Privacy Nieuws
Steeds meer grote bedrijven hebben te maken met datalekken, blijkt uit de Cybersecuritymonitor 2020 van het CBS. Dat gebeurt ook steeds vaker door interne fouten.
De meeste datalekken vinden plaats in de gezondheidszorg en in de ICT.
In 2019 had 25 procent van de bedrijven met meer dan 250 werknemers daarmee te maken. In 2016 was dit nog 17 procent.
Er is van dataonthulling sprake als elektronische gegevens, zoals persoonsgegevens van klanten of digitale informatie over bedrijfsprocessen, onbedoeld geopenbaard worden.
De oorzaak kan zowel onopzettelijk zijn als door een aanval van buitenaf komen. Zo kan een medewerker per ongeluk een USB-stick met gevoelige bedrijfsinformatie laten slingeren in de trein, maar kunnen IT-systemen van bedrijven ook worden gehackt door cybercriminelen.
In totaal hadden 8 procent van de grote Nederlandse bedrijven in 2019 te maken met dataonthulling als gevolg van een aanval van buitenaf. In 2016 ging dit nog om 6 procent.
Dataonthulling vindt volgens het CBS vaker plaats bij grote firma’s. Bedrijven met meer dan 250 werknemers hebben relatief het vaakst te maken gehad met incidenten. Ook is bij deze bedrijven het aantal datalekken het sterkst toegenomen.
Privacy Nieuws
Kleine en middelgrote bedrijven hebben grote moeite om goed opgeleide privacydeskundigen aan te stellen. Er is grote concurrentie op de vacaturemarkt voor deze mensen. Het MKB delft vaak het onderspit tegen grote bedrijven.
De vraag naar interne en externe privacyspecialisten is volgens Duits en Amerikaans onderzoek booming vanwege de Algemene Verordening Gegevensbescherming (AVG) en het toenemende risico van cyberaanvallen.
De cyberrisico’s worden steeds groter. De impact van malware als WannaCry en het verstrekkende UEFI-virus Lojax zet managers aan het denken. “Stel dat onze organisatie wordt getroffen door zo’n virus, wat betekent dat dan voor ons? Hoe kunnen wij ons beter beveiligen?”
Dit komt duidelijk tot uiting in de groei van de markt voor IT-beveiligingsproducten en -diensten in het zakelijke klantensegment (B2B). De markt voor IT-beveiligingsdiensten groeit komend jaar naar verwachting met bijna 23 procent. In 2020 neemt volgens het Duitse onderzoek het huidige volume met meer dan 15 procent toe van ruim 5,7 miljard euro tot bijna 6,6 miljard euro.
De uitgaven voor IT-beveiligingsdiensten zullen nog sterker stijgen, met bijna 23 procent, van ruim 3,1 miljard euro naar ruim 3,8 miljard euro.
IT-beveiligingsmanagers kampten tot dusver heel vaak met het dillemma hoe ze investeringen in beveiliging moesten verantwoorden tegenover de Chief Financial Officer (CFO), aan wie zij vaak ondergeschikt zijn. Tegenwoordig kunnen zij wel rekenen op steun en budget.
De winstgevendheid van IT-beveiligingsmaatregelen is niet zo gemakkelijk te bewijzen als die van andere technologische investeringen. Maar de dreigende AVG-boetes en het dagelijkse nieuws over datalekken, cybercriminaliteit en de gevolgen daarvan hebben veel CFO’s en commerciële directeuren er nu van overtuigd dat er voldoende middelen beschikbaar moeten worden gesteld om de organisatie te beschermen.
Er is behoefte aan deskundig personeel dat er voor zorgt dat de technische en organisatorische maatregelen die de organisatie vanwege de Algemene Verordening Gegevensbescherming en de cyberrisico’s heeft genomen ook dagelijks gemanaged worden. Er zijn specialisten nodig die actueel veiligheidsbeleid ontwikkelen en de organisatie alert houden. Er duiken dagelijks nieuwe bedreigingen op.
Privacy Nieuws
MKB Nederland, Nederland ICT, DDMA en de Mediafederatie vrezen dat de Europese ePrivacy Verordening straks negatief gaat uitpakken voor het mkb.
Kort na de invoering van de Algemene Verordening Gegevensbescherming (AVG) zorgt de ePrivacy verordening straks voor nog meer soortgelijke regeldruk en omzetverlies.
De ePrivacy verordening bevat regels voor het gebruik van e-mail, telemarketing, cookies en vormen van elektronische communicatie als Skype en WhatsApp.
De ePrivacy verordening moet net als de AVG de vertrouwelijkheid van digitale communicatie beter beschermen.
De ondernemersclubs stellen dat Nederland als een van de EU-lidstaten pleit voor een bepaling dat een gebruiker niet de toegang tot een website of dienst mag worden ontzegd als er geen toestemming wordt gegeven om persoonsgegevens te verwerken.
“Dit brengt niet alleen digitale verdienmodellen, innovatie en aanbod van gratis content verder in gevaar, maar schaadt ook het grondrecht van de vrijheid van ondernemerschap.”
Na AVG nog meer privacyregeldruk
“Het kabinet ziet over het hoofd dat de ePrivacy-verordening aan alle sectoren van de digitale economie raakt”, zeggen de ondernemersorganisaties. “Van digitale media tot zelfrijdende auto’s en van medische apparatuur tot smart industry, waar bijvoorbeeld logistieke- en productieprocessen worden geoptimaliseerd door data. In het beste geval leidt de verordening in al deze sectoren tot extra regeldruk.”
Net als bij de AVG mogen volgens het ePrivacy-voorstel straks persoonsdata alleen worden verwerkt met toestemming van de gebruiker.
De ePrivacyvoorstellen sluiten volgens deskundigen totaal niet aan op de alledaagse praktijk. Er zouden onwerkbare situaties kunnen ontstaan.
“Veel nieuwe technologieën maken gebruik van geaggregeerde data die niets meer te maken heeft met individuele bronnen. Denk aan kunstmatige intelligentie in de zorg of toepassingen voor crowd control. Hoe zorg je dat iedere gebruiker op dagelijkse basis een geïnformeerde en weloverwogen beslissing neemt over uitermate complexe materie?”
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat organisaties de effectiviteit van beveiligingsmaatregelen regelmatig moeten controleren en evalueren.
Hoe staat het met de beveiliging van de ICT in jouw organisatie?
Veel mensen denken dat het wel goed zit, maar helemaal zeker weten ze het niet.
Waar moet je nou precies op letten? Hoe controleer je eigenlijk of het wel goed zit?
Je zou natuurlijk een ethical hacker kunnen inhuren die je bedrijf doorlicht. Maar er zijn ook diverse tools die kunnen helpen.
ICT-beveiliging vaak niet op orde
Uit onderzoek blijkt dat de ICT-beveiliging bij veel organisaties niet op orde is.
De AVG verplicht bedrijven ervoor zorgen dat beveiligingsmaatregelen hypermodern zijn. Het is verplicht om ze regelmatig te actualiseren.
De AVG verplicht ook uitdrukkelijk dat er procedures worden vastgesteld waarmee de doeltreffendheid van de maatregelen regelmatig wordt getoetst en geëvalueerd (artikel 32 van het AVG).
Organisatorische maatregelen in verwerkingsregister vastleggen
De organisatorische maatregelen moeten worden vastgelegd in het verwerkingsregister. Bij een controle moet uit dit register blijken wanneer de organisatie welke maatregelen heeft gecontroleerd en geevalueerd. Dat kan bijvoorbeeld worden onderbouwd met checklists die regelmatig worden nagelopen.
Maar checklists zijn niet altijd afdoende. Om echt zeker te weten of de technische systemen waterdicht zijn is het eigenlijk ook noodzakelijk om technische hulpmiddelen in te zetten. Tools die de ICT-systemen op de proef stellen.
Gegevensverwerkingsprocedures testen
Als een bedrijf bijvoorbeeld de mate van versleuteling van persoonsgegevens wil controleren, zijn speciale hulpmiddelen nuttig om de effectiviteit van versleuteling in de individuele gegevensverwerkingsprocedures te testen.
Met behulp van sommige tools kan een overzicht worden gegenereerd of en in hoeverre de gegevens voor de verschillende gegevensverwerkingslocaties versleuteld zijn.
SSL Server Test
Een tool die de versleuteling van webservers controleert is bijvoorbeels Qualys’ SSL check (SSL Server Test). Deze tool controleert niet alleen of encryptie wordt gebruikt, maar ook hoe sterk de encryptie is.
Bij de toetsing van het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de bij de verwerking betrokken systemen en diensten op de lange termijn, speelt het een rol of er beveiligingslacunes zijn die juist deze punten in gevaar brengen.
Beveiligingslacunes kunnen worden gedetecteerd door scansoftware. Er zijn diverse oplossingen op de markt:
Er is dus geen excuus voor bedrijven als kwetsbaarheden heel laat of helemaal niet zijn ontdekt. Bedrijven die hun ICT-systemen niet regelmatig professioneel (laten) lopen risico. Bij hen bestaat het gevaar dat datadieven of de toezichthouder de kwetsbaarheden wel zullen vinden. Met alle nadelige gevolgen van dien.
Hulpmiddelen die regelmatig en automatisch zwakke punten scannen helpen risico’s tijdig te onderkennen.