Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.
In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.
Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?
“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”
Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.
Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.
Privacy Nieuws
Directeur Michiel Steltman van de Stichting Digitale Infrastructuur Nederland (DINL), roept op tot betere bescherming van webshops tegen DDoS-aanvallen. Met name webwinkels van kleine ondernemers zijn kwetsbaar, blijkt uit onderzoek waarover het Financiele Dagblad (FD) en BNR berichten.
Bij een DDoS-aanval proberen cybercriminelen doelbewust een website te overbelasten. Dat doen ze door met een groot aantal computers tegelijkertijd deze site te bezoeken. De server van deze site kan de hoeveelheid communicatieverzoeken niet meer verwerken en wordt daardoor extreem traag of loopt vast.
Online ondernemers zijn voor de bescherming van hun webshop tegen DDoS-aanvallen afhankelijk van providers die hun sites hosten. Deze providers zouden zich volgens Steltman tegen DDoS-aanvallen moeten wapenen. Maar dat doen lang niet alle providers. Terwijl ze dat op basis van de Algemene Verordening Gegevensbescherming (AVG) wel wettelijk verplicht zijn.
Maar ook de ondernemers zelf zijn verplicht om er voor te zorgen dat hun online infrastructuur voldoet aan de eisen die de wet stelt. Als hun provider dus niet aan de eisen voldoet dienen ze een andere provider te zoeken.
Maar hoe weet je als online ondernemer of jouw provider aan de eisen voldoet? Hoe weet je of je je zaken zelf op orde hebt? Dat zul je moeten testen. Er zijn diverse diensten en tools waarmee zo’n load test (zo noemen we zulke testen) gedaan kan worden.
Als je een load-test wilt uitvoeren op jouw ICT-systeem of de hostingomgeving van jouw website, doe dat dan in overleg met de ICT-afdeling, een externe ICT-spedicalist en de provider of leverancier van de dienst die je wilt testen. Het is niet verstandig om zonder deskundige ondersteuning aan het experimenteren te slaan.
Er zijn diverse diensten en tools waarmee je een professionele load-test kunt uitvoeren. We zetten ze voor je op een rij:
Opmerking: Bij PrivacyZone monitoren we voortdurend online AVG-diensten en -tools die op de markt komen. Dit artikel wordt aangepast zodra we nieuwe diensten of tools ontdekken. Heb je een tip voor een dienst of tool die hier niet bij staat? Meldt het ons. Dat kan via de reacties of via ons contactformulier op de contactpagina.
Privacy Nieuws
Bits of Freedom heeft de privacytool My Data Done Right ontwikkeld. Daarmee kunnen gebruikers eenvoudig inzage-, correctie- of verwijderverzoeken opstellen, of een verzoek indienen om gegevens over te dragen.
Het verzoek om inzage of correctie wordt, op basis van de invoer van de gebruiker, automatisch gegenereerd.
De gebruiker hoeft het verzoek alleen nog zelf te versturen.
Verder kunnen gebruikers aangeven dat ze via e-mail of hun agenda een reminder over het verzoek willen ontvangen.
Bits of Freedom heeft inmiddels voor ruim 1000 organisaties de contactgegevens verzameld. Gebruikers kunnen daarnaast zelf ook adresgegevens van andere organisaties toevoegen.
De Nederlandse burgerrechtenbeweging Bits of Freedom helpt mensen op die manier gebruik te maken van het recht op inzage, correctie, verwijdering en dataportabiliteit van hun gegevens dat de Algemene verordening gegevensbescherming (AVG) biedt.
Bits of Freedom laat weten dat het de database met organisaties verder wil uitbreiden. Ook moet de tool voor zoveel mogelijk mensen in de Europese Unie toegankelijk worden.
Zo wordt er samen met andere digitale burgerrechtenorganisaties en vrijwilligers gewerkt aan versies van My Data Done Right voor andere landen en taalgebieden.
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat organisaties de effectiviteit van beveiligingsmaatregelen regelmatig moeten controleren en evalueren.
Hoe staat het met de beveiliging van de ICT in jouw organisatie?
Veel mensen denken dat het wel goed zit, maar helemaal zeker weten ze het niet.
Waar moet je nou precies op letten? Hoe controleer je eigenlijk of het wel goed zit?
Je zou natuurlijk een ethical hacker kunnen inhuren die je bedrijf doorlicht. Maar er zijn ook diverse tools die kunnen helpen.
ICT-beveiliging vaak niet op orde
Uit onderzoek blijkt dat de ICT-beveiliging bij veel organisaties niet op orde is.
De AVG verplicht bedrijven ervoor zorgen dat beveiligingsmaatregelen hypermodern zijn. Het is verplicht om ze regelmatig te actualiseren.
De AVG verplicht ook uitdrukkelijk dat er procedures worden vastgesteld waarmee de doeltreffendheid van de maatregelen regelmatig wordt getoetst en geëvalueerd (artikel 32 van het AVG).
Organisatorische maatregelen in verwerkingsregister vastleggen
De organisatorische maatregelen moeten worden vastgelegd in het verwerkingsregister. Bij een controle moet uit dit register blijken wanneer de organisatie welke maatregelen heeft gecontroleerd en geevalueerd. Dat kan bijvoorbeeld worden onderbouwd met checklists die regelmatig worden nagelopen.
Maar checklists zijn niet altijd afdoende. Om echt zeker te weten of de technische systemen waterdicht zijn is het eigenlijk ook noodzakelijk om technische hulpmiddelen in te zetten. Tools die de ICT-systemen op de proef stellen.
Gegevensverwerkingsprocedures testen
Als een bedrijf bijvoorbeeld de mate van versleuteling van persoonsgegevens wil controleren, zijn speciale hulpmiddelen nuttig om de effectiviteit van versleuteling in de individuele gegevensverwerkingsprocedures te testen.
Met behulp van sommige tools kan een overzicht worden gegenereerd of en in hoeverre de gegevens voor de verschillende gegevensverwerkingslocaties versleuteld zijn.
SSL Server Test
Een tool die de versleuteling van webservers controleert is bijvoorbeels Qualys’ SSL check (SSL Server Test). Deze tool controleert niet alleen of encryptie wordt gebruikt, maar ook hoe sterk de encryptie is.
Bij de toetsing van het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de bij de verwerking betrokken systemen en diensten op de lange termijn, speelt het een rol of er beveiligingslacunes zijn die juist deze punten in gevaar brengen.
Beveiligingslacunes kunnen worden gedetecteerd door scansoftware. Er zijn diverse oplossingen op de markt:
Er is dus geen excuus voor bedrijven als kwetsbaarheden heel laat of helemaal niet zijn ontdekt. Bedrijven die hun ICT-systemen niet regelmatig professioneel (laten) lopen risico. Bij hen bestaat het gevaar dat datadieven of de toezichthouder de kwetsbaarheden wel zullen vinden. Met alle nadelige gevolgen van dien.
Hulpmiddelen die regelmatig en automatisch zwakke punten scannen helpen risico’s tijdig te onderkennen.
Privacy Nieuws
Bij de loodgieter thuis lekt het vaak het meest… De verklaring is simpel. Goede loodgieters zijn schaars. Ze hebben het zo druk dat ze thuis nergens aan toe komen. Of er gewoon geen energie meer voor hebben.
Bij een lekke kraan is dat de eigen keuze en het eigen probleem van de loodgieter. Al zal hij waarschijnlijk de schade die ontstaan is door de waterlekkage niet kunnen verhalen op zijn verzekering als blijkt dat hij zelf als vakman erger had kunnen voorkomen.
Sinds 25 mei 2018 denken we bij lekkages niet alleen meer aan water-, gas- of olielekken. We denken ook aan datalekken. En dat levert een mooi bruggetje op richting advocaten en juristen die zich bezig houden met de Algemene Verordening Gegevensbescherming.
Als het bij de loodgieter thuis het meeste lekt, hoe zit dat dan eigenlijk als het om datalekken gaat bij juristen? Hoe goed hebben AVG-specialisten hun zaken zelf voor elkaar?
AVG Cloud Register, de Groninger producent van handige en praktische AVG software waarmee ook PrivacyZone werkt, deed daar ruim een maand na het ingaan van de nieuwe privacywetgeving AVG onderzoek naar.
Uit het onderzoek van AVG Cloud Register blijkt dat slechts 14 procent van de websites van 50 onderzochte juristenkantoren, die berichten of adviseren over de AVG, zélf voldoen aan deze nieuwe wet.
De websites behoren toe tot juridische bureau’s die actief zijn op het gebied van privacy & ICT Recht, AVG workshops geven, FG is of via twitter of de bedrijfswebsite over de AVG heeft bericht. Deze juridische bureau’s liepen qua omvang uiteen van zelfstandigen tot partijen met 100+ werknemers.
Veel (technische) misverstanden
AVG Cloud Register signaleert op Twitter dat er nog veel misverstanden en onwetendheid is omtrent de AVG en privacy. De implementatie van technische aspecten die erbij komen kijken, blijkt zelfs voor de partijen die bekend zijn met de wet- en regelgeving, alsnog een struikelblok te zijn. Ook PrivacyZone komt tot die conclusie op basis van praktijkervaring en gesprekken met diverse ondernemers na AVG presentaties.
Uit onderzoek van de Consumentenbond blijkt ook dat 69% van de grote Nederlandse websites niet voldoen aan de AVG.
Ruwe onderzoeksresultaten
AVG Cloud Register keek voor zijn onderzoek naar de websites van juristen naar de volgende punten:
- De aanwezigheid van een privacy statement
74% voldeed hieraan, bij 26% ontbrak het privacystatement volledig, hoewel er wel persoonsgegevens middels bijvoorbeeld een contactformulier konden worden ingevuld;
- De juistheid van het privacy statement
67% van de eerder genoemde 74% waren correct, de overige 50% had onwaarheden of hiaten in hun privacystatement;
- Google IP-adres anonimisering
Binnen de AVG is het opslaan van een ip-adres een gegevensverwerking. Elke website die (veelal) Google Analytics gebruikt moet daarom hiervoor òf aan de websitebezoeker toestemming vragen middels een cookiemelding òf deze IP-adressen anonimiseren.
Van de onderzochte partijen had 30% deze juist ingesteld en anonimiseerde 60% de ip-adressen van hun bezoekers niet. Vier procent leek geen bezoekersgedrag te volgen, voor de overige zes procent was het niet te achterhalen of ze aan de correcte of incorrecte kant zaten omtrent ip anonimisering voor Google Analytics;
- Cookie implementatie
Ondanks de reeds geldende Telecommunicatiewet, bleek de implementatie van cookies de grootste struikelblok voor juridische bureau’s: Slechts 26% deed dit conform AVG en Telecommunicatiewet.
Van de 50 onderzochte websites, hanteerden 18 websites onterecht geen cookie-venster. Door gebruik van bijvoorbeeld niet privacy vriendelijke Youtube maar vooral social media widgets, was dit wel op zijn plaats.
- Versleuteling persoonsgegevens
Van gegevensversleuteling middels SSL certificaat, waarmee https en het groene slotje wordt bemachtigd, was in 76% van de onderzochte websites sprake. Aanvullend had 8% een certificaat, maar was dit incorrect geïmplementeerd.
Het percentage partijen die alle bovenstaande aspecten juist hebben uitgevoerd kwam op slechts 14%. Daarnaast ontbrak het bij 12% slechts aan één van bovenstaande zaken en kwamen ze daarmee in de buurt van AVG en privacy compliance.
De overige 74% voldoen op cruciale of meerdere vlakken niet aan de wetgeving. Hetgeen dat hieruit geconcludeerd kan worden, is dat kennis veelal bij de deur lijkt te stoppen op het gebied van privacy.
Voor organisaties is het noodzaak om de juiste partij aan te wijzen voor een verlengstuk op theoretische of juist praktische kennis.
Voor privacy compliance blijkt samenwerking tussen juristen, programmeurs en security-experts buiten “ingewikkelde” informatiesystemen voor bijvoorbeeld zorg om, ook reeds noodzakelijk voor websites of webshops.
Conclusie van het onderzoek van AVG Cloud Register: bij AVG specialisten is de kans op datalekken net zo groot als bij andere ondernemingen. Bij de juristen ‘lekt’ het thuis net als bij de loodgieters.
Organisaties die hun zaken nog niet op orde hebben hoeven zich kortom niet te schamen. Maar zij moeten net als de AVG juristen langzamerhand wel beginnen een plan van aanpak te maken.
PrivacyZone weet uit ervaring dat het handig en verstandig is om daarvoor een externe privacymanager in te schakelen. Iemand van buiten die met een kritische blik professioneel jouw organisatie kan doorlichten en dan een gefundeerd plan van aanpak kan voorstellen. Een plan dat niet alleen goed is voor je AVG-verplichtingen, maar ook voor managers die wel eens op een andere manier naar hun organisatie willen laten kijken.
Natuurlijk, er zijn diverse goede AVG-werkboeken in omloop en wij weten dat veel bedrijven privacyverklaringen en verwerkingsovereenkomsten van collegas kopieren (foei, dat mag niet!), maar de kans dat er dan belangrijke zaken vergeten worden is reeel, blijkt uit de praktijk. Of er worden foute voorbeelden gekopieerd, van een bedrijf dat zelf weer fout van een ander had gekopieerd.
PrivacyZone kent de valkuilen en werkt samen met diverse specialisten. Privacymanagement is te ingewikkeld om het er in je eentje even bij te doen aan de hand van een handboek. Zelfs gespecialiseerde juristen tonen dat aan met hun websites.
En zeg nou zelf: als de auto een onderhoudsbeurt nodig is koop je toch ook geen handboek zodat je het er even zelf bij kunt doen?
Je administratie laat je – over het algemeen – toch ook door een accountant of administratiekantoor doen?
Niet gecategoriseerd
Softwareleverancier SAP lanceert nieuwe beveiligingsopties en privacyfuncties voor de hcm-suite hcm-suite Succesfactors. De nieuwe opties moeten hr-managers helpen om eenvoudiger maken te voldoen aan de GDPR (General Data Protection Regulation) die op 25 mei 2018 ingaat.
De nieuwe functies in SAP Succesfactors dragen bij aan een zorgvuldige omgang met persoonsgegevens, van bijvoorbeeld (ex-)medewerkers en klanten, en een betere governance.
De nieuwe functies die SAP heeft toegevoegd:
Toestemmingsbeheer: Expliciete toestemming van de betrokkene is een van de grondslagen waarop een organisatie persoonsgegevens mag verwerken. Deze functie helpt organisaties bij het instellen, beheren en accepteren van toestemmingsverklaringen. Zo kunnen recruiters verklaringen opstellen in alle talen die relevant zijn voor het bedrijf en waarborgen dat kandidaten toestemming geven voordat ze solliciteren op een functie’, aldus SAP.
Blokkeren data: Met deze functie kan de toegang tot persoonsgegevens worden beperkt en een termijn worden ingesteld, waarbij niet elke gebruiker dezelfde rechten heeft. Een voorbeeld: een medewerker van de hr-servicedesk hoeft misschien alleen gegevens van medewerkers uit het afgelopen jaar te bekijken, terwijl een hr-systeembeheerder de volledige geschiedenis van een werknemer moet kunnen inzien.
“Organisaties slaan allerlei gegevens op over werknemers en externe kandidaten”, legt SAP uit. “Van namen en adressen tot beoordelingen en informatie over hun gezondheid. Deze functie genereert een rapportage van alle persoonsgegevens van een individu in de SAP Successfactors-oplossingen. Dit is in lijn met recht op inzage: betrokkenen moeten kunnen achterhalen welke persoonsgegevens van hen worden verwerkt.”
Dataverwijdering: Als organisaties persoonsgegevens langer dan noodzakelijk bewaren, lopen ze een verhoogd risico op wetsovertredingen en datalekken. Onder de GDPR moeten persoonsgegevens permanent worden verwijderd als er geen juridische grondslag meer is om ze te bewaren. Klanten kunnen met deze functie bewaartermijnen in specifieke landen of branches definiëren en de data permanent wissen als deze termijnen aflopen.
