Selecteer een pagina

Wereld Wachtwoord Dag 2020: 8 tips om wachtwoorden sterk en hackers weg te houden

Het is 7 mei 2020 World Password Day. Uit diverse onderzoeken blijkt dat deze dag belangrijk is. Veel mensen beseffen dat ze verkeerd bezig zijn, maar weten niet hoe ze hun wachtwoord gedrag kunnen verbeteren. We hebben 9 tips voor u. Het toverwoord is ‘Layer Up’.

Wat betekent ‘Layer Up’? De term betekent in principe het toevoegen van een andere beveiligingslaag aan je wachtwoorden.

Je kunt een 2FA-laag of een dynamische IP-laag toevoegen aan je wachtwoord om het veel veiliger te maken.

Het eerste wat je echter moet doen is een sterk wachtwoord maken. Sommige mensen hebben de neiging om hun naam, de naam van hun vriendje, de naam van hun ouders, in feite de naam van hun huisdier, een paar keer als wachtwoord te hebben. Dat is duidelijk niet de manier waarop een wachtwoord moet worden gegeven hoe makkelijk ze te raden zijn.

Een wachtwoord moet bijvoorbeeld een mix zijn van heel veel speciale tekens: Bp}H;eF:{*@y(D2I8?2d|G~yf8`8.

Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.

8 tips voor een veilig wachtwoord

  1. Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
  2. Maak uw wachtwoord zo lang mogelijk, om het extreem vervelend te maken voor een brute kracht aanvaller om uw wachtwoord te kraken. (Let op, wachtwoorden van ongeveer drie letters kunnen in minder dan een seconde worden gekraakt.)
  3. Gebruik geen woord dat in het woordenboek staat of letters die opeenvolgend op een toetsenbord staan.
  4. Schrijf eerst een willekeurige zin op en voeg dan letter voor letter een hoofdletter, een cijfer of een symbool toe.
  5. Gebruik geen voor de hand liggende gegevens zoals uw naam, geboortedatum, plaats waar u woont in het wachtwoord. Dat alles kan gemakkelijk online worden ontdekt.
  6. Om uw online identiteit veilig te bewaren, moet u uw wachtwoorden regelmatig wijzigen. En gebruik nooit meer hetzelfde wachtwoord.
  7. Enable two-factor authenticatie. Dit zal u helpen, zelfs als uw wachtwoord wordt gecompromitteerd. De hacker heeft namelijk de OTP nodig die u op uw smartphone ontvangt.
  8. Bewaar niet één wachtwoord voor al uw accounts, want dat wordt de hoofdsleutel van uw leven, die bij verlies ernstige gevolgen zal hebben.

Opmerkelijke toename van cybercriminaliteit tegen vrouwen tijdens Corona crisis

Er is tijdens de Corona crisis een opmerkelijke toename van cybercriminaliteit tegen vrouwen. Het betreft vooral sextortion, zeggen deskundigen.

De deskundigen denken dat de gemelde cyberaanvallen op vrouwen slechts de ,,top van de ijsberg” tonen.

“We hebben van 25 maart tot 25 april in totaal 412 echte klachten over cybermisbruik ontvangen. Daarvan waren maar liefst 396 klachten van vrouwen ernstig, (en deze) varieerden van misbruik, onfatsoenlijke blootstelling, ongevraagde obscene foto’s, bedreigingen, kwaadaardige e-mails die beweren dat hun account gehackt was, losgeldeisen, chantage en meer,” zegt de oprichter van de Akancha Foundation, Akancha Srivastava.

De organisatie werkt aan onderwijs en empowerment van mensen door kennis over cyberveiligheid over te dragen.

Srivastava zei dat ze nu gemiddeld 20-25 van dergelijke klachten per dag krijgt, terwijl het aantal voor de lockdown minder dan 10 per dag was.

Met name de meldingen van ,,sextortion” zijn gestegen.

Sextortion is het afpersen van geld of seksuele gunsten van iemand door te dreigen met het onthullen van bewijs van hun seksuele activiteit door middel van middelen zoals morphed beelden.

Onmiddellijk na de lockdown was er een stijging van het aantal gevallen van verkeerde informatie, nepnieuws en vrouwen die online worden gedupeerd wanneer ze op malware-links klikken die al hun informatie aan de telefoon krijgen, de camera en de microfoon aanzetten en hun intieme momenten vastleggen. Deze worden dan gebruikt voor chantage.

Veel vrouwen willen in deze gevallen geen officiële klachten indienen, omdat ze zich zorgen maken over het sociale stigma dat eraan verbonden is. Daarom denken de deskundigen dat de gemelde cyberaanvallen op vrouwen officiële slechts het topje van de ijsberg tonen.

Vandana Verma, oprichter van InfoSec Girls, zegt dat de mensen thuis werken en veel tijd doorbrengen op het internet en cybercriminelen daar innovatief misbruik van maken.

De cybercriminelen verzenden bijvoorbeeld specifieke phishing e-mails of thema e-mails over COVID-19 en hengelen zo naar vertrouwelijke gegevens zoals adres, telefoonnummers. Deze e-mails lijken afkomstig te zijn van betrouwbare bronnen zoals de overheid, maar zijn in werkelijkheid fake.

Daarnaast creëren de cybercriminelen valse profielen en nemen cyberpesten en online stalking momenteel toe.

De toenemende cyberaanvallen op vrouwen tonen hoe belangrijk het is om regelmatig AVG Awareness trainingen te geven. Juist actuele ontwikkelingen kunnen het besef van het belang van de AVG versterken.

Het veilig gebruiken van de digitale media, het creëren van een sterk wachtwoord en het verspreiden van bewustzijn over phishing-e-mails, nepvideo’s en het veilig delen van inhoud op het internet kan veel helpen bij het beschermen van vrouwen.

Deskundigen adviseren vrouwen om voorzichtig te zijn met sociale media. Vrouwen worden aangeraden om hun persoonlijke foto’s of gegevens niet te delen op sociale media, omdat het niet veilig is.

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid

CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.

De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.

Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.

 

Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.

De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.

Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.

De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.

Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.

Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.

De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.

Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.

“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.

Over ons

Wat mag je van PrivacyZone verwachten?

De een vindt de privacywet duidelijk, efficiënt en praktisch. De ander diffuus, bureaucratisch en onwerkbaar. Privacy management is maatwerk. Voor iedere afdeling. Voor iedere doelgroep.

Dat is het uitgangspunt en de uitdaging van PrivacyZone.nl bij de ontwikkeling van privacybeleid op basis van de privacywet AVG / GDPR.

PrivacyZone.nl is een marketing & communicatiebureau dat gespecialiseerd is in privacymanagement en privacymarketing.

Kunnen we misschien van de nood een deugd maken en dankzij de AVG nieuw beleid ontwikkelen waarmee meer omzet gegenereerd kan worden?

PrivacyZone helpt bij het vinden van effectieve oplossingen en zorgt er samen met jou voor dat je organisatie aan de Algemene Verordening Gegevensbescherming voldoet.

  • Welke mogelijkheden biedt privacybeleid voor verbetering, innovatie en zelfs new business?
  • Hoe combineren we juridisch en ethisch verantwoord handelen met het optimaal benutten van technische mogelijkheden om consumenten gepersonaliseerd te bedienen, 24/7, waar dan ook?
  • Welke (nieuwe) technische ontwikkelingen zijn er om het inzicht van organisaties in consumentengedrag, interesses, voorkeuren, attitudes en beleving op individueel niveau te achterhalen?
  • Welke impact hebben de ontwikkelingen voor HR, marketing, sales, customer service?

Geïnteresseerd? Neem dan nu contact met ons op.

Bel 06-31995740 of mail naar info@privacyzone.nl.

PrivacyZone.nl analyseert op basis van de Europese privacywetgeving samen met het management de custumer journey en werkprocessen om privacy risico’s en kansen in beeld te brengen.

  • We leren je ontwikkelingen aanvoelen
  • Wat je daarvan kunt leren
  • Wat er mogelijk is
  • Hoe je kunt reageren
  • Hoe je marktvragen kunt voorspellen en zo voldoen aan de klantvraag of deze zelfs kunt genereren
  • Hoe je eenvoudiger internationaal zaken kunt doen
  • Hoe je rust binnen jouw organisatie creëert met heldere processen en duidelijke afspraken
  • Hoe je aantrekkelijker wordt als werkgever door een transparant HR-beleid
  • Hoe je efficiënter kunt ondernemen door meer inzicht in jouw bedrijfsvoering
  • Hoe je doelmatig en datadriven kunt werken
  • Hoe je jouw imago kunt verbeteren

Wie van de nood een deugd maakt hoeft niet bevreesd te zijn voor hoge kosten of hoge boetes. Privacy wordt dan een investering waarmee je kosten kunt besparen en meer omzet en winst kunt genereren.

De AVG / GDRP biedt, wanneer goed gemanaged, volgens PrivacyZone een groeikans.

PrivacyZone werkt samen met zelfstandige specialisten op diverse vakgebieden die kennis delen, vergaren en duiden om klanten optimaal te kunnen ondersteunen bij de ontwikkeling van een doelgerichte privacy strategie.

Geïnteresseerd in de werkwijze van PrivacyZone? 

Bel 06-31995740 of mail naar info@privacyzone.nl.

AVG Awareness test: op welk phishing e-mail onderwerp zou jij geklikt hebben? Phishing top 10

KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.

Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.

 

Social engineering

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.

Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Nieuwsgierigheid is een risico

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.

“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”

Gesimuleerde phishingtests

In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.

Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.

Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:

  • Controleer uw wachtwoord – 34%.
  • Je hebt een spraakbericht – 13%
  • Uw bestelling is onderweg – 11%.
  • Wijzig uw wachtwoord onmiddellijk – 9%.
  • Deactivering van uw e-mailbox – 8%.
  • UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
  • Herziene reis- en ziekterichtlijnen – 6%.
  • U heeft een document ontvangen om te ondertekenen – 5%.
  • Spam hint: 1 nieuw bericht – 4%
  • {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.

Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.

  • U heeft een nieuw versleuteld bericht 
  • IT: Synchronisatiefout – geretourneerde berichten
  • HR: Contactgegevens
  • FedEx: We hebben u gemist.
  • Microsoft: Meerdere aanmeldingspogingen
  • IT: Belangrijk – Nieuwe server back-up
  • Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
  • LinkedIN: Uw account is in gevaar!
  • Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
  • Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie

Tijd voor professioneel privacybeleid?

PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.

10 vragen die de Autoriteit Persoonsgegevens stelt bij een steekproef. Kan jouw organisatie meteen antwoorden?

Stel dat jouw organisatie volgende week onverwachts door de Autoriteit Persoonsgegevens (AP) wordt bezocht voor een steekproef… Kun jij dan deze 10 vragen beantwoorden die de toezichthouders in Duitsland momenteel stellen bij AVG steekproeven in het MKB?

 

1. voorbereiding op de AVG

Hoe heeft u zich als bedrijf voorbereid op de AVG?

Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.

Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.

2. lijst van verwerkingsactiviteiten

Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?

Hoe zorgt u ervoor dat het up-to-date is?

Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.

3. toelaatbaarheid van de verwerking

Op welke wettelijke basis verwerkt u persoonlijke gegevens?

Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.

4. rechten van de betrokkenen

Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?

Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.

Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.

5. technische gegevensbescherminga

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?

Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?

Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)

6. beoordeling van de gevolgen voor de persoonlijke levenssfeer

Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming

Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.

7. orderverwerking

Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?

Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.

8. functionaris voor gegevensbescherming

Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?

Welk bewijs van deskundigheid heeft hij?

9. rapportageverplichtingen

Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?

Schets uw gerelateerde processen.

10. documentatie

Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?

Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.

Wat kunnen we leren van de ‘onzinnige’ AVG naambordjes discussie in Duitsland en Oostenrijk?

“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?

Of is de Europese privacywetgeving gewoon te complex?

Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?

Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?

Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.

Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.

Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd

Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.

Maar die veronderstelling klopt niet.

Hoe begon de naambordjesdiscussie?

De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.

De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Functionaris Gegevensbescherming zet als eerste verkeerde stap

De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.

Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen

Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.

Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.

Nog steeds geen sprake van stemmingmakerij

Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.

Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.

Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd

Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.

Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.

Rol privacybelangenorganisatie

De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.

Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.

ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.

Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.

ARAG Daten is geen tegenstander van AVG

Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.

Waar komt die stemmingmakerij dan vandaan?

De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?

Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens

De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.

En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.

Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.

Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen

Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.

@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“

 

Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.

Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen

De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.

Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn

In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.

Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.

 

Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.

Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken

Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.

En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.

Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?

Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.

Heb jij de tweede Privacytest op tv gemist? Jammer, maar je kunt alsnog meedoen

AVROTROS presenteerde maandag 15 oktober voor de tweede keer een Privacytest. De test behandelde drie grote thema’s: gezichtsherkenning en camera’s, sociale media en advertenties, en hackers en phishing. Heb jij meegedaan?

 

De Privacytest bood kijkers de mogelijkheid om te testen of het wel goed zit met hun AVG awareness.

Heb je de test gemist? Jammer. Maar dankzij NPO Start kun je de uitzending van 15 oktober nog terugkijken en jezelf testen.

En als je wilt kun je ook de eerste Privacytest van 21 oktober 2016 nog terugkijken om zo je AVG Awareness te testen.

Trots op je sportprestaties? Weet je welke risico’s je loopt als je sportapps gebruikt en je successen deelt?

Sportapps en (fitness)trackers stellen ons in staat om via social media en Google Maps onze successen met anderen te delen. Maar ze onthullen vaak ook veel over onze gewoontes en over onze exacte woon- en verblijfplaatsen. Zo maken we het dieven gemakkelijk.

Strava is een van de populairste apps voor hardlopers. Het programma houdt via gps bij welke route je aflegt. Van alle data maakt Strava zogeheten heatmaps. Hoe ‘heter’ het beeld, hoe meer de route gebruikt is.

Dagblad van het Noorden zoomde in op de Strava heatmaps en keek wat de populairste hardlooproutes zijn in Noord-Nederland. De stad Groningen springt er dan uit.

Die heatmaps zijn natuurlijk interessant. Ze geven een mooi algemeen overzicht van de populairste routes.

Privacy awareness

Die heatmaps zeggen echter ook iets over het gebrek aan AVG awareness bij heel veel mensen. Door in alle enthousiasme hun gegevens te delen met Strava wekken ze ook persoonlijke aandacht van cybercriminelen.

Vind jij het ook leuk om je ervaringen, foto’s, resultaten en verblijfplaats te delen met vrienden en familie? Weet je ook welke risico’s je daardoor loopt?

Dure fietsen dankzij Strava gemakkelijke buit

Neem het voorbeeld van een ambitieuze fietser uit Engeland, wiens dure fietsen uit de garage werden gestolen nadat hij regelmatig zijn tochten met de sportapp Strava had gedeeld.

Dieven kunnen aan de hand van frequente posts met snelle trainingstijden op Strava concluderen dat iemand over een dure professionele fiets beschikt.

Het risico van schijnbaar onschuldige informatie

De publicatie van schijnbaar onschuldige informatie over de afgelegde afstand en de gemiddelde snelheid op een bepaalde route biedt ongekende kansen voor dieven en fraudeurs.

De denkbare en tevens beproefde scenario’s zijn talrijk.

De gegevens en levensomstandigheden die je online beschikbaar hebt gesteld, met name in combinatie met andere (vaak ook openbaar beschikbare) informatie, kunnen cybercriminelen triggeren om jou te beroven.

En dat gebeurt niet alleen aan de hand van Strava.

Het risico van social media

Trotse personen delen hun actuele prestaties en tonen hun gadgets op YouTube, Instagram, Snapchat, Facebook, Twitter of in apps. Ze poseren voor hun waardevolle bezittingen. Fietsen, motorfietsen, auto’s, mooie camera’s, dure computers.

Alleen al aan de hand van de foto’s en de metagegevens met de tijd en locatie waar de foto of video is gemaakt kunnen dieven gemakkelijk lucratieve doelwitten vinden.

Bij elke foto die je met je smartphone maakt wordt meteen de locatie vastgelegd

Veel mensen weten niet dat hun smartphone of camera bij elke video of foto automatisch de tijd en locatie gecodeerd in het digitale bestand verwerkt. Ach, denk je misschien, wat kunnen ze daar nu mee?

Masr voeg de beste tijden, regelmatige rondleidingen en positie-informatie toe en het is voor cybercriminelen niet moeilijk om de exacte locatie van het potentiele doelwit te bepalen. Ze kennen jouw dagelijkse patroon.

Criminelen weten wanneer jij niet thuis bent

De criminelen kunnen op basis van alle gegevens die je deelt eenvoudig het beste moment bepalen om toe te slaan. Ze weten wanneer je onderweg bent en hoe lang je waarschijnlijk afwezig zult zijn.

Als de routes ook relevante aanduidingen hebben, zoals “way to work” of “home stretch”, zullen potentiële dieven het nog eenvoudiger hebben.

Ook anoniem delen kan risico opleveren

De meeste apps bieden de mogelijkheid om gegevens ook anoniem te delen. Dan lijk je minder risico te lopen. Maar wat gebeurt er met jouw data als de aanbieder van de dienst zijn bedrijf verkoopt? En hoe veilig zijn je gegevens eigenlijk opgeslagen? Stel dat de aanbieder gehackt wordt?

En hoe anoniem is anoniem?

Neem nu de heatmaps van Strava. Op drukke plaatsen, zoals het Noorderplantsoen in Groningen, ben je in de massa waarschijnlijk wel anoniem. Maar als je je buiten buiten de druk bezochte hotspots bevindt, kan een persoonlijke referentie niet langer worden uitgesloten en kan zelfs de locatie van geheime militaire bases worden onthuld.

Controleer regelmatig de privacyopties!

De vaak ongecorrigeerde standaardinstellingen van de apps verhogen het risico op privacy juist. Deze instellingen zijn ontworpen om zoveel mogelijk gegevens te delen tussen gebruikers.

Dat is niet echt verrassend. Dat is het verdienmodel van de app. Juist de interactie en uitwisseling tussen gebruikers maakt een app of community bijzonder aantrekkelijk.

Dit maakt het des te belangrijker om de instellingen aan te passen en regelmatig te controleren. Dit komt omdat app-leveranciers vaak gebruik maken van updates, niet alleen om hun gebruiksvoorwaarden te vernieuwen, maar ook om bestaande beperkingen in het proces te wijzigen om hun aantrekkelijkheid en vermeende voordelen te verbeteren. Dit gaat vaak ten koste van de gebruikers en gegevensbescherming.

70% bedrijven heeft geheugen en weggegooide harddiscs IT-apparatuur niet gewist en overtreedt dus de AVG

70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.

De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.

Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.

Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.

Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.

Vooral transportsector overtreedt de AVG

Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.

Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.

Top 10 bedrijfstakken die AVG overtreden

De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:

  • Vervoer – 72%
  • Verkoop en marketing – 62%
  • Productie – 59%
  • Nutsbedrijven – 58%
  • Detailhandel – 57%
  • Onderwijs – 54%
  • Vrije tijd en reizen – 49%
  • Gezondheidszorg en gastvrijheid – 45%
  • Handelaren / administratie – 44%
  • Voorlichting en communicatie – 39%

Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben

“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.

De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).

Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen

“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.

Poetin helpt Autoriteit Persoonsgegevens. Topweek voor AVG Awareness

Twijfel je nog over het nut van de Algemene Verordening Gegevensbescherming (AVG)? Waarom? Amateuristische russische spionnen hebben nu toch wel bewezen hoe kinderlijk eenvoudig het is om gevoelige informatie te verzamelen.

Poetin en de MIVD bewijzen de Algemene Verordening Gegevensbescherming een enorme dienst.

De MIVD verhinderde op 13 april een hackaanval van de Russische geheime dienst (GROe) op de OPCW in Den Haag en gaf voor het eerst in de geschiedenis van de geheime dienst tot in detail weer hoe de spionnen hun slag hadden willen slaan.

Russische spionnen goud waard voor AVG Awareness trainingen

De gedetailleerde reportages over de aanhouding van de russische spionnen die in april in Nederland op heterdaad werden betrapt zijn goud waard voor AVG awareness trainingen.

Juist de amateuristische werkwijze maakt duidelijk hoe groot het risico van cybercrime, bedrijfsspionage en hacks is.

Diverse media schakelden ethical hackers in om uit te leggen hoe de Russische spionnen te werk hadden willen gaan. De YouTube video’s van deze nieuwsitems zullen ongetwijfeld bij menige AVG Awareness training worden gebruikt.

NOS Nieuws

Rusland staat in zijn hemd na de verijdelde hackaanval op de OPCW, zegt ethisch hacker Sijmen Ruwhof bij NOS Nieuws. Hij demonstreert het soort apparatuur dat de Russische officieren waarschijnlijk gebruikten: “Niet geavanceerd en te koop voor honderd euro.”

RTL Late Night

Ethisch hacker Rickey Gevers geeft bij RTL Late Night een demonstratie hoe een hackaanval werkt. Hij gebruikt hiervoor een speciaal apparaat en weet vanalles over de mensen uit de zaal.

Een kind kan de was doen. Wat de amateuristische mannen van de russische president Poetin doen kunnen kinderen ook.

16-jarige jongen hackt Apple

Een jongen van 16 uit Australië is via een hack meerdere keren in het computernetwerk van de Amerikaanse techgigant Apple binnengedrongen.

De jongen drong in juni 2015 voor het eerst bij Apple binnen. Hij was toen zestien jaar oud. Dat duurde tot november 2016. Apple dichtte het lek, maar in april vorig jaar slaagde de Australiër er weer in binnen te komen.

Hij werd uiteindelijk gepakt en kwam voor de rechter.

,,Wat je hebt gedaan is ernstig. Het was langdurig, verfijnd en een geslaagde aanval op de beveiliging van een groot internationaal bedrijf”, zei de rechter.

In totaal zou de tiener vanuit zijn huiskamer voor in totaal 90 gigabyte aan beveiligde informatie van het netwerk van Apple hebben binnengehaald.

Oproep Nederlandse Vereniging van Effectenbezitters

Directeur Paul Koster van de Nederlandse Vereniging van Effectenbezitters roept bestuurders en commisarissen van bedrijven op zich via scenarioanalyse voor te bereiden allerlei vormen van cyberaanvallen. Hij doet dat naar aanleiding van een driedaagse bijeenkomst van de Britse denktank Oxford Analytica over ondermeer cybersecurity.

In een column in de Telegraaf wijst Koster op de grote risico’s die het Nederlandse bedrijfsleven loopt door cyberdreiging waar volgens hem veel te weinig aandacht aan wordt geschonken door zowel overheid als bedrijfsleven.

Geen panklaar antwoord op bedreigingen cyberrevolutie

“De Westerse overheden hebben nog geen pasklaar antwoord op de bedreigingen van de cyberrevolutie”, schrijft Koster. “Het fenomeen vraagt een totaal nieuwe aanpak tussen overheden en bedrijfsleven. Een nauwe samenwerking in de vorm van partnerships is nodig om überhaupt de ontwikkelingen bij te houden.”

Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels

Ondanks alle berichten over spionage door russen en hacks bij Facebook en Apple leeft de AVG nog steeds niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen,
waaronder Nederland.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Hoogste tijd voor privacybeleid en een awareness training

Het wordt langzamerhand echt de hoogste tijd dat we met elkaar wakker worden. Voldoet jouw organisatie al aan de AVG? Is er al een AVG Awareness training gegeven? Wordt die training ook regelmatig herhaald?

Nee?

Neem nu contact met PrivacyZone op! Uitstel heeft geen zin. Iedere organisatie moet hoe dan ook aan de AVG voldoen.

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.