden van iapp goed door te nemen.

    Waarom bieden wij geen IAPP-trainingen aan?

    AVG-trainingen biedt geen IAPP-trainingen aan, omdat het niet is gecertificeerd door de Autoriteit Persoonsgegevens. Het CIPP/E certificaat is niet gecertificeerd door de Autoriteit Persoonsgegevens. Onze FG’s hebben praktische opleidingen voor Functionaris Gegevensbescherming (FG) ontwikkeld. Hierin worden alle facetten van de AVG uitgelegd aan de hand van theorie, casussen en praktische opdrachten. Met onze opleidingen kunnen FG’s/DPO’s direct aan de slag. Wij garanderen altijd persoonlijke aandacht, ook na de opleiding.

  • Gecertificeerde FG/DPO opleidingen mkb of zorg- en welzijn: bestaat dat?

    Gecertificeerde FG/DPO opleidingen mkb of zorg- en welzijn: bestaat dat?

    Er zijn veel organisaties die ‘gecertificeerde’ FG/DPO opleiding voor MKB of zorg- en welzijn aanbieden, zoals Certified Data Protection Officer (CDPO). Maar wat klopt er eigenlijk van deze gecertificeerde opleidingen? De kosten van een zogenaamde ‘gecertificeerde’ FG/DPO opleiding MKB of zorg- en welzijn zijn ook veel hoger dan een praktische FG/DPO opleiding. Maar is dit wel reëel? Hoe zit het eigenlijk met die certificaten en FG-registers die je overal tegenkomt?

    Gecertificeerde FG/DPO opleidingen zakelijk Nederland (mkb) of zorg- en welzijn

    De Europese privacytoezichthouders geven in de Guidelines on Data Protection Officers uitleg over de FG. Hierin wordt uitgelegd wat een FG moet weten en kunnen.

    De Autoriteit Persoonsgegevens (AP) stelt geen eisen op opleidingsgebied. Er bestaat geen FG/DPO opleiding MKB of zorg- en welzijn die door de AP is gecertificeerd. Veel organisaties gaan slim om met de tot nu toe niet beschermde titel FG/DPO titel. Je betaalt veel voor een opleiding. Er is de verwachting dat je dat straks als een gecertificeerde FG/DPO aan de slag kunt. Maar dat is helaas anders.

    Organisaties zijn vrij om de term ‘certificering’ te gebruiken voor hun FG/DPO opleidingen. Echter zijn deze opleidingen niet gecertificeerd door de Autoriteit Persoonsgegevens of de Europese privacytoezichthouders. Het is altijd verstandig om de kleine lettertjes goed te lezen. Ook is het belangrijk om altijd door te vragen wat er precies wordt bedoeld met een certificering en wat de meerwaarde ervan is. Lees hier ook de voor- en nadelen van iapp-certificering.

    Ook het bestaan van FG-registers is iets wat door veel organisaties in het leven is geroepen. Het komt erop neer dat elke organisatie een eigen register bijhoudt van deelnemers van hun eigen FG/DPO opleidingen. Ze doen dit onder het mom dat het om een FG-register gaat van ‘gecertificeerde’ FG’s/ DPO’s. Het is gewoon een register van de organisatie zelf!

    Praktische FG/DPO opleiding MKB en zorg- en welzijn

    Een FG moet bovengemiddelde vakkennis hebben van de AVG en van de praktijk van gegevensbescherming. Het concrete kennisniveau en vaardigheden die een FG/DPO moet hebben, is afhankelijk van de organisatie. Een FG/DPO met uitstekende juridische kennis over de AVG, weet misschien heel weinig van de werkvloer in een welzijnsorganisatie of een mkb-bedrijf. Deze verbinding is nodig tussen AVG en de organisatie. Anders zal geen cultuur van dataprotectie en privacy ontwikkelen. Een FG/DPO moet ook praktische kennis hebben van de organisatie en sector waarin die actief is.

    AVG-trainingen biedt alleen praktische FG/DPO opleidingen voor MKB of zorg- en welzijn aan waarin je door middel van casussen en praktijkgerichte opdrachten de expertise kan opdoen die je als FG/DPO nodig hebt in je dagelijkse praktijk. De trainingen zijn ontwikkeld door experts uit het werkveld.

    Meer informatie

    Neem vrijblijvend contact met ons op voor meer informatie. We helpen je graag verder.

     

Menu