Tag Archive for: DPO

Cyberaanvallen: houd ze buiten uw poorten

Cyberaanvallen: houd ze buiten uw poorten
Je leest er de laatste tijd veel over: cyberaanvallen. Het lijkt alsof onze netwerken van alle kanten worden aangevallen. Niet alleen grote organisaties die gevoelige persoonlijke informatie beheren zijn potentiële slachtoffers, maar ook kleinere organisaties zijn de dupe. Één kwetsbare website is al voldoende om een compleet systeem te infiltreren. Ook via email spoofing of phishing proberen hackers netwerken binnen te dringen.

Internetveiligheid is voor veel organisaties een steeds complexere zaak geworden door de toegenomen digitalisering. We registreren ons tegenwoordig overal online. Gevoelige persoonlijke gegevens worden digitaal verwerkt door ziekenhuizen, banken of gemeente instellingen.

Grote organisaties die meerdere online diensten aanbieden kunnen extra kwetsbaar zijn. Als er meerdere websites op dezelfde server zijn aangesloten hebben hackers genoeg aan een zwakke website om zich toegang te verschaffen tot die server. Op die manier kunnen hackers bij gevoelige persoonlijke gegevens komen die in eerste instantie wel beveiligd waren.

Verouderde software
Websites dienen als buitenmuren van de digitale verdediging van een organisatie. Wanneer website draaien op verouderde software is het voor een hacker gemakkelijk om het systeem binnen te dringen. Als er alleen informatie op een dergelijke website staat, is dit nog niet zo’n probleem. Maar op steeds meer websites wordt gevraagd persoonlijke informatie achter te laten. Daarom is verouderde software een grote kwetsbaarheid.

Hackers breken ook in via e-mail spoofing of phishing. E-mails met een vervalste afzender worden naar mensen binnen een organisatie verstuurd om hen over te halen tot een bepaalde actie. Bioscoopbedrijf Pathé werd hiervan bijvoorbeeld de dupe. Lokale directeuren maakten miljoenen over in opdracht van hun CEO, dachten zij. Dit soort mailtjes zijn tegenwoordig bijna niet meer van echt te onderscheiden. Valse e-mails worden ook gebruikt bij identiteitsfraude. Criminelen combineren diverse datalekken om profielen van slachtoffers te bouwen. Die vervalste online-identiteiten gebruiken zij om dure spullen te kopen of toeslagen aan te vragen.

Organisaties kunnen technische maatregelen nemen om zich te beveiligen tegen e-mail spoofing. Beveilig bijvoorbeeld je homepage tegen nepmails. Wanneer een organisatie meerdere website heeft, is de kwetsbaarheid groter. Website die niet meer gebruikt worden, omdat zij bijvoorbeeld voor oude projecten gebruikt werden, kunnen voor de veiligheid beter afgestoten worden.

In 2018 zijn er 21.000 datalekken gemeld bij de Autoriteit Persoonsgegevens. Een schrikbarend hoog aantal. En dan te bedenken dat niet alle datalekken gemeld worden. Wat is de status van de ICT infrastructuur van uw organisatie? Draaien de systemen op de nieuwste software? Is mailverkeer beschermd? Worden gevoelige persoonlijke gegevens gewaarborgd?

Een goede Security Officer houdt hackers en cyberaanvallen buiten de deur. Dutchtrain biedt diverse trainingen aan op het gebied van Cyber Security zoals Computer Hacking Forensic Investigator of Certified Network Defender. Houd hackers buiten de deur. Zorg voor goed opgeleide ICT professionals. Al onze Security trainingen vindt u hier: https://www.dutchtrain.nl/security

Bron: Elsevier Weekblad
Maart 2019

GDPR-Wetgeving

GDPR-Wetgeving
Bent u al bekend met de nieuwe wetgeving General Data Protection Regulation (GDPR)? En wat dit betekent voor u en uw bedrijf? Vanaf mei 2018 zal deze wetgeving in eerste instantie gelden voor alle organisaties met meer dan 250 werknemers en die meer dan 5000 records per jaar verwerken. Later zal dit ook gelden voor het midden- en kleinbedrijf ongeacht de grootte en het aantal records dat verwerkt wordt.

De wetgeving gaat over het beheer van persoonlijke klant- en/of werknemergegevens. Europa is al enige tijd bezig om maatregelingen te nemen met betrekking tot het beschermen van deze gegevens; een voorbeeld hiervan is dat per 1 januari 2016 er een meldplicht geldt wanneer zich een datalek voordoet.

In de nieuwe wetgeving staan strikte voorwaarden waaronder bedrijven persoonlijke gegevens mogen verzamelen en bewaren en wanneer er niet aan deze voorwaarden wordt voldaan is het ook daadwerkelijk strafbaar.

Om een voorbeeld te geven voor de toekomst: veel bedrijven maken gebruik van de nieuwsbrief om hun klanten te informeren. In het verleden verstuurden deze via de post maar tegenwoordig is dit veelal in een digitale versie. Het is nu al zo dat de ontvanger toestemming moet geven dat u de nieuwsbrief mag sturen, maar vanaf volgend jaar worden de regels dusdanig aangescherpt dat de ontvanger per onderwerp toestemming hiervoor moet geven. Ieder individu heeft straks dus veel meer zeggenschap over wat er met zijn of haar gegevens gebeurd.

Wilt u weten wat dit voor uw bedrijf betekend en hoe u hierop actie kunt ondernemen? In de training Certified Information Privacy Professional/Europe leert u alle ins- en outs met betrekking tot de wet- en regelgeving op het gebied van privacy- en data protection op Europees niveau. In deze training is tevens de nieuwe aankomende GDPR-wetgeving opgenomen.

Maart 2017