Tagarchief: privacy

Uw organisatie AVG-proof voor de deadline

De tijd begint echt te dringen als het gaat om de nieuwe privacyregelgeving. Moet uw organisatie nog voor 25 mei 2018 AVG-proof zijn? Dan hebben wij de oplossing voor u. Op deze pagina kunt u lezen welke dienst wij u kunnen aanbieden om te zorgen dat u zo snel mogelijk weet hoe uw organisatie ervoor staat en wat er nog te doen valt.

AVG Quickscan

Door het uitvoeren van een quickscan wordt in een korte tijd gekeken naar welke maatregelen er genomen zijn met betrekking tot de voor uw organisatie geldende norm voor informatiebeveiliging en welke maatregelen er nog genomen moeten worden.

Algemene beschrijving

U kunt een quickscan laten uitvoeren als u nog niet precies weet waar u staat met betrekking tot de norm waaraan uw organisatie wil voldoen. De quickscan kan ingezet worden in zowel gemeentelijke organisaties als zorginstellingen.

Doelstelling

Doelstelling van de quickscan is het vaststellen in hoeverre uw organisatie reeds voldoet aan de maatregelen zoals beschreven in de voor uw organisatie geldende norm.

Aanpak

In samenwerking met diverse afdelingen/functionarissen wordt door Sincerus vastgesteld welke maatregelen uit de norm geïmplementeerd zijn. Aan de hand van gestandaardiseerde vragenlijsten worden tijdens workshops/interviews met medewerkers van de gemeente de reeds getroffen beveiligingsmaatregelen geïnventariseerd. Het is de bedoeling dat net zoals de naam quickscan al zegt, er in een korte tijd door de hoofdstukken van de in uw organisatie geldende norm wordt heen gelopen. Om deze reden wordt dus niet heel diep in de betreffende hoofdstukken gegaan maar worden de belangrijkste maatregelen meegenomen.

Resultaat

De uitkomsten van de quickscan worden verwerkt in een schriftelijke rapportage. Deze rapportage wordt na de analyse opgeleverd aan de organisatie. Het is daarnaast ook mogelijk dat de resultaten van de analyse worden gepresenteerd aan één of meerdere onderdelen van de organisatie.

Per hoofdstuk van de voor uw organisatie geldende norm zal kort een beschrijving gegeven worden waarin het doel van het hoofdstuk, de norm, de bevindingen en eventuele risico’s worden benoemd.

Aan de slag!

Kunt u onze hulp goed gebruiken? Vul dan het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. Liever meteen contact? Bel dan met onze collega Richard Hulzinga tel: 06-51663174.

De Dag van de Privacy

Dag van de PrivacyPrivacy is tegenwoordig een veel gehoorde en gebruikte term. Maar privacy is natuurlijk veel meer dan alleen een ‘term’. Privacy is een recht. Hoe komt het dan dat maar weinig mensen weten hoe het precies zit met privacy? Om die reden is de Dag van de Privacy in het leven geroepen. Om mensen bewust te maken van dit recht en wat privacy precies inhoud.

De Dag van de Privacy geldt in heel Europa. Hij is dan ook door de Raad van Europa met steun van Europese Commissie opgericht. Op een symbolische datum, namelijk 28 januari, de dag waarop in 1981 het Dataprotectieverdrag werd ondertekend.

Wat is privacy
“De Van Dale omschrijft privacy als de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven. Later is dit uitgebreid met:

  • Zelf bepalen wie welke informatie over ons krijgt.
  • De wens onbespied en onbewaakt te leven.” (Bron: Wikipedia)

Privacy in praktijk
Privacy is vooral erg in opspraak als het gaat om gegevensverwerking op digitaal vlak. Zelf bepalen wie welke informatie over ons krijgt is een recht waar lang niet altijd aan voldaan wordt. Persoonsgegevens worden vaak te pas en te onpas doorgestuurd of online gedeeld. En hoewel dit niet altijd door kwaadwillende gedaan wordt, bestaat die variant natuurlijk ook. Hackers die (slecht beveiligde) systemen kunnen binnendringen en dreigen de gegevens online te plaatsen, oud-medewerkers die nog toegang hebben tot netwerken van hun voormalig werkgever en daar misbruik van maken of een CV met sollicitatiebrief die per ongeluk naar een e- mailadres van de concurrent wordt gestuurd. Persoonsgegevens kunnen op allerlei manieren op plaatsen terechtkomen waar de eigenaar geen toestemming voor heeft gegeven. En daarmee wordt privacy meer een ‘term’ dan een daadwerkelijk uitgevoerd recht.

Privacy regelgeving
GDPR
Dat moet natuurlijk anders. Een veranderende wereld vereist regels die mee veranderen. Het internet heeft zich ontwikkeld en steeds meer organisaties verwerken verschillende gegevens. 2018 is een bijzonder jaar als het gaat om privacy. Dit jaar wordt namelijk de Algemene Verordering Gegevensbescherming (AVG) ingevoerd. Dat is de Nederlandse benaming voor de Europese General Data Protection Regulation (GDPR). De GDPR is opgesteld om de verschillende wetten en regels binnen de landen van de Europese Unie te structureren. Waaronder het omgaan met persoonsgegevens.

Wat betekent de nieuwe regelgeving voor consumenten en organisaties?
In grote lijnen zijn de GDPR en de AVG hetzelfde, maar op sommige punten is de AVG wat strenger. Een belangrijke vernieuwing in de AVG is dat consumenten/klanten meer mogelijkheid krijgen om invloed uit te oefenen op de verwerking van hun gegevens. Zij moeten specifiek toestemming geven voor de verwerking, zouden eenvoudiger deze toestemming weer moeten kunnen intrekken en mogen zelfs vernietiging van hun gegevens bij een organisatie aanvragen. Daarnaast hebben klanten recht op ‘dataportabiliteit’. Dit betekent ze de kans krijgen om bijvoorbeeld hun gegevens bij uw organisatie op te vragen, zodat deze verzonden kunnen worden naar een andere partij.

Dit heeft natuurlijk de nodige impact op organisaties. Zij moeten namelijk  kunnen aantonen dat ze deze aanvragen kunnen behandelen en uitvoeren. Een organisatie moet bijvoorbeeld altijd kunnen aantonen dat zij toestemmingen hebben gekregen van de betrokkene om zijn/haar gegevens te mogen verwerken.

Privacy in eigen hand
Maar een consument is er zelf bij met wat hij deelt en mag ook best kritisch zijn als er om bepaalde gegevens gevraagd wordt. Is het invullen van adresgegevens wel nodig als je een digitale folder wilt ontvangen? Uit onderzoek van BIT (gespecialiseerd in colocatie, internetverbindingen, managed hosting en outsourcing) over online privacy blijkt dat meer dan de helft van duizend ondervraagden niet weet wat ze moeten doen om de online privacy te beschermen.

“Daarnaast blijkt uit het BIT-onderzoek dat maar liefst 68 procent van de Nederlanders niet weet wat er gebeurt met de informatie die ze online achterlaten. Er wordt ook niet heel bewust omgegaan met de privacygevoelige informatie die geplaatst wordt.

Zo delen velen standaardgegevens als hun voor- en achternaam (75%), postcode (63%) en woonplaats (64%). Wanneer het echter om bankzaken en identiteitsbewijzen gaat, is de Nederlander voorzichtiger. Zo deelt slechts 20 procent bankrekeningnummers, 7 procent paspoortnummers en 12 procent creditcardgegevens.” (Bron: Techzine)

Vraag altijd: waarom, hoe en wieHieruit mag best geconcludeerd worden dat de eigenaar van gegevens zijn eigen privacy in de hand heeft. Maatregels en regelgeving zijn absoluut nodig, maar als de eigenaar zelf slordig omgaat met zijn gegevens kan daar geen wet tegenop boksen.

Loesje over PrivacyBewust worden en bewust blijven
Vandaar de Dag van de Privacy: wees bewust van het recht en ga er zorgvuldig mee om. Wilt u graag op de hoogte gehouden worden van alles omtrent privacy? Houd dan onze LinkedIn, Twitter of Facebook in de gaten, want deze week delen wij volop informatie over privacy.

‘Internet of Things’ – privacy en informatiebeveiliging op tweede plan (BNR interview)

Innovatieve functionaliteiten en andere nieuwe diensten via je telefoon, smartwatch, televisie, koelkast of auto zijn hot. ‘Internet of Things’ wordt het ook wel genoemd. Producenten doen er alles aan om met nieuwe producten en diensten te komen en het liefst eerder dan de concurrentie. Het gevolg van deze ‘rat race’ is echter dat er in eerste instantie weinig oog is voor privacy bescherming en informatiebeveiliging. Peter Westerveld van Sincerus maakt dit duidelijk tijdens een interview op BNR nieuwsradio in het programma Spitsuur. Luister het hier terug.

Kwetsbaarheden in beveiliging smartwatches

Aanleiding voor het interview is een door HP uitgebracht rapport over een onderzoek naar beveiliging bij smartwatches. De conclusie van het rapport is dat het merendeel van de onderzochte smartwatches kwetsbaarheden vertonen. Zowel in de manier waarop zij verbindingen tot strand brengen als informatie delen of opslaan.
Als koper van deze vernieuwende producten moet je hier eigenlijk van bewust zijn.

Men kan niet blindelings vertrouwen op de leverancier dat deze zich druk maakt over de bescherming van individuele gegevens omdat het marktbelang om zo snel mogelijk met het product op de markt te komen zwaarder weegt. Uiteindelijk zullen waarschijnlijk wel maatregelen getroffen worden om het beveiligingsniveau aan te scherpen maar dan zijn de producten in ieder geval al aan de man gebracht. Voor de afnemers zou het beter zijn dat de leveranciers ‘security by design’ zouden toepassen. Zo kan bij de ontwikkeling en programmering van nieuwe diensten rekening worden gehouden met voldoende beveiligingsmaatregelen. Een training als ‘secure programming‘ van Security Academy kan hierin ondersteunen.

Aanbevolen is om altijd af te vragen of het verstandig is om bepaalde functionaliteiten wel met een dergelijk device uit te voeren. Bijvoorbeeld het ontgrendelen van de auto of het uitschakelen van het huis alarm. Daarnaast is het verstandig om toegang tot de apparatuur alleen toe te staan met, voldoende complexe, wachtwoorden of het liefst via two-factor authenticatie. Verder is het belangrijk om zelf controle te houden op de connecties die het apparaat maakt. Laat ze niet automatisch verbinden met verschillende internetdiensten en andere apparaten. Vraag jezelf daarbij altijd af of dit wel nodig is en of het een legitieme bron is.

integrale aanpak

Integrale aanpak IB helpt gemeentes

De integrale aanpak voor Informatiebeveiliging helpt gemeentes en lokale overheden. Informatiebeveiliging wordt niet alleen door wet en regelgeving afgedwongen voor gemeentes, maar is door haar publieke verantwoordelijkheid naar de burger ook een onderwerp waar elke gemeente veel waarde aan hecht.

De nieuwste regels over DIGID, BIG, SUWINET en Privacy plaatst deze organisaties voor grote uitdagingen. De centrale overheid legt steeds regelgeving op t.a.v. registers en bescherming van persoonsgegevens, maar ook voor wat betreft de continuïteit van de dienstverlening. Zo hebben GBA, BAG, SUWI en de WBP allemaal hun eigen richtlijnen. Ze worden dus ook veelal als afzonderlijk project opgepakt met alle organisatorische en financiële nadelen van dien.

‘Informatiebeveiliging is tijdrovend en duur’ is een veelgehoorde opmerking. Daarmee verwijzend naar de hard- en software die vaak benodigd zijn. Toch dringt steeds vaker het besef door dat het eenvoudiger en effectiever moet kunnen.

Nieuwe richtlijnen

Sincerus hanteert een integrale aanpak voor informatiebeveiliging gemeente breed. Voordeel hiervan is dat maar één centraal proces geïmplementeerd en geborgd hoeft te worden. Hiermee komt de beveiliging op een gewenst niveau en zo wordt voldaan  aan alle specifieke eisen en richtlijnen van nu. Tevens kost het minder inspanningen om in te spelen op nieuwe eisen en richtlijnen die in de toekomst ongetwijfeld nog opgelegd gaan worden.

En van die nieuwe richtlijnen zijn er nogal wat de laatste jaren. Zo was er eerst de GBA wetgeving, de DigiD en wordt volgend jaar de naleving op regelgeving van Suwinet onderwerp van aandacht.
Laat het u niet overvallen, het kan wél. Meer weten hoe dit eenvoudiger kan: 038 4529829

Security ontzorg abonnement

Security Ontzorg abonnement

Bij gebrek aan voldoende kennis en ervaring is er veel belangstelling voor het Security Ontzorg Abonnement van Sincerus. Uit onderzoek blijkt dat de hoeveelheid Data groeit per  jaar, net als Cybercrime en Cybervandalisme, maar ook de Wet&Regelgeving.

Security Ontzorg adviseurs van Sincerus

Organisaties raken hierdoor steeds meer verstrikt in uitvoering en invoering van Informatiebeveiligingsregels, technieken en maatregelen. Onderdeel van het Security Ontzorg abonnement is de Variable Security Adviseur, welke de ideale persoon is om u hierin te ondersteunen. Hij is de Information Security Officer die zorg draagt voor:

  • Periodieke risico inventarisatie
  • Informatiebeveiligingsbeleid,
  • Beveiligingsarchitectuur
  • Monitoren op naleving
  • Rapportage van security management op strategisch niveau
  • Incident management

Dat alles in 1 persoon?
Uiteraard niet!
Uw organisatie heeft 1 contactpersoon die al uw vragen en zaken behartigd, maar zelfstandig binnen de kosten van het afgesproken abonnement alles voor u verzorgd! Vanzelfsprekend maakt hij hiervoor gebruik van de best voorhanden specialisten. U bent op deze wijze verzekerd van een optimale Security tegen een vast overeengekomen bedrag.

Hoe gaat het in zijn werk:

Een middelgrote organisatie heeft geen fulltime job voor een security officer, maar toch zijn er regelmatig vraagstukken. Als u een abonnement afsluit voor 1 dagdeel per week (4 uur), is er minimaal 1 dagdeel iemand aanwezig op uw locatie.
In voorkomende gevallen kan er ook gebeld worden met de specialist voor ondersteuning, raad of review van gegevens.

Een dergelijk abonnement is al mogelijk vanaf 1 dagdeel per 2 weken.
Op deze wijze kunt ook voldoen aan de wettelijke verplichtingen een security officer benoemd te hebben. U heeft dan een gecertificeerde medewerker met veel kennis en ervaring. In die gevallen dat er specialistische werkzaamheden nodig zijn, zoals een penetratietester of firewall specialist, kan deze via de security officer worden ingezet. Vanuit het bestaande uren urenpakket of extra.

Meer weten? 038-4529 829

 

Ministerie SZW eist betere beveiliging SUWInet

Voor 1 oktober 2012 moesten de gemeentes verbetering van de beveiliging van het gebruik van SUWInet geregeld hebben. Nog steeds is dit niet niet bij iedere gemeente voltooid!

In eerste instantie zullen zij worden aangesproken op verbeteringen. Alleen als blijkt dat niet wordt voldaan aan de beveiligingseisen vanuit het BKWI, de Wet Bescherming Persoonsgegevens (WBP), de Wet Eenmalige Gegevensuitvraag werk en inkomen (WEU) en de Wet SUWI. Daarna volgt een vervolgonderzoek van de inspectie. Bij het in gebreke blijven van voldoende beveiliging volgt een mogelijke dwangsom vanuit het College Bescherming Persoonsgegevens.

Suwinet is niet het enige zorgenkindje van de gemeenten. De wet BIBOB bijvoorbeeld. Deze wet schrijft overheidsapparaten voor de integriteit van vergunninghouders en -aanvragers te toetsen. De BIBOB wet bepaald eveneens dat iedere gemeente een beveiligingsproces en functionaris moet hebben. Ook hierop vinden momenteel audits plaats en komen gebreken aan het licht.

Integrale informatiebeveiliging

Een integrale aanpak van informatiebeveiliging lijkt het vanzelfsprekende antwoord op deze problematiek. Maar waarom wordt het dan niet grootschalig toegepast? Veelal lijken de kosten hiervoor het grootste struikelblok, omdat men de onterechte mening is toegedaan dat beveiliging niet bijdraagt maar alleen geld kost. Informatiebeveiliging zou, gemeentebreed, opgepakt en geïmplementeerd moeten worden. Op deze manier is de gemeente beter ‘in control’ over alle processen en registers. Kosten verslindende noodverbanden en cyclische verbeterprojecten, met de focus op slechts 1 werkproces of register, zijn dan vrijwel overbodig. De investering in een grondig opgepakt beveiligingsproject en de invoering van integraal security management is daardoor snel terug verdiend.

Meer weten over de aanpak van SUWINET, BIBOB of de integrale zaakgerichte aanpak van Sincerus? tel:. 038 4529 829