ICT XS op AVG-seminar

2017-11-20T11:47:35+01:00november 20th, 2017|

Vrijdag 17 november heeft ICT Waarborg een interessant seminar gegeven over de EU GDRP / AVG. De privacy wetgeving rondom persoonsgegevens waar ieder bedrijf zich aan moet houden. Het was weer heel netjes georganiseerd. Dit keer in kasteel Nijenrode. ICT Recht verzorgde de presentatie.

Het was ons al bekend dat er nog veel onduidelijkheid is over bepaalde zaken rondom de EU GDRP / AVG. Ook op dit seminar bleek bij het beantwoorden van de vele vragen uit het publiek dat er voor diverse scenario’s nog geen duidelijkheid bestaat over hoe de autoriteit persoonsgegevens nu precies op gaat treden tegen bepaalde constructies. Zeker omdat er nog geen jurisprudentie is over hoe de letter van de wet geïnterpreteerd en uitgevoerd zal moeten worden.

Van belang is in ieder geval dat elk bedrijf alle risico’s in ieder geval overdacht heeft en deze gedocumenteerd heeft. Ook wanneer een risico groot is blijft de documentatie en redenatie van groot belang. Dan loopt u in ieder geval de boete mis voor het niet hebben van een plan rond bescherming persoonsgegevens.

Ook de bewerkersovereenkomst is hierbij van groot belang. Hierin worden diverse zaken afgesproken tussen verantwoordelijke en verwerker hoe er met persoonsgegevens van betrokkenen omgegaan moet worden. Hoe de beveiliging geregeld is, waar de data opgeslagen is en wat te doen in het geval van een datalek. Zowel de verantwoordelijke als de bewerker zijn in overtreding als dit niet geregeld is. Dit mag in de algemene voorwaarden, maar dat is soms niet praktisch omdat er vaak specifieke gegevens moeten worden opgenomen als beveiliging en welke typen persoonsgegevens. Vandaar dat een contract of aparte overeenkomst vaak de voorkeur hebben. Zeker omdat aanpassing van een algemene voorwaarden of contract ook andere gevolgen hebben voor de lopende overeenkomst en de inhoud van de bewerkersovereenkomst soms gewijzigd moet worden als er bijvoorbeeld technisch iets veranderd.

Maar om volledig te voldoen aan de AVG moet er een werkelijke omslag plaatsvinden in de manier waarop we met persoonsgegevens omgaan. Ideaal is om toegang tot persoonsgegevens te beperken tot zo min mogelijk systemen en personen. En de systemen en accounts van de personen die toegang hebben maximaal te beveiligen.

Een punt wat nog erg lastig uitvoerbaar lijkt is de registratie van persoonsgegevens in een log. Zeker als er persoonsgegevens in een webshop of website, administratiepakket en ook op opslagsystemen staan. En als er op andere manieren en zelfs ongevraagd persoonsgegevens binnenkomen. En als medewerkers zelf nog eens lijstjes buiten de gebruikelijke workflow om opslaan zoals een vakantieschema voor het plannen van de vakantiedagen van een afdeling.

De AVG / EU GDPR zal een enorme kostenpost worden voor bedrijven als er niet snel een verplicht systeem komt waar iedere software aanbieder, cloud provider en bedrijf zich bij aan MOET sluiten. Een mooi voorbeeld is Esland wat al ver ontwikkeld is op het gebied van digitale identiteit en bescherming van persoonsgegevens.

Alle WiFi apparatuur mogelijk kwetsbaar

2018-02-26T10:20:11+01:00november 3rd, 2017|

Belgische beveiligingsonderzoekers hebben een ernstig lek gevonden in de beveiligingsstandaard WPA2. Vrijwel alle netwerken gebruiken WPA2 als beveiligingsmethode waardoor dit een grote impact op de veiligheid van WiFi netwerken heeft.
De aanvalsmethode die ter bewijs is ontwikkeld draagt de naam Key Reinstallation Attacks, afgekort KRACK.

Het lek stelt criminelen in staat om in te breken op een met een wachtwoord beveiligd netwerk. Zo kan internetverkeer worden afgeluisterd. Bij enkele versies van het WPA2-protocol kan zelfs malafide verkeer naar verbonden apparaten worden gestuurd. Bij het lek wordt het wachtwoord van het wifi-netwerk niet zichtbaar voor de aanvaller.

Een aanvaller moet fysiek in de buurt van een wifi-netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Oplossing

Het lek kan worden gedicht door het hergebruik van encryptiesleutels onmogelijk te maken in het authenticatieproces, aldus het artikel van de onderzoekers. Een update kan worden doorgevoerd in de wifi-router, of in de apparaten die hiermee zijn verbonden. Als één van de twee is voorzien van een beveiligingsupdate, dan werkt de hack al niet meer. De onderzoekers adviseren om de apparaten die met het netwerk verbinden eerst van een update te voorzien.

Diverse leveranciers (waaronder Ubiquiti) hebben al nieuwe software uitgebracht om KRACK onmogelijk te maken. Uiteraard moet u nog wel de update uitvoeren op uw router, telefoon en computers om echt veilig te zijn. Update daarom uw apparatuur met spoed. Hulp nodig? Neem contact met ons op.

 

 

ICT XS op InfoSecurity 2017

2017-11-03T13:51:13+01:00november 3rd, 2017|

ICT XS was dit jaar weer op de InfoSecurity 2017 in de jaarbeurs Utrecht. Veel bedrijven hadden een stand met oplossingen voor databeveiligingsproducten. Ook ESET was uiteraard aanwezig. Helaas zijn veel oplossingen voor kleine bedrijven en ZZP’ers niet bereikbaar, erg duur of vereisen een eigen serverpark.

Ook heb ik diverse bijeenkomsten bijgewoond om op de hoogte te blijven van de laatste ontwikkelingen op het gebied van de EU GDRP / AVG die binnenkort gehandhaafd gaat worden en grote impact heeft op alle bedrijven in Nederland. Uit onderzoek bleek dat 90% van de bedrijven nog niet is begonnen met voorbereidingen. Kleine bedrijven hebben dan wel iets korter nodig om zich voor te bereiden en veranderingen aan te brengen, maar het is al vrij laat als u nu pas begint.

De Authoriteit Persoonsgegevens is opgedragen om een aantal voorbeelden te stellen, wat waarschijnlijk in houd dat er flinke boetes uitgedeeld worden om ervoor te zorgen dat bedrijven hier werk van gaan maken.

Lastig is om nu al te zeggen waar de Autoriteit Persoonsgegevens op gaat letten en dat kan naar verloop van tijd ook weer veranderen. Van belang is in ieder geval goed voorbereid te zijn.

Uiteraard is een goede beveiliging, een goed IT beleid, voorlichting over de EU GDPR / AVG en een register niet alleen van belang voor het beveiligen van persoonsgegevens. Dit kan als een aanleiding gezien worden uw bedrijf te beveiligen. Ook is het niet zo dat dit een geheel nieuwe wetgeving is, het merendeel van de regels stond al in de Wbp van 1995.