Het is 7 mei 2020 World Password Day. Uit diverse onderzoeken blijkt dat deze dag belangrijk is. Veel mensen beseffen dat ze verkeerd bezig zijn, maar weten niet hoe ze hun wachtwoord gedrag kunnen verbeteren. We hebben 9 tips voor u. Het toverwoord is ‘Layer Up’.
Wat betekent ‘Layer Up’? De term betekent in principe het toevoegen van een andere beveiligingslaag aan je wachtwoorden.
Je kunt een 2FA-laag of een dynamische IP-laag toevoegen aan je wachtwoord om het veel veiliger te maken.
Het eerste wat je echter moet doen is een sterk wachtwoord maken. Sommige mensen hebben de neiging om hun naam, de naam van hun vriendje, de naam van hun ouders, in feite de naam van hun huisdier, een paar keer als wachtwoord te hebben. Dat is duidelijk niet de manier waarop een wachtwoord moet worden gegeven hoe makkelijk ze te raden zijn.
Een wachtwoord moet bijvoorbeeld een mix zijn van heel veel speciale tekens: Bp}H;eF:{*@y(D2I8?2d|G~yf8`8.
Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
8 tips voor een veilig wachtwoord
Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
Maak uw wachtwoord zo lang mogelijk, om het extreem vervelend te maken voor een brute kracht aanvaller om uw wachtwoord te kraken. (Let op, wachtwoorden van ongeveer drie letters kunnen in minder dan een seconde worden gekraakt.)
Gebruik geen woord dat in het woordenboek staat of letters die opeenvolgend op een toetsenbord staan.
Schrijf eerst een willekeurige zin op en voeg dan letter voor letter een hoofdletter, een cijfer of een symbool toe.
Gebruik geen voor de hand liggende gegevens zoals uw naam, geboortedatum, plaats waar u woont in het wachtwoord. Dat alles kan gemakkelijk online worden ontdekt.
Om uw online identiteit veilig te bewaren, moet u uw wachtwoorden regelmatig wijzigen. En gebruik nooit meer hetzelfde wachtwoord.
Enable two-factor authenticatie. Dit zal u helpen, zelfs als uw wachtwoord wordt gecompromitteerd. De hacker heeft namelijk de OTP nodig die u op uw smartphone ontvangt.
Bewaar niet één wachtwoord voor al uw accounts, want dat wordt de hoofdsleutel van uw leven, die bij verlies ernstige gevolgen zal hebben.
Er is tijdens de Corona crisis een opmerkelijke toename van cybercriminaliteit tegen vrouwen. Het betreft vooral sextortion, zeggen deskundigen.
De deskundigen denken dat de gemelde cyberaanvallen op vrouwen slechts de ,,top van de ijsberg” tonen.
“We hebben van 25 maart tot 25 april in totaal 412 echte klachten over cybermisbruik ontvangen. Daarvan waren maar liefst 396 klachten van vrouwen ernstig, (en deze) varieerden van misbruik, onfatsoenlijke blootstelling, ongevraagde obscene foto’s, bedreigingen, kwaadaardige e-mails die beweren dat hun account gehackt was, losgeldeisen, chantage en meer,” zegt de oprichter van de Akancha Foundation, Akancha Srivastava.
De organisatie werkt aan onderwijs en empowerment van mensen door kennis over cyberveiligheid over te dragen.
Srivastava zei dat ze nu gemiddeld 20-25 van dergelijke klachten per dag krijgt, terwijl het aantal voor de lockdown minder dan 10 per dag was.
Met name de meldingen van ,,sextortion” zijn gestegen.
Sextortion is het afpersen van geld of seksuele gunsten van iemand door te dreigen met het onthullen van bewijs van hun seksuele activiteit door middel van middelen zoals morphed beelden.
Onmiddellijk na de lockdown was er een stijging van het aantal gevallen van verkeerde informatie, nepnieuws en vrouwen die online worden gedupeerd wanneer ze op malware-links klikken die al hun informatie aan de telefoon krijgen, de camera en de microfoon aanzetten en hun intieme momenten vastleggen. Deze worden dan gebruikt voor chantage.
Veel vrouwen willen in deze gevallen geen officiële klachten indienen, omdat ze zich zorgen maken over het sociale stigma dat eraan verbonden is. Daarom denken de deskundigen dat de gemelde cyberaanvallen op vrouwen officiële slechts het topje van de ijsberg tonen.
Vandana Verma, oprichter van InfoSec Girls, zegt dat de mensen thuis werken en veel tijd doorbrengen op het internet en cybercriminelen daar innovatief misbruik van maken.
De cybercriminelen verzenden bijvoorbeeld specifieke phishing e-mails of thema e-mails over COVID-19 en hengelen zo naar vertrouwelijke gegevens zoals adres, telefoonnummers. Deze e-mails lijken afkomstig te zijn van betrouwbare bronnen zoals de overheid, maar zijn in werkelijkheid fake.
Daarnaast creëren de cybercriminelen valse profielen en nemen cyberpesten en online stalking momenteel toe.
De toenemende cyberaanvallen op vrouwen tonen hoe belangrijk het is om regelmatig AVG Awareness trainingen te geven. Juist actuele ontwikkelingen kunnen het besef van het belang van de AVG versterken.
Het veilig gebruiken van de digitale media, het creëren van een sterk wachtwoord en het verspreiden van bewustzijn over phishing-e-mails, nepvideo’s en het veilig delen van inhoud op het internet kan veel helpen bij het beschermen van vrouwen.
Deskundigen adviseren vrouwen om voorzichtig te zijn met sociale media. Vrouwen worden aangeraden om hun persoonlijke foto’s of gegevens niet te delen op sociale media, omdat het niet veilig is.
CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.
De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.
Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.
Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.
De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.
Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.
De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.
Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.
Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.
De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.
Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.
“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.
De een vindt de privacywet duidelijk, efficiënt en praktisch. De ander diffuus, bureaucratisch en onwerkbaar. Privacy management is maatwerk. Voor iedere afdeling. Voor iedere doelgroep.
Dat is het uitgangspunt en de uitdaging van PrivacyZone.nl bij de ontwikkeling van privacybeleid op basis van de privacywet AVG / GDPR.
PrivacyZone.nl is een marketing & communicatiebureau dat gespecialiseerd is in privacymanagement en privacymarketing.
Kunnen we misschien van de nood een deugd maken en dankzij de AVG nieuw beleid ontwikkelen waarmee meer omzet gegenereerd kan worden?
PrivacyZone helpt bij het vinden van effectieve oplossingen en zorgt er samen met jou voor dat je organisatie aan de Algemene Verordening Gegevensbescherming voldoet.
Welke mogelijkheden biedt privacybeleid voor verbetering, innovatie en zelfs new business?
Hoe combineren we juridisch en ethisch verantwoord handelen met het optimaal benutten van technische mogelijkheden om consumenten gepersonaliseerd te bedienen, 24/7, waar dan ook?
Welke (nieuwe) technische ontwikkelingen zijn er om het inzicht van organisaties in consumentengedrag, interesses, voorkeuren, attitudes en beleving op individueel niveau te achterhalen?
Welke impact hebben de ontwikkelingen voor HR, marketing, sales, customer service?
PrivacyZone.nl analyseert op basis van de Europese privacywetgeving samen met het management de custumer journey en werkprocessen om privacy risico’s en kansen in beeld te brengen.
We leren je ontwikkelingen aanvoelen
Wat je daarvan kunt leren
Wat er mogelijk is
Hoe je kunt reageren
Hoe je marktvragen kunt voorspellen en zo voldoen aan de klantvraag of deze zelfs kunt genereren
Hoe je eenvoudiger internationaal zaken kunt doen
Hoe je rust binnen jouw organisatie creëert met heldere processen en duidelijke afspraken
Hoe je aantrekkelijker wordt als werkgever door een transparant HR-beleid
Hoe je efficiënter kunt ondernemen door meer inzicht in jouw bedrijfsvoering
Hoe je doelmatig en datadriven kunt werken
Hoe je jouw imago kunt verbeteren
Wie van de nood een deugd maakt hoeft niet bevreesd te zijn voor hoge kosten of hoge boetes. Privacy wordt dan een investering waarmee je kosten kunt besparen en meer omzet en winst kunt genereren.
De AVG / GDRP biedt, wanneer goed gemanaged, volgens PrivacyZone een groeikans.
PrivacyZone werkt samen met zelfstandige specialisten op diverse vakgebieden die kennis delen, vergaren en duiden om klanten optimaal te kunnen ondersteunen bij de ontwikkeling van een doelgerichte privacy strategie.
KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.
Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.
Social engineering
Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.
Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.
Nieuwsgierigheid is een risico
Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling. “Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.
“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”
Gesimuleerde phishingtests
In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.
Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.
Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:
Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie
Tijd voor professioneel privacybeleid?
PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.
Hoe heeft u zich als bedrijf voorbereid op de AVG?
Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.
Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.
2. lijst van verwerkingsactiviteiten
Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?
Hoe zorgt u ervoor dat het up-to-date is?
Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.
3. toelaatbaarheid van de verwerking
Op welke wettelijke basis verwerkt u persoonlijke gegevens?
Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.
4. rechten van de betrokkenen
Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?
Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.
Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.
5. technische gegevensbescherminga
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?
Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?
Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)
6. beoordeling van de gevolgen voor de persoonlijke levenssfeer
Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming
Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.
7. orderverwerking
Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?
Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.
8. functionaris voor gegevensbescherming
Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?
Welk bewijs van deskundigheid heeft hij?
9. rapportageverplichtingen
Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?
Schets uw gerelateerde processen.
10. documentatie
Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?
Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.
“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?
Of is de Europese privacywetgeving gewoon te complex?
Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?
Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?
Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.
Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.
Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd
Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.
Maar die veronderstelling klopt niet.
Hoe begon de naambordjesdiscussie?
De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.
De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.
Functionaris Gegevensbescherming zet als eerste verkeerde stap
De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.
Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen
Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.
Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.
Nog steeds geen sprake van stemmingmakerij
Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.
Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.
Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd
Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.
Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.
Rol privacybelangenorganisatie
De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.
Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.
ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.
Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.
ARAG Daten is geen tegenstander van AVG
Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.
Waar komt die stemmingmakerij dan vandaan?
De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?
Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens
De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.
En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.
Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.
Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen
Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.
@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“
Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.
Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen
De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.
Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn
In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.
Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.
Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.
Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken
Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.
En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.
Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?
Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.
AVROTROS presenteerde maandag 15 oktober voor de tweede keer een Privacytest. De test behandelde drie grote thema’s: gezichtsherkenning en camera’s, sociale media en advertenties, en hackers en phishing. Heb jij meegedaan?
De Privacytest bood kijkers de mogelijkheid om te testen of het wel goed zit met hun AVG awareness.
Sportapps en (fitness)trackers stellen ons in staat om via social media en Google Maps onze successen met anderen te delen. Maar ze onthullen vaak ook veel over onze gewoontes en over onze exacte woon- en verblijfplaatsen. Zo maken we het dieven gemakkelijk.
Strava is een van de populairste apps voor hardlopers. Het programma houdt via gps bij welke route je aflegt. Van alle data maakt Strava zogeheten heatmaps. Hoe ‘heter’ het beeld, hoe meer de route gebruikt is.
Dagblad van het Noorden zoomde in op de Strava heatmaps en keek wat de populairste hardlooproutes zijn in Noord-Nederland. De stad Groningen springt er dan uit.
Die heatmaps zijn natuurlijk interessant. Ze geven een mooi algemeen overzicht van de populairste routes.
Privacy awareness
Die heatmaps zeggen echter ook iets over het gebrek aan AVG awareness bij heel veel mensen. Door in alle enthousiasme hun gegevens te delen met Strava wekken ze ook persoonlijke aandacht van cybercriminelen.
Vind jij het ook leuk om je ervaringen, foto’s, resultaten en verblijfplaats te delen met vrienden en familie? Weet je ook welke risico’s je daardoor loopt?
Dure fietsen dankzij Strava gemakkelijke buit
Neem het voorbeeld van een ambitieuze fietser uit Engeland, wiens dure fietsen uit de garage werden gestolen nadat hij regelmatig zijn tochten met de sportapp Strava had gedeeld.
Dieven kunnen aan de hand van frequente posts met snelle trainingstijden op Strava concluderen dat iemand over een dure professionele fiets beschikt.
Het risico van schijnbaar onschuldige informatie
De publicatie van schijnbaar onschuldige informatie over de afgelegde afstand en de gemiddelde snelheid op een bepaalde route biedt ongekende kansen voor dieven en fraudeurs.
De denkbare en tevens beproefde scenario’s zijn talrijk.
De gegevens en levensomstandigheden die je online beschikbaar hebt gesteld, met name in combinatie met andere (vaak ook openbaar beschikbare) informatie, kunnen cybercriminelen triggeren om jou te beroven.
En dat gebeurt niet alleen aan de hand van Strava.
Het risico van social media
Trotse personen delen hun actuele prestaties en tonen hun gadgets op YouTube, Instagram, Snapchat, Facebook, Twitter of in apps. Ze poseren voor hun waardevolle bezittingen. Fietsen, motorfietsen, auto’s, mooie camera’s, dure computers.
Alleen al aan de hand van de foto’s en de metagegevens met de tijd en locatie waar de foto of video is gemaakt kunnen dieven gemakkelijk lucratieve doelwitten vinden.
Bij elke foto die je met je smartphone maakt wordt meteen de locatie vastgelegd
Veel mensen weten niet dat hun smartphone of camera bij elke video of foto automatisch de tijd en locatie gecodeerd in het digitale bestand verwerkt. Ach, denk je misschien, wat kunnen ze daar nu mee?
Masr voeg de beste tijden, regelmatige rondleidingen en positie-informatie toe en het is voor cybercriminelen niet moeilijk om de exacte locatie van het potentiele doelwit te bepalen. Ze kennen jouw dagelijkse patroon.
Criminelen weten wanneer jij niet thuis bent
De criminelen kunnen op basis van alle gegevens die je deelt eenvoudig het beste moment bepalen om toe te slaan. Ze weten wanneer je onderweg bent en hoe lang je waarschijnlijk afwezig zult zijn.
Als de routes ook relevante aanduidingen hebben, zoals “way to work” of “home stretch”, zullen potentiële dieven het nog eenvoudiger hebben.
Ook anoniem delen kan risico opleveren
De meeste apps bieden de mogelijkheid om gegevens ook anoniem te delen. Dan lijk je minder risico te lopen. Maar wat gebeurt er met jouw data als de aanbieder van de dienst zijn bedrijf verkoopt? En hoe veilig zijn je gegevens eigenlijk opgeslagen? Stel dat de aanbieder gehackt wordt?
En hoe anoniem is anoniem?
Neem nu de heatmaps van Strava. Op drukke plaatsen, zoals het Noorderplantsoen in Groningen, ben je in de massa waarschijnlijk wel anoniem. Maar als je je buiten buiten de druk bezochte hotspots bevindt, kan een persoonlijke referentie niet langer worden uitgesloten en kan zelfs de locatie van geheime militaire bases worden onthuld.
Controleer regelmatig de privacyopties!
De vaak ongecorrigeerde standaardinstellingen van de apps verhogen het risico op privacy juist. Deze instellingen zijn ontworpen om zoveel mogelijk gegevens te delen tussen gebruikers.
Dat is niet echt verrassend. Dat is het verdienmodel van de app. Juist de interactie en uitwisseling tussen gebruikers maakt een app of community bijzonder aantrekkelijk.
Dit maakt het des te belangrijker om de instellingen aan te passen en regelmatig te controleren. Dit komt omdat app-leveranciers vaak gebruik maken van updates, niet alleen om hun gebruiksvoorwaarden te vernieuwen, maar ook om bestaande beperkingen in het proces te wijzigen om hun aantrekkelijkheid en vermeende voordelen te verbeteren. Dit gaat vaak ten koste van de gebruikers en gegevensbescherming.
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
Vervoer – 72%
Verkoop en marketing – 62%
Productie – 59%
Nutsbedrijven – 58%
Detailhandel – 57%
Onderwijs – 54%
Vrije tijd en reizen – 49%
Gezondheidszorg en gastvrijheid – 45%
Handelaren / administratie – 44%
Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
Twijfel je nog over het nut van de Algemene Verordening Gegevensbescherming (AVG)? Waarom? Amateuristische russische spionnen hebben nu toch wel bewezen hoe kinderlijk eenvoudig het is om gevoelige informatie te verzamelen.
Poetin en de MIVD bewijzen de Algemene Verordening Gegevensbescherming een enorme dienst.
De MIVD verhinderde op 13 april een hackaanval van de Russische geheime dienst (GROe) op de OPCW in Den Haag en gaf voor het eerst in de geschiedenis van de geheime dienst tot in detail weer hoe de spionnen hun slag hadden willen slaan.
Russische spionnen goud waard voor AVG Awareness trainingen
De gedetailleerde reportages over de aanhouding van de russische spionnen die in april in Nederland op heterdaad werden betrapt zijn goud waard voor AVG awareness trainingen.
Juist de amateuristische werkwijze maakt duidelijk hoe groot het risico van cybercrime, bedrijfsspionage en hacks is.
Diverse media schakelden ethical hackers in om uit te leggen hoe de Russische spionnen te werk hadden willen gaan. De YouTube video’s van deze nieuwsitems zullen ongetwijfeld bij menige AVG Awareness training worden gebruikt.
NOS Nieuws
Rusland staat in zijn hemd na de verijdelde hackaanval op de OPCW, zegt ethisch hacker Sijmen Ruwhof bij NOS Nieuws. Hij demonstreert het soort apparatuur dat de Russische officieren waarschijnlijk gebruikten: “Niet geavanceerd en te koop voor honderd euro.”
RTL Late Night
Ethisch hacker Rickey Gevers geeft bij RTL Late Night een demonstratie hoe een hackaanval werkt. Hij gebruikt hiervoor een speciaal apparaat en weet vanalles over de mensen uit de zaal.
Een kind kan de was doen. Wat de amateuristische mannen van de russische president Poetin doen kunnen kinderen ook.
16-jarige jongen hackt Apple
Een jongen van 16 uit Australië is via een hack meerdere keren in het computernetwerk van de Amerikaanse techgigant Apple binnengedrongen.
De jongen drong in juni 2015 voor het eerst bij Apple binnen. Hij was toen zestien jaar oud. Dat duurde tot november 2016. Apple dichtte het lek, maar in april vorig jaar slaagde de Australiër er weer in binnen te komen.
Hij werd uiteindelijk gepakt en kwam voor de rechter.
,,Wat je hebt gedaan is ernstig. Het was langdurig, verfijnd en een geslaagde aanval op de beveiliging van een groot internationaal bedrijf”, zei de rechter.
In totaal zou de tiener vanuit zijn huiskamer voor in totaal 90 gigabyte aan beveiligde informatie van het netwerk van Apple hebben binnengehaald.
Directeur Paul Koster van de Nederlandse Vereniging van Effectenbezitters roept bestuurders en commisarissen van bedrijven op zich via scenarioanalyse voor te bereiden allerlei vormen van cyberaanvallen. Hij doet dat naar aanleiding van een driedaagse bijeenkomst van de Britse denktank Oxford Analytica over ondermeer cybersecurity.
In een column in de Telegraaf wijst Koster op de grote risico’s die het Nederlandse bedrijfsleven loopt door cyberdreiging waar volgens hem veel te weinig aandacht aan wordt geschonken door zowel overheid als bedrijfsleven.
Geen panklaar antwoord op bedreigingen cyberrevolutie
“De Westerse overheden hebben nog geen pasklaar antwoord op de bedreigingen van de cyberrevolutie”, schrijft Koster. “Het fenomeen vraagt een totaal nieuwe aanpak tussen overheden en bedrijfsleven. Een nauwe samenwerking in de vorm van partnerships is nodig om überhaupt de ontwikkelingen bij te houden.”
Ondanks alle berichten over spionage door russen en hacks bij Facebook en Apple leeft de AVG nog steeds niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.
Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.
Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.
“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”
Hoogste tijd voor privacybeleid en een awareness training
Het wordt langzamerhand echt de hoogste tijd dat we met elkaar wakker worden. Voldoet jouw organisatie al aan de AVG? Is er al een AVG Awareness training gegeven? Wordt die training ook regelmatig herhaald?
Nee?
Neem nu contact met PrivacyZone op! Uitstel heeft geen zin. Iedere organisatie moet hoe dan ook aan de AVG voldoen.
De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.
Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.
Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.
Onduidelijk wie verantwoordelijk is voor privacybeleid
Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.
Dertien procent heeft geen idee wie dit is.
Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.
Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).
Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.
Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.