AVG Awareness veiligheidsmaatregel: contactloze autosleutelsysteem laten uitschakelen. Zeer onveilig systeem

Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.

Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.

AVG awareness maatregel contactloze sleutels

De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.

De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.

Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.

Wanneer wordt jouw auto gestolen?

Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.

,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).

Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.

Laat de contactloze sloten uitschakelen

Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”

Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”

PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.

Systeem niet zelf uitschakelen

Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.

De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.

Inbraakgolf in auto’s

In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.

Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.

De meest gestolen auto’s met contactloze sleutels

Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:

  • Nummer 1: Toyota RAV4

Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.

  • Nummer 2: Citroën C4

Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.

  • Nummer 3: Land Rover Evoque

Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.

  • Nummer 4: Lexus NX

De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.

  • Nummer 5: Lexus IS

De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.

  • Nummer 6: Range Rover Sport van Land Rover

Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.

  • Nummer 7: De A-Klasse van Mercedes-Benz

Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.

  • Nummer 8: XF van Jaguar

Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.

10 grote AVG risico’s waar ondernemers vaak niet meteen aan denken

“Hebt u ook een verwerkersovereenkomst voor me die ik naar klanten of leveranciers kan sturen?” Dat is het eerste wat ondernemers meestal vragen als ze professionele ondersteuning inschakelen bij de ontwikkeling van privacybeleid. Bijna niemand vraagt om een awareness training voor medewerkers. Terwijl zij voor de meeste privacyrisico’s zorgen.

95 procent van de datalekken wordt veroorzaakt door menselijke fouten.

We zetten de 10 grootste risico’s voor u op een rij.

1. bestanden belanden in de prullenbak

In het digitale tijdperk wordt vaak vergeten dat gedrukte producten ook persoonsgegevens kunnen bevatten. Digitaal aangeleverde documenten worden voor een vergadering op papier geprint. Ouderwetse post wordt omgekeerd ingescand.

De papieren versies belanden na gebruik in de prullenbak. Vrij toegankelijk voor iedereen. De schoonmakers vsn het schoonmaakbedrijf hebben zo onbevoegd toegang tot persoonsgegevens.

Bedtsnden met persoonsgegevens moeten op de juiste manier worden vernietigd (bijvoorbeeld versnipperd). Organiasties die doorlopend veel documenten met persoonsgegevens moeten vernietigen doen er verstandig aan om het versnipperen over te dragen aan gecertificeerde externe dienstverleners die een beveiligde documentencontainer plaatsen die geregeld wordt afgehaald. U ontvangt dan een bewijs voor uw verwerkingsregister dat de documenten daadwerkelijk zijn vernietigd.

2. Privé USB-sticks, externe harde schijven en cd-rom’s

Sommige medewerkers nemen persoonlijke USB-sticks, externe harde schijven en cd-rom’s mee naar kantoor om daar tussendoor op de computer van de zaak persoonlijke zaken af te handelen. Of om bedrijfsbestanden op te slaan zodat er thuis op de privé computer aan verder gewerkt kan worden. Dat brengt grote risico’s met zich mee.

De apparaten kunnen worden geïnfecteerd met malware die zich verspreidt in het besturingssysteem en een bedreiging vormt voor de gegevens. Daarom mogen privé-apparaten binnen het bedrijf niet worden toegestaan en moeten apparaten die eigendom zijn van het bedrijf met encryptie worden uitgerust.

3. bedrijfsapparaten worden voor privédoeleinden gebruikt

Thuiskantoor en werken onderweg zijn wijdverbreid. De ter beschikking gestelde hulpmiddelen (laptops, tablets, smartphones) worden vaak ook voor privédoeleinden gebruikt.

Hierdoor kunnen onbevoegde derden, met name in geval van verlies of diefstal, gemakkelijk toegang krijgen tot vertrouwelijke bedrijfsdocumenten. Harde schijven en USB-sticks moeten daarom worden versleuteld en het gebruik van openbare WLAN moet worden verboden.

4. gebruik van personlijke e-mailaccounts voor het werk

Veel werknemers gebruiken privé e-mailadressen om bedrijfsdocumenten te versturen die vertrouwelijke persoonlijke gegevens bevatten. Redenen: Gemak, onervarenheid met e-mailprogramma’s van het bedrijf, gebruik van documenten voor privédoeleinden.

Zij gebruiken daarbij vaak onveilige overdrachtmethoden.

Helaas weten veel hackers die altijd op zoek zijn naar manieren om vertrouwelijke gegevens te stelen dat ook.

Het gebruik van particuliere e-mailaccounts voor zakelijke doeleinden moet daarom worden verboden.

Voor het versleutelen van bestandsbijlagen moet gebruik worden gemaakt van geautomatiseerde hulpmiddelen die door het bedrijf worden geleverd.

5. Een eenvoudig centraal wachtwoord voor iedereen voor alles: hallo 123

Best wel praktisch dat Jantje Pietje spontaan kan vervangen op de afdeling. Dat de stagiaire eenvoudig kan assisteren. En dat de externe HR-medewerker overal bij kan.

Sommige organisaties hebben voor applicaties, bestanden en computers een groepsaccount gemaakt met een praktisch eenvoudig te onthouden wachtwoord. Dat is bepaald niet veilig.

Het delen van accounts is een no-go! Een fatale fout in de gegevensbescherming!

Volgens de AVG moeten per medewerker bevoegdheden worden vastgelegd. Dat kan met een algemeen account niet.

Bovendien is een algemeen account erg kwetsbaar. Het wachtwoord is algemeen bekend en kan snel op straat komen of worden gekraakt.

Na het kraken van dit wachtwoord is het dan mogelijk om toegang te krijgen tot alle vertrouwelijke persoonsgegevens in uw organisatie.

Werknemers moeten technisch worden gedwongen om lange wachtwoorden (acht tot twaalf tekens) te gebruiken, die ook bestaan uit hoofdletters en kleine letters, getallen en speciale tekens. Ook moeten deze regelmatig worden aangepast.

U mag medewerkers alleen toegang geven tot gegevens die zij voor hun taak daadwerkelijk nodig zijn.

6. Kom binnen!

Veel bedrijven willen gastvrij overkomen. Bezoekers kunnen spontaan de werkvloer oplopen. Dat brengt echter grote risico’s met zich mee.

Zeker wanneer mensen van buiten het bedrijf zonder begeleiding kunnen rondlopen.

Een open kantoor, een vrijgespeelde serverruimte en een vergeten document op de printer kunnen fatale gevolgen hebben voor de gegevensbescherming van klanten en medewerkers.

Buitenstaanders mogen alleen voor operationele doeleinden en onder toezicht toegang tot de werkvloer krijgen.

7. te veel informatie verstrekken via de telefoon

“Ik probeer Henk te bereiken. Hij zou vandaag langskomen voor een klus. Maar hij neemt niet op. Hebt u zijn mobiele nummer voor mij?”

Wanneer mag je aan de telefoon eigenlijk persoonsgegevens aan derden verstrekken?

Veel medewerkers weten het niet. Ze willen klantvriendelijk zijn en spreken dan snel hun mond voorbij.

Of ze gaan te amicaal met jarenlange trouwe klanten om en vertellen spontaan aan de telefoon wat ze nou weer beleefd hebben met die en die.

Om te voorkomen dat medewerkers onrechtmatig telefonisch teveel informatie verstrekken is het van belang om de medewerker vooraf grondig te instrueren welke informatie wel en niet mag worden verstrekt.

Maak een telefoonprotocol dat door de medewerkers moet worden ondertekend.

8 Chaos op de werkvloer

Vertrouwelijke brieven, contracten, notities met wachtwoorden, USB-sticks, postbakjes vol uitgaande poststukken bij de balie, stapels papier op het bureau. Als iedere buitenstaander in een oogopslag deze privacypuinhoop kan zien, is de chaos op het gebied van gegevensbescherming perfect.

De AVG dwingt tot een clean desk policy. Zo’n beleid is nuttig, omdat het structuur aanbrengt in organisaties. Er zijn dan duidelijke afspraken over hoe wordt omgegaan met de eigen werkplek en de directe omgeving. Er wordt vastgelegd dat er geen documenten met vertrouwelijke documenten achtergelaten mogen worden bij het verlaten van de werkplek. Computers moeten vergrendeld zijn.

9 De overvolle mailbox

Een van de beginselen van het recht inzake gegevensbescherming is dataminimalisatie. Beperk de opslag van persoonsgegevens zo veel mogelijk. Gegevens mogen niet langer bewaard worden dan nodig is voor het doel van de verwerking.

Ondertussen zit de mailbox stampvol met mail. U kunt mail van een paar jaar oud eenvoudig terug vinden. Best praktisch. Je weet nooit waar het goed voor is. Toch?

Kan best zijn, maar het mag niet. De mailbox moet net als postbakjes met brieven op uw bureau regelmatig worden geleegd.

Documenten met persoonlijke gegevens die op de harde schijf zijn opgeslagen, maar niet zijn vereist, moeten naar de prullenbak worden overgebracht.

U bent verplicht zich te houden aan wettelijke bewaartermijnen!

10. Datalekken verzwijgen

Iedereen maakt fouten. Voor je het weet heb je een mail met vertrouwelijke gegevens naar een verkeerd adres gestuurd.

Opeens bent u uw telefoon kwijt.

Uw bedrijf is slachtoffer geworden van hackers omdat een medewerker op een phishingmail heeft geklikt.

Niemand is blij met fouten.

Het liefst wil je over fouten zwijgen.

Struisvogel spelen.

Maar dat is iets dat u vooral niet moet doen!

U bent verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens en meteen maatregelen te treffen om schade te voorkomen of te beperken.

Als u dat niet doet kan de Autoriteit Persoonsgegevens u fors beboeten.

Productievere samenwerking in organisaties dankzij de privacywet AVG / GDPR en psychologische veiligheid. Hoe dan? Nou zo…

De privacywet AVG / GDPR gaat verder dan het aanpassen van de algemene voorwaarden, een privacy statement, verwerkingsovereenkomsten en een verwerkingsregister.

Organisaties moeten ook kunnen aantonen dat ze hun personeel bewust hebben gemaakt van het belang zorgvuldig om te gaan met persoonlijke gegevens. De menselijke factor is het grootste risico voor datalekken.

’Irritante’ verplichte awarenesstraining

Veel organisaties organiseren plichtmatig awareness trainingen om hun medwerkers bewust te maken en vinken deze ‘irritante’ ‘bureaucratische’ wettelijke verplichting vervolgens af in het verwerkingsregister. Opdracht vervuld?

Niet echt.

Het is onmogelijk om in een awareness training van anderhalf tot twee uur menselijk gedrag te veranderen.

Openhartig discussieren

Hoe laat je medewerkers openhartig met elkaar discussieren over AVG-risico’s die een organisatie loopt?

Ervaren medewerkers moeten hun werkwijze die jarenlang goed was opeens bewust aanpassen.

Niet iedereen is blij met een collega die openhartig tijdens een awareness groepstraining de vinger op de zere plek legt.

AVG weerstand

Dat stuit gegarandeerd op weerstand.

Spanning op de werkvloer

Om dat te voorkomen houden veel medewerkers wijselijk hun mond.

Goede ideeen worden niet geopperd.

Medewerkers willen zich niet belachelijk maken.

Geen conflict met hun baas of collega’s.

En dus blijven risico’s en kansen onbesproken.

AVG privacybeleid geborgd

Ondertussen verlangt de AVG wel dat de organisatie kan aantonen dat het nieuwe privacybeleid geborgd is.

Onmogelijk…?

Veel managers vinden de privacywet onwerkbaar. Bureaucratisch en een bedreiging van de productiviteit.

Maar dat hoeft niet. Het kan anders.

Hoe dan?

AVG strategie slimme managers

Managers die het slim aanpakken maken van de nood een deugd. Zij gebruiken de verplichte awareness training om medewerkers of vrijwilligers te trainen efficienter met elkaar te communiceren, ideeen uit te wisselen en verhogen zo de productiviteit.

U bent sceptisch?

Mooi verhaal van een privacymanager die zijn werk wil verkopen…?

Nee.

Psychological Safety Concept

Professor Amy Edmondson van Harvard Business School heeft het Psychological Safety Concept ontwikkeld waarmee samenwerking en productiviteit binnen organisaties significant verbetert.

Diverse grote bedrijven, zoals Google, passen het Psychological Safety Concept al toe.

Het Psychological Safety Concept staat los van de privacywet, maar kan heel goed ingepast worden in een awareness training. De privacywetgeving is bovendien onder meer ontwikkeld om mensen vertrouwen en controle te geven.

Door het psychologische veiligheidsconcept van Amy Edmondson wordt een werkomgeving gecreerd waarin medewerkers niet bang zijn om zich uit te drukken. Er ontstaat teamspirit.

Productiviteit en innovatiekracht

Die komt niet alleen ten goede aan de AVG compliancy van de organisatie, maar ook van de productiviteit en de innovatiekracht.

In een team waar alleen wat de baas of een paar collega’s iets te zeggen hebben telt, is innovatie tot de dood gedoemd.

Een klimaat van psychologische veiligheid maakt het gemakkelijker voor mensen om hun voorzichtige gedachten te uiten. Dat doen veel mensen alleen als ze zich geaccepteerd voelen in de groep.

Ideeën delen

Wanneer teamleden hun ideeën delen, is het daarom belangrijk om de meningen van alle collega’s te respecteren en te focussen op een gezond debat.

Dit vereist bepaald gedrag.

Een van de basisregels van een goede discussie is bijvoorbeeld om collega’s altijd hun zinnen te laten afmaken. Leer luisteren. Probeer de ander te begrijpen. Oordeel niet meteen vanuit het eigen perspectief.

De gulden regel

Om een respectvolle omgeving te creëren heeft Amy Edmondson onlangs haar eigen ervaringen en tips gebundeld in de bestseller “Teaming: How Organizations Learn, Innovate, and Compete in the Knowledge Economy”.

 

Daarin schrijft ze dat de zogenaamde gulden regel altijd op de eerste plaats moet komen als het gaat om teamwork: “Behandel andere mensen op de manier waarop je zelf behandeld wilt worden!

Wie open en respectvolle reacties op zijn eigen ideeën verwacht, moet ook andere mensen op dezelfde manier kunnen ontmoeten.

Er zijn geen domme vragen

Ze schrijft ook dat nieuwsgierigheid altijd moet worden toegejuicht.

Er zijn geen domme vragen en elke vraag leidt tot een beter begrip.

Hoe beter een collega zich in een zaak kan verplaatsen, hoe hoger de kwaliteit van zijn feedback.

Gezonde debatcultuur

Volgens Edmondson moeten discussies niet alleen worden getolereerd, maar zelfs doelgericht zijn – maar altijd vanuit de gedachte dat een gezonde debatcultuur op de voorgrond staat.

Om iedereen echt aan tafel te krijgen, is het ook belangrijk dat gereserveerde collega’s ook gevraagd worden in vergaderingen en zo een stem krijgen.

Ego managers smoort teamwerk

Onlangs presenteerde Amy Edmondson haar concept in een TED-presentatie. Meer dan 200.000 reacties op YouTube en TED met bijna uitsluitend positieve feedback tonen aan dat haar onderwerp een zenuw raakt.

De aanpak beschrijft de kern voor effectieve teams, schrijft een YouTube-gebruiker.

Een andere kijker maakt duidelijk dat vooral het ego van managers en de daarmee gepaard gaande weigering om buitenlandse ideeën te accepteren ertoe leidt dat goed werk in de kiem wordt gesmoord.

Daar is overeenstemming over: Alleen wie het Psychological Safety concept toepast, kan goed teamwerk garanderen. En AVG-proof worden.

Meer weten?

Bent u geinteresseerd in de aanpak van Amy Edmondson? Kijk dan zeker naar het uitgebreide onderstaande interview met haar.

Rabobank stapt over op betalen met vingerafdruk (of pincode met 5 cijfers). Is dat veilig genoeg?

De Rabobank stopt met de Rabo Scanner waarmee klanten online betalingen kunnen authoriseren, meldt de Telegraaf. Volgens de bank is het apparaatje niet langer nodig om veilig betalingsverkeer te kunnen garanderen.

Bart Leurs van digitale verandering bij Rabobank zegt tegen De Telegraaf dat online bankieren “net zo veilig” kan zonder een kaartlezer. Daarbij noemt hij vijfcijferige inlogcodes of het gebruiken van een vingerafdrukscanner in een telefoon.

Dat de Rabobank een 5-cijferige pincode veilig noemt is opmerkelijk.

Ethical hackers en de website Veiliginternetten.nl denken daar anders over.

Volgens ethical hackers kan een wachtwoord van 7 tekens binnen twee uur gekraakt worden.

Met 1 teken meer duurt het ongeveer twee maanden.

Wat nou als we twee tekens minder hebben? Hoe snel kan een pincode van 5 cijfers eigenlijk gekraakt worden.

Op Veiliginternetten.nl staat een test. De uitslag geeft te denken. Vijf tekens is absoluut onveilig.

“Het wachtwoord 12345 is supersnel gekraakt. Net als welkom01”, schrijft Veilignternetten.nl.
”Ze zijn beide te kort en bevatten te weinig verschillende tekens. Hoe zit dat met jouw wachtwoord(en)? Hoe snel hebben cybercriminelen toegang tot jouw persoonlijke en belangrijke gegevens?”

1, 2, 3, 4, 5 is inderdaad wel heel gemakkelijk. Maar een willekeurig getal van 5 cijfers is voor de meeste krakers net zo eenvoudig. Een peuleschil met de juiste hacksoftware en een snelle computer.

De uitleg van veiligheidsexpert Leurs staat ook haaks op de vele awareness trainingen die in het kader van de nieuwe privacywet AVG / GDPR overal in het land gegeven worden.

Iedere cursist wordt ingeprent om lange wachtwoorden te gebruiken met verschillende tekens.

Hoe zit dat dan met de pincodes van banken?

Eenvoudig. Als je je pincode drie keer fout invoert wordt je account geblokkeerd.

Hacken met een snelle computer heeft dan geen zin.

Maar hoe zit het dan met het menselijk brein? Iemand die je pincode afkijkt of aftroggelt? Veel mensen hebben al moeite om een viercijferige pincode te onthouden. Laat staan vijf cijfers.

De kans is groot dat veel mensen noodgedwongen hun pincode op een papiertje schrijven dat in de portemonnee of binnenzak wordt gestoken. Als geheugensteuntje. Niet verstandig, maat wat moet je als je geheugen je in de steek laat?

Hoe zit het met verborgen camera’s die meekijken als een pincode ingevoerd wordt?

Eigenlijk had de Rabo Scanner toch een functie. Dubbele opt-in.

De Rabobank moet toch net als andere organisaties bij de ontwikkeling van nieuwe producten wettelijk rekening houden met de GDPR eis ‘privacy by design’?

Dan vertrouw ik meer op de vingerafdruk beveiliging.

Ook zonder website of cookies moet uw organisatie waarschijnlijk aan de GDPR voldoen. Gebruikt u e-mail?

“Als ik nou de contactpagina van onze website haal… Moet ik dan ook nog een SSL-certificaat hebben? Wij doen niets met cookies.” De ondernemer zucht. “Wij doen helemaal niets online.”

Kleine middenstanders proberen vertwijfeld onder de druk van de nieuwe privacywet AVG / GDPR uit te komen. Ze zoeken ontsnappingsclausules. Vaak gebaseerd op misverstanden.

Een van die misverstanden is dat de Privacywet alleen iets is voor ondernemers die online ondernemen.

“Hoe communiceert u met uw klanten? Gebruikt u e-mail?”, vraag ik.

“Ja, natuurlijk. Dat doet toch iedereen”, antwoordt de ondernemer. Hij zucht nog eens. Het kwartje lijkt gevallen.

Hebt u een computer?

Dus u heeft een computer? En een smartphone? Hebt u antivirus software geïnstalleerd? Wordt uw software regelmatig geüpdatet?

Wat veel ondernemers nog niet lijken te beseffen is dat we in deze digitale tijd allemaal online ondernemers zijn geworden. Zelfs als we geen website hebben.

Onze mailbox zit vol digitale data. Vol persoonsgegevens die we gevraagd en ongevraagd toegezonden krijgen.

We delen offertes, plannen en presenties per mail. We slaan die bestanden automatisch via ons mailprogramma op meerdere plekken op. Die mailprogramma’s downloaden immers vaak voortdurend mail van onze mailserver tegelijk op onze computer, tablet en smartphone.

Ongemerkt hebben we de persoonsgegevens van tientallen mensen al opgeslagen op minimaal zes tot zeven plekken. Computer, smartphone, tablet en mailserver bij onszelf en minimaal ook op de mailserver, computer en smartphone van de persoon waarmee we via mail communiceren.

En dan hebben we het nog maar over een mailbericht…

Wat veel ondernemers ook niet beseffen is dat de privacywet niet alleen over digitale dataverwerking gaat. Ook de administratie in ordners in een archiefkast valt er onder.

En als ondernemer wordt je ook geacht te weten wat andere partijen doen met data die je met hen deelt.

Hoe zit het eigenlijk met die handige software waarmee u werkt? Worden er backups gemaakt? Werkt u in de cloud?

Vorige week gaf ik een awareness training aan bijna zestig ondernemers.

Wie werkt er in de cloud?, vroeg ik.

Geen enkele vinger ging omhoog…

Wie maakt er gebruik van Gmail? Een kwart van de vingers ging omhoog.

Veel ondernemers weten niet wat ‘the cloud’ is. Dat veel applicaties die ze gebruiken via het internet gegevens opslaan op een server die elders in de wereld staat.

Veel ondernemers beseffen zich ook niet dat hun smartphone eigenlijk voortdurend in ‘the cloud’ werkt.

Ze weten niet wat al die handige ‘gratis’ apps op de achtergrond met hun gegevens en hun gedrag doen.

Kortom: ondernemers die hopen dat ze zich kunnen onttrekken aan de invloed van de nieuwe Europese privacywet vergissen zich. Ze zullen toch echt met de GDPR aan de slag moeten.

Als ze dat nog niet hebben gedaan, zijn de drie onderstaande stappen noodzakelijk. Ze zullen meer tijd in beslag nemen dan veel mensen denken. Er gaat een datawereld voor hen open.

Als je er eenmaal mee bent begonnen besef je hoeveel data we eigenlijk dagelijks verwerken. Wij allemaal.

Reinig de database

  • Over welke persoonlijke gegevens beschikt u al?
  • Waar kwam het vandaan en met wie heb je het gedeeld?
  • Waar zijn uw kwetsbaarheden en waar kunt u aansprakelijk voor worden gesteld?
  • Waar bevinden zich de persoonsgegevens die u gebruikt zich? Waar zijn ze opgeslagen?
  • Welke classificatie hebben deze gegevens? (Classificatie? Nog nooit van gehoord, denken veel ondernemers nu. Ze hebben geen idee waar het over gaat.)
  • Zorg ervoor dat u over procedures beschikt om gegevensinbreuken op te sporen, te melden en te onderzoeken.

Begin  zo snel mogelijk met uw stappenplan, want zelfs één klachtrapport van een contactpersoon waar u eigenlijk nooit serieus zaken mee heeft gedaan kan de legitimiteit van uw marketingprogramma in twijfel trekken en voor grote problemen zorgen.

Wat doen uw externe leveranciers?

Het is belangrijk om te begrijpen waar precies de persoonlijke gegevens die u hebt verzameld over uw klanten worden gedeeld en overgedragen. Als deze gegevens worden gedeeld naar plaatsen zoals uw CRM-systeem, e-mailserviceprovider of klantondersteuningssysteem, moet u ervoor zorgen dat deze externe providers zelf GDPR-geschikt zijn.

Dit is vaak de zwakste schakel in het traject om privacyproof te worden.

Hier zijn 12 belangrijke vragen aan al uw externe leveranciers met betrekking tot hun niveau van naleving te stellen.

Het is sterk aan te raden om als een van de eerste stappen in uw organisatie een gegevensregister op te zetten. Dit is de basis van uw GDPR compliance project. Als je er eenmaal mee begonnen bent ontdek je voortdurend nieuwe waarover afspraken gemaakt moeten worden. Onderschat niet hoe lang deze stap zal duren, aangezien het waarschijnlijk een afdelingsoverstijgende inspanning zal zijn.

Herziening van marketingstrategie

Vergeet die uitgebreide adressenbestanden die u via internet kon kopen. Die adressen mag u niet gebruiken. Ten strengste verboden, want de personen die opgenomen zijn in deze bestanden hebben er zeer waarschijnlijk geen weet van dat hun persoonsgegevens verkocht zijn. Zij hebben geen toestemming gegeven voor het gebruik wat u voor ogen zou kunnen hebben. En dan bent u dus in overtreding.

De GDPR bepaalt dat u moet weten wanneer de toestemming werd verkregen (bijvoorbeeld gegevens en tijdstempel), en voor welk specifiek doel de toestemming werd gegeven.

Hebt u zo’n uitgebreide maillijst vol contactgegevens van mensen die u ooit een keer gesproken hebt, maar waar u nooit nadrukkelijk toestemming hebt gekregen om ze via e-mail reclame te sturen? Dan weet u nu dat u deze adressen niet meer kunt gebruiken. Eigenlijk kunt u uw adressenbestand in uw telefoon en uw mailprogramma beter meteen opschonen.

Nog een paar stappen

De volgende stappen zijn even essentieel in het streven naar GDPR-bereidheid. Deze hebben betrekking op de interne procedures binnen een bedrijf, de regels die iedereen die werkt met klantgegevens, vanaf nu moet kennen en toepassen. Elke dag. Elke minuut.

De GDPR gaat veel verder dan een paar verklaringen in de footer van een website. Het gaat om gedragsverandering. Bewustwording. Negentig procent van de datalekken ontstaat door menselijke fouten. Medewerkers die te lichtzinnig op een phishinglink in een mail klikken bijvoorbeeld. Of die vertrouwelijke mail toch maar even delen met een bekende.

Bewustzijn opbouwen

Zorg ervoor dat het senior management zich bewust is van GDPR en de waarschijnlijke impact op uw organisatie. Vergeet niet om tijdens dit proces uw medewerkers en personeel te informeren en voor te lichten. En zorg er voor dat u de medewerkers ook scherp houdt.

Voorkom dat na verloop van korte tijd alles weer zoals vanouds wordt gedaan. “Omdat dat gemakkelijker is. Omdat we het altijd zo gedaan hebben. Omdat we toch niet gecontroleerd worden.” Het management is hoofdelijk aansprakelijk voor overtredingen. Niet het personeel.

De mentaliteit veranderen

Volgens recent onderzoek vraagt slechts 47% van de ondervraagde ondernemers hun klanten altijd om hun toestemming voordat ze contact met hen opnemen. Erger nog, slechts 50% van de respondenten maakt het klanten gemakkelijk om hun toestemming in te trekken.

Vanaf 25 mei heeft de klant recht op:

  • Vergeten worden, geïnformeerd worden, persoonsgegevens laten wissen, een kopie van hun persoonsgegevens hebben (binnen een maand, gratis)
  • Recht op gegevensportabiliteit – gegevens die elektronisch in een algemeen gebruikelijk leesbaar formaat aan hen worden gezonden
  • Recht om geautomatiseerde beslissingen en profilering te beperken
  • Recht van bezwaar

U mag gewoon blijven communiceren

Onthoud dat de GDPR niet ontworpen is om bedrijven te laten stoppen met communiceren met hun klanten. De GDPR is bedoeld om misbruik van persoonsgegevens tegen te gaan.

De GDPR zal leiden tot een verbetering van de datakwaliteit, en dat is de reden waarom de beste en meest vindingrijke marketeers het grotere geheel zien. De GDPR is een kans is om meer vertrouwen en respect te krijgen van klanten die het waarderen dat hun persoonlijke gegevens serieus worden genomen en dat hun rechten volledig worden gerespecteerd.

Hoe herken je een nep webshop? Tips van de Consumentenbond

Op basis van de domeinnaam denk je dat je bij een betrouwbare webwinkel bent beland. Maar pas op.

De schijn van het internetadres en de professioneel ogende webshop kan duur uitpakken, waarschuwt de Consumentenbond.

In een video op YouTube toont de Consumentenbond hoe internetcriminelen massaal gebruik maken van oude, vrijgekomen domeinnamen om nepproducten verkopen.

De Consumentenbond toont ook hoe je de nepshops kunt herkennen.

De Consumentenbond spoorde 2000 verdachte sites op en liet er 850 offline halen.

De Consumentenbond deed voor de Digitaalgids onderzoek naar webwinkels die zogenaamd met hoge kortingen merkkleding of luxe producten verkopen, maar in werkelijkheid nepproducten of soms zelfs helemaal niets leveren.

In veel gevallen maken deze winkels gebruik van bestaande, in onbruik geraakte domeinnamen.

Het voordeel van een bestaand domein is dat dit webadres al bekend is bij Google en dus hoger in de zoekresultaten komt.

Uit het onderzoek blijkt dat de overgrote meerderheid van de sites (92%) is aangemeld via slechts 4 hostingpartijen, zogenoemde registrars. Het gaat om Public Domain Registry (PDR) uit India, het Amerikaanse GoDaddy, 1API uit Duitsland en het Nederlandse Registrar.eu.

Domeinnaam Registratie

De Consumentenbond stelde een lijst op van 2000 verdachte sites en speelde die door naar 1API, Registrar.eu en de Stichting Internet Domeinregistratie Nederland (SIDN).

SIDN beheert de nl-domeinnamen. 1API en Openprovider (het bedrijf achter Registrar.eu) haalden 850 sites die bij hen geregistreerd stonden offline. SIDN is in overleg met de andere 2 registrars om ook deze nepsites offline te krijgen.

Vooral nepshops merkkleding

Malafide webshops vormen een aanzienlijk probleem. Naast de 90.000 bonafide webwinkels die zich op de Nederlandse markt richten, zijn er naar schatting zo’n 25.000 tot 35.000 fout.

Dat is minstens 1 op de 5. Wereldwijd zijn er naar schatting 700.000 nepshops actief. De nepwinkels bieden vooral schoenen, kleding, tassen en zonnebrillen aan van bekende merken, zoals Nike, Adidas, Hugo Boss, Ralph Lauren en Tommy Hilfiger.